WikiBlog

Generic Routing Encapsulation（GRE）

在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前，GRE被用来提供Internet上的VPN功能。GRE将用户数据包封装到携带数据包中。因为支持多种协议，多播，点到点或点到多点协议，如今，GRE仍然被使用。

Point to Point Tunneling Protocol（PPTP）

点对点隧道协议（PPTP）是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议，远程用户能够通过Microsoft Windows NT工作站、Windows 95和Windows 98操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过Internet安全链接到公司网络。

Layer 2 Tunneling Protocol （L2TP）

该协议是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准，基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的，被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。

More...

所谓DMVPN  （动态多点VPN ），其实就是分为两个步骤：

1. 首先是通过NHRP建立GRE隧道的全网状互联
2. 其次就是通过配置IPSec，来加密这些GRE隧道的数据

由于默认的GRE都是点到点的连接，所以要创建mGRE的连接，也就是全网状GRE互联，就必须用到NHRP协议。关于这方面可以查看这篇文章：NHRP 配置全网状互联GRE隧道

然后，通常情况下IPSec的配置也是两端间一对一进行配置的，如果有很多的用户，则配置过程就变得相当的复杂，为了简化配置和管理，我们就必须采用动态加密映射（dynamic crypto maps），这样可以减少很多端到端的IPSec的配置命令行。关于这方面可以查看这篇文章： GRE over IPSec
 

试验拓扑

More...

试验拓扑：

More...

注意：这里是IPSec over GRE，而不是GRE over IPSec，仅仅是将某些经过加密的流量放到GRE中去跑，首先GRE隧道必须UP，而不是对整个隧道的流量进行加密

试验拓扑：

More...

IKE 协议的目的：

对通讯双方进行身份验证、协商安全性选项、协商共享密钥（用于加密通讯）。

IKE 协商过程经过两个阶段：

主模式协商和快速模式协商

主模式协商：Main Mode

1. 协商参数：加密算法（DES 或 3DES）、完整性算法（MD5 或 SHA1）、Diffie-Hellman组（组 1、组2）、身份验证方法（Kerberos V5 协议、公钥证书或预共享密钥）。
2. 协商加密通讯数据的密钥：协商Diffie-Hellman密钥
3. 身份验证（使用2协商的密钥加密）：身份验证方法有三种（Kerberos V5 协议、公钥证书或预共享密钥）

快速模式协商：Quick Mode

协商安全关联参数，在主模式协商完成或现有安全关联过期时。
使用主模式期间建立的安全关联保护通讯。
每次建立两个安全关联。一个针对传入的流量，另一个针对传出的流量。

1. 协商参数：IPsec 协议格式（AH 或 ESP）、链路类型（隧道模式或传输模式）、哈希算法（MD5 或 SHA1）、加密算法（DES 或 3DES）。
2. 产生加密通讯数据的密钥

More...

更新日期: 2005 年 9 月 5 日
作者： 赖荣枢
http://www.goodman-lai.idv.tw

近年来，信息发展的当红炸子鸡当然是非网络莫属。随着因特网与企业网络的主流化，网络安全性的课题也益形重要，相关的解决方案也成为热门话题，例如，PGP、Kerberos与SSL等等。不过，这些解决方案主要都是在应用层或传输层中加入安全机制，至于网络层的安全性则付之阙如。而IP Security(简称 IPSec)便是针对位于网络层的Internet Protocol所提出的安全性协议。
IP中加入安全性协议的最大好处在于确保所有网络通讯的安全。也就是说，即使位于IP层上层的应用程序或传输层没有提供任何安全性的机制，由于IP层加入了安全机制，因此可保护整个网络通讯的内容。
IPSec主要可提供两种功能：认证功能(Authentication)与保密功能(Confidentiality)。所谓认证，是指确认通讯双方的身份，以及确保双方之间传输的数据未受他人破坏或窜改。保密则是将通讯内容予以加密，防止网络上的第三者读取通讯内容。认证与保密的核心都是加密法(或是哈希函数)，提到加密法当然就会牵涉到密钥管理(Key Management)。因此，IPSec也规定了如何交换密钥，以便建立与管理加密时所需的各类密钥。
根据1997年CERT(一个专门研究网络安全的机构)的报告指出，最常见的网络攻击主要有两种类型：

• 修改IP封包，以假造的IP地址来扮演其他用户。
• 从网络上窃取IP封包，读取通讯内容。

有鉴于此，IAB(Internet Architecture Board)决定在下一代的IP协议中(也就是IPv6)，加入认证与保密的功能，这些相关功能即统称为IPSec。IPSec在设计时即考虑到必须与现有IPv4兼容。因此相关的开发厂商也可将IPSec移植到现有的IPv4，例如Windows 2000、Windows XP、Windows Server 2003等操作系统便都支持IPSec。

本页内容 

• IPSec的应用
• IPSec的优点
• IPSec的架构
• 密钥交换协议
• 认证表头
• 资料封装加密
• 设定IPSec的选项
• 结语

More...

拓扑：

这里用10.10.10.0代表因特网，192.168.1.0和192.168.2.0代表在两地的两个内网，现在要通过站点到站点的VPN连接，两边的内网用户能够互相访问，因为安全原因，在VPN服务器上启用了ISA Server2006

More...

拓扑：

内网属于域：godupgod.com，在内网边缘部署了ISA防火墙，因为安全原因，ISA服务器没有加入域，现在要求远程的客户端通过VPN在域中进行认证

More...

服务类型

针对不同的用户要求，VPN根据服务类型有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

网络隧道协议

网络隧道是指在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。现有两种类型的网络隧道协议，一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建远程访问虚拟专网（Access VPN）；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专网（Intranet VPN）和扩展的企业内部虚拟专网（Extranet VPN）。第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议，如IP、IPX和AppleTalk，也可以支持多种广域网技术，如帧中继、ATM、X.25或SDH/SONET，还可以支持任意局域网技术，如以太网、令牌环网和FDDI网等。 另外，还有第4层隧道协议，如SSL VPN。

More...

      VPN-虚拟专用网（Virtual Private Network）是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线，从而达到安全的数据传输目的。基于Internet的VPN也称为IP-VPN。

      单纯仿真一条点到点的连接，数据只要经过封装，再加上一个提供路由信息的报头就可以了。而如果要仿真一条专线，为保证传输数据的安全，通常还要对数据进行加密处理。VPN连接必须同时包含数据封装和加密两方面。
 

图一、VPN示意图

       有了VPN，用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。从用户的角度来看，VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接，由于数据通过一条仿真专线传输，用户感觉不到公共网络的实际存在，能够像在专线上一样处理企业内部信息。换言之，虚拟专用网不是真正的专用网络，但却能够实现专用网络的功能。

       VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷，安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网WAN的运作。VPN技术的出现，使企业不再依赖于昂贵的长途拨号以及长途专线服务，而代之以本地ISP提供的VPN服务。从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多，因而成本也低廉得多。

VPN的构成：

一个典型VPN的组成部分如图二所示：

图二、VPN的构成

• VPN服务器：接受来自VPN客户机的连接请求。
• VPN客户机：可以是终端计算机也可以是路由器。
• 隧道：数据传输通道，在其中传输的数据必须经过封装。
• VPN连接：在VPN连接中，数据必须经过加密。
• 隧道协议：封装数据、管理隧道的通信标准。
• 传输数据：经过封装、加密后在隧道上传输的数据。
• 公共网络：如Internet，也可以是其他共享型网络。

More...