篇一:VPN毕业设计之外文资料翻译
外文资料翻译
作者:
指导老师:
Multi protocol label switching virtual private network ( MPLS VPN ) launched a peer-to-peer mode, can support the massive IP VPN implementation. This model greatly simplifies VPN client and service provider routing and management, at the same time, to ensure that the VPN between the correct segregation. For the implementation of the model, MPLS VPN requires IP existing routing protocol is extended and a MPLS transmission network. Cisco IOS software version 12(28) S and later support Cisco IP MPLS VPN and MPLS VPN, it uses the same function, but using IP transmission instead of the MPLS transmission. VPN traffic tunnel by IP, rather than MPLS label switched path ( LSP ) transmission. The characteristics of the IP network is realized in the MPLS MPLS VPN service cannot support.
Either in IP or MPLS backbone network implementation, Cisco IP MPLS VPN retains the same application and service features. For example, companies can make use of the technology will be IP network segmentation, based on the framework of support different group, or for other services provided for IP services. The segmented support overlapping address and flexible flow forwarding topology. In another case, the network engineer can use the technology to build a centralized server infrastructure, composed of a plurality of VPN share.
Cisco IP MPLS VPN for VPN service providers and users to provide a new application and service opportunities. For example, the MPLS VPN service providers can use the autonomous system configuration, its services will be extended to a MPLS support network. Similarly, two suppliers can MPLS VPN services to achieve peer-to-peer protocol, even if they are using the IP transmission. In another case, the MPLS VPN user VPN services can be partition, in order to create its own internal VPN service. Due to the users and suppliers almost without coordination, therefore, this application for grade VPN configuration implementation provides more flexibility.Cisco IP MPLS VPN using IP tunnel set and a separate address space, extends the original MPLS VPN architecture. Each provider edge ( PE ) has a multicast tunnel interface, used to connect to the PE and all other enjoy VPN service PE. The tunnel may be forwarded VPN packet corresponding to the destination PE, and the VPN packet transmission for intermediate node maintains transparent. Each PE can tunnel through automatic search other accessible PE ( i.e. tunnel terminal ).
PE search process using the border gateway protocol ( BGP ) more simple protocol extension, it constructs have been applied to various MPLS VPN BGP extension. Multi point tunnel independent address space of VPN flow provides isolation function. This architecture has the same with traditional MPLS VPN services scalability, and can be extended to support multiple IP tunnel technology
Cisco MPLS VPN basic packet forwarding function independent of the selected backbone transmission mode ( MPLS or IP ). In two of these cases, the use of PE support all VPN virtual routing and forwarding ( VRF ) examples of function in PE, VPN flow can be maintained independently. However, according to the Cisco MPLS VPN transmission network, packets are also different. When using the IP transmission, there are two packages: tunnel and VPN header
header. The tunnel header is responsible for transmitting packet to output PE, VPN header is responsible for determining the location of the corresponding VPN packet processing flow.
Cisco IP MPLS VPN the current implementation uses a layer second tunneling protocol version 3( L2TPv3) as IP tunnel technology. The tunnel header using the L2TPv3process ID field recognition requires MPLS VPN IP VPN packet processing flow, and the use of Cookie field to provide electronic fraud protection. As the last part of the package, the VPN header adopts a and MPLS transmission MPLS VPN that used the same VPN tag.
多协议标签交换虚拟专用网 (MPLS VPN) 推出了一种对等模式,可以支持大规模IP VPN 实施。这种模式极大地简化了VPN 客户和服务供应商的路由和可管理性,与此同时,确保VPN间的正确隔离。为实施该模式, MPLS VPN 需要现有IP路由协议扩展和一个MPLS 传输网络。Cisco IOS 软件版本 12.0(28)S 及更高版本都支持 思科 IP MPLS VPN ,它采用了与 MPLS VPN 相同的功能,但是用 IP 传输替代了 MPLS 传输。VPN 流量由IP隧道,而非 MPLS 标签交换路径 (LSP) 传输。该特性使 IP 网络上实现了在 MPLS 上无法支持的 MPLS VPN 服务。
无论是在IP或MPLS骨干网上实施,思科IP MPLS VPN 都保有相同的应用和服务特征。例如,公司可以利用该技术将 IP 网络分段,以在其架构中支持不同的群组,或者为其他服务方提供专用 IP 服务。这种分段支持重叠地址和灵活的流量转发拓扑结构。在另外一种情况下,网络工程师可以利用该技术构建一种集中服务器基础设施,由多个 VPN 共享。 思科 IP MPLS VPN 为 VPN 服务供应商和用户提供了全新的应用和服务机遇。例如, MPLS VPN 服务供应商可以利用自治系统间配置,将其服务扩展至非 MPLS 支持的网络。同样,两家供应商可以就 MPLS VPN 服务达成对等协议,即使他们采用的是IP传输。在另一个案例中, MPLS VPN 用户可以将 VPN 服务分区,以便创建其自身的内部 VPN 服务。由于在用户和供应商间几乎无需协调,所以,这种应用为分级 VPN 配置的实施提供了更高的灵活性。 思科 IP MPLS VPN 采用多点 IP 隧道集合和一个独立地址空间,扩展了原始 MPLS VPN 架构。每个供应商边缘 (PE) 都拥有一个多点隧道接口,用于连接 PE 和其他所有享有 VPN 服务的 PE 。该隧道可以转发 VPN 分组至相应的目的地 PE ,且同时使 VPN 分组传输对于中间节点保持透明。每个 PE 可以通过隧道自动搜索其他可访问的 PE (即隧道终端)。 PE 搜索过程利用了边界网关协议 (BGP) 多点协议的简单扩展,它构建于早已应用于各种 MPLS VPN 的 BGP 扩展之上。多点隧道的独立地址空间为 VPN 流量提供了隔离功能。这种架构保有与传统 MPLS VPN 服务相同的可扩展性,并可扩展以支持多项 IP 隧道技术思科 MPLS VPN 的基本分组转发功能独立于所选的骨干网传输方式 (MPLS 或 IP) 。在这两种情况下,利用 PE 支持的各个 VPN 的虚拟路由和转发 (VRF) 实例功能, VPN 流量可以在 PE 内保持独立。但是,根据思科 MPLS VPN 中传输网络的不同,分组封装也有所差异。当使用 IP 传输时,有两个封装组件:隧道报头和 VPN 报头。隧道报头负责传输分组至输出 PE ,而 VPN 报头则负责确定该位置的相应 VPN 分组处理流程。
思科 IP MPLS VPN 当前的实施采用了第二层隧道协议版本 3 (L2TPv3) 作为 IP 隧道技术。隧道报头利用 L2TPv3 进程 ID 字段识别需要 MPLS VPN 处理流程的 IP VPN 分组,并利用 Cookie 字段提供电子欺骗保护。作为封装的最后部分, VPN 报头采用了与 MPLS 传输中 MPLS VPN 所用相同的 VPN 标签。
篇二:我的外文文献译文
BGP-MPLS的IP虚拟专用网(VPN)
IPv6中VPN的技术推广
1 介绍
本文档介绍了一种方法,该方法就是服务提供商使用分组交换骨干网向他的IPv6客户提供VPN服务。
BGP / MPLS IP VPN这一方法是为IPv6技术提供支持,在必要时还可以重用和扩展。值得一提的是,这个方法和“BGP/MPLS-VPN”一样都是使用“对等模型”,即客户边缘路由器(CE路由器)将其IPv6路由发送到服务提供商的边缘路由器(PE路由器)。服务供应商利用BGP(边界网关协议)改变PE路由器间的某个特定的IPv6 VPN的路由,这些PE路由器都连接到该IPv6 VPN。最终,PE路由器将IPv6路由从该VPN中的CE路由器分配到某特定VPN的CE路由器。和IPv4的VPN一样,IPv6 VPN中的对等模型最主要特点是CE路由器和其他路由器是不对等的,也就是说CE路由器对于IPv6 VPN的路由算法是不可见的。
本文档采用的是“BGP / MPLS VPN”中描述过的定义,缩写和机制。除非另有说明,“BGP/ MPLS VPN”中的机制在此文中完全适用,不会在此重新描述。
一个VPN被称作IPv6 VPN必须具备以下两个条件,一是VPN中的任何站点都具有IPv6的能力,二是IPv6接口或子接口原本就通过一个供应商边缘设备(PE)与服务提供商相连。
一个站点可能同时具备IPv4能力和IPv6能力。到达PE上的数据包的逻辑接口可以确定IP的版本。此外,相同的逻辑接口即可用于IPv4也可用于IPv6,在这种情况下,可以通过查询数据包中IP报文头的版本字段来确定IP的版本。
本文档只涉及具有IPv6能力的主机之间相互通信的处理过程。具有IPv4功能的的IPv4主机之间通信的处理不在本文档的涵盖范围之内,在“BGP / MPLS VPN”中有所阐述。具有IPv4功能的IPv4主机和具有IPv6功能的IPv6主机之间的相互通信也超出了本文的论述范围。
和“BGP/MPLS-VPN” 中描述的IPv4 VPN的路由被分配的方法相似,BGP及其扩展被用于将路由从一个IPv6 VPN站点分配到相同的IPv6 VPN中与PE路由器相连的站点。PE设备使用“VPN路由和转发表”(VRF)来分别维护每个IPv6 VPN的可达信息和转发信息。
就和“BGP/MPLS-VPN” 中IPv4 VPN所做的一样,我们允许每个IPv6 VPN有其自己的IPv6地址空间,这意味着一个给定的地址在不同的VPN中可能就表示不同的系统。这样就得到了一个和VPN-IPv4地址族拥有相似形式的新型地址族——VPN-IPv6 地址族。该地址族是在IP地址前加区号来实现的。
除了对具有MPLS标签的交换路径进行操作外,IPv4 BGP/ MPLS VPN的解决方案已经被扩展以便运用到其他隧道技术上,这里所讲的隧道技术包括GRE隧道,IP-in-IP隧道
[2547-GRE/IP],L2TPv3隧道[MPLS--L2TPv3],以及具有IPsec保护的隧道技术
[2547-IPsec]。以类似的方式,除了隧道技术,该文档支持的在MPLS LSPs下的IPv6 VPN。
该文档支持在IPv4骨干网上的IPv6 VPN服务和在IPv6骨干网上的IPv6 VPN服务。在这两种情况下所支持的IPv6 VPN服务是一致的。
值得注意的是,本文档不涵盖运行于IPv6核心上的IPv4 VPN服务。
2 VPN-IPv6地址族
多协议扩展的BGP [BGP-MP]允许BGP携带来自多个“地址族”的路由。我们介绍的“VPN-IPv6地址族”,和[BGP/ MPLS VPN]中介绍的VPN-IPv4地址族的概念是相似的。
一个VPN-IPv6地址占24个八位字节,前8个八位字节是“路由标识”(RD),后面16个八位字节是IPv6地址。
路由标识专门用来创建不同的路由到一个相同IPv6地址的前缀,其用途和
[BGP/MPLS-VPN]中所定义的RD的用途很相似。以相同的方式,路由标识可用于创建多路不同的路由至完全相同的系统。这可以通过创建IPv6部分相同RD部分不相同的两个不同的VPN-IPv6路由来实现。这就等于允许供应商的BGP安装到同一系统的多个不同的路线上,并允许被使用的政策来决定哪些数据包使用哪条路由。
除此之外,如果两个VPN使用的是相同的IPv6地址前缀(实际上表示的是不同物理系统),供应商边缘设备(PE)会将其转化为使用不同RD的唯一的VPN-IPv6地址前缀。这将确保某个相同的地址如果曾经在两个不同的VPN使用,它可以安装在到那个地址的两个完全不同的路由中,其中一条路由是供VPN使用的。
由于VPN的IPv6地址和IPv6地址属于不同的地址族,BGP从来不把他们按照可比地址对待。
一个VRF可以为一个单一的IPv6地址前缀安排多个等代价的VPN-IPv6路由。当一个数据包的目的地址在一个VRF中和一个VPN-IPv6路由匹配时,实际上只有IPv6部分是匹配的。
路由标识的格式和编码规则在[BGP/MPLS-VPN]中有详细的说明。
当一个站点即有IPv4能力又有IPv6能力时,IPv6地址和IPv4地址宣告时可能会使用一样的路由标识。除非,有一个不同的路由标识可用于IPv4地址和IPv6地址的宣告。但是请注意,在本规范的范围内,IPv4地址和IPv6地址将总是在单独的环境下处理,IPv4与IPv6的互通问题和技术也不做讨论。
3 VPN-IPv6路由分配
3.1.1 通过BGP在PE间进行路由分配
正如 [BGP/ MPLS VPN]中所述,如果一个VPN中与PE相连的两个站点在同一自治系统中,PE可以通过它们之间的内部边界网关协议相互之间分配VPN路由。另外,每个PE可以和路由反射器建立IBGP连接。同样,对于IPv6 VPN路由的分配,PE可以使用它们之间的IBGP连接或使用路由反射器的IBGP连接。对于IPv6 VPN,IBGP连接可能超过IPv4或者IPv6。
在IPv6 VPN中,PE路由器通过MP-BGP为了IPv6的前缀交换可达性信息,从而宣告自己作为BGP的下一跳。
可达性信息的编码和BGP的下一跳地址编码的规则在下面的章节做详细说明。
3.1.2 VPN IPv6的NLRI编码
分配IPv6 VPN路由时,广告PE路由器必须给IPv6 VPN路由分派和分配MPLS标签。从本质上讲,PE路由器不分配IPv6的VPN路由,而是分配具有标签的IPv6 VPN路由。当广告PE收到一个具有详细宣告标签的数据包时,PE会从MPLS栈中弹出这个标签,并妥善地处理该数据包(直接根据标签转发或执行相应的IPv6的VPN上下文)。
多协议扩展的BGP[BGP-MP]被用来在MP_REACH网络层宣告IPv6 VPN路由。地址族标识符(AFI)和跟进地址族标识符(SAFI)字段必须设置如下:
- AFI: 2; for IPv6
-SAFI: 128; for MPLS labeled VPN-IPv6
网络层可达性信息(NLRI)本身按照[MPLS-BGP]的规定进行编码。在扩展的上下文中,前缀属于VPN-IPv6地址族,因此正如上文第二部分中规定的那样,VPN-IPv6地址族在IPv6前缀后有一个8位的八进制路由标识。
3.2.1 BGP下一条的编码
BGP下一跳的编码取决于BGP speaker的策略要求IPv6 VPN流量被运到BGP的下一跳时是使用IPv6隧道(BGP speaker要求IPv6传输)还是使用IPv4隧道(BGP speaker要求IPv4传输)。
该策略(即:是要求超过IPv4隧道传输还是通过IPv6隧道传输)的定义是网络运营
商的责任,这一方面超出了本文档的描述范围。 需要注意的是,当BGP speakers 通过IPv6(或IPv4)交换IPv6 VPN的可达性信息时,该策略极有可能要求通过IPv4(或IPv6)隧道。然而,在这种情况下,一些业务的影响就值得我们考虑了。
该策略的控制需要建立在用户配置的基础上,故超出了本文档的范围。
3.2.1.1 BGP speaker要求IPv6传输
当IPv6 VPN的流量通过IPv6隧道(例如,IPsec保护的IPv6隧道,IPv6中具有MPLS标签的的LSP)传输到BGP speaker时,BGP speaker需要宣告一个包含VPN-IPv6地址的下一跳网络地址。
当仅有的那个全局地址存在并且本地链路地址在下一跳字段中,那么在网络在MP_REACH_NLRI 属性中的下一跳网络地址的长度值应设为24。
如果BGP speakers的对等层只使用他们的本地链路IPv6地址(例如,当一个IPv6对等层之间具有一个IPv6 PE,而CE不具备任何一个IPv6全局地址只有eBGP的对等层间通过本地链路地址才得以实现), “地址不详”([V6ADDR])用于BGP speaker在下一跳网络地址字段中表示缺少全局IPv6地址。
当且仅当宣告BGP speaker所共享的一个具有共同子网的对等层路由被宣告到BGP IPv6 中时,本地链路地址应当包含在下一跳字段中。
在其他情况下,BGP speaker应当将全局的IPv6地址中独有的下一跳的网络地址字段向对等层进行宣告。
因此,将某一路由宣告到内部对等层的BGP speaker可以通过删除下一跳的本地链路IPv6地址来修改下一跳的网络地址。
全球的IPv6地址和本地链路IPv6地址都应被包含在BGP的下一跳地址中的一个典型示例就是, IPv6 VPN服务在一个具有再分配标签的VPN中被使用。
不同的自治系统中自治系统边界路由器(ASBR)间的IPv6 路由器共享一个共同的IPv6子网:在这种情况下,全球IPv6地址和本地链路IPv6地址应被ASBR宣告。
3.2.1.2要求IPv4传输的BGP speaker
当IPv6 VPN的流量通过IPv4隧道(例如,IPsec保护的IPv4隧道,具有MPLS标签的LSP)被传输到BGP speaker时,BGP发言者应当向对等层宣告下一跳的网络地址字段,该字段包含一个VPN-IPv6地址:
该地址8个八位字节的路由标识被置零;
该地址16个八位字节的IPv6地址被编码成一个IPv4映射的包含BGP speaker 的IPv4地址的IPv6地址。该IPv4地址必须是可以通过其他BGP speaker路由的。
3.3 路由目标
路由目标的使用在[BGP / MPLS-VPN]中有所规定,并应用到了IPv6的VPN中。扩展团体属性的编码在[BGP-EXTCOM]中也有所定义。
3.4 BGP的协商能力
为了两个PE之间能交换具有IPv6 VPN标签的 NLRI,他们必须使用BGP的协商能力来确保能够妥善处理这样的NLRIs。这些均是按照[BGP-MP]和[BGP-CAP]中的说明,通过使用功能代码1(多协议BGP)来实现,AFI和SAFI的值和上述规定中一样,详见3.2节。
4封装
入口PE路由器必须通过主干网向作为BGP下一跳的出口PE路由器隧道传输IPv6 VPN的数据,作为相应目的IPv6 VPN的前缀。
当BGP下一跳字段中的16个八位字节的IPv6地址被编码成IPv4映射的IPv6地址(详见3.2.1.2节)时,入口PE必须使用IPv4隧道,除非明确要求某项配置。也就是说当IPv6的BGP下一跳字段中的16个八位字节的IPv6地址被编码为IPv4映射的IPv6地址时,入口的PE路由器可以通过明确的配置使用IPv6隧道技术。
当在BGP下一跳字段中的16个八位字节不作IPv4映射的地址(详见3.2.1.1节)时,入口PE必须使用IPv6隧道。
当PE从一个附加的CE接收到一个数据包时,它会在与CE相对应的VRF中查看数据包的目的IPv6地址。这样它就能够找到一条VPN-IPv6路由。 该VPN-IPv6路由中会有一个相关的MPLS标签和相关BGP的下一跳。首先,MPLS标签会成为数据包的底部标签。然后,这个标记的数据包被封装到隧道中,同时根据BGP的下一跳传输到出口PE上。这种封装的细节取决于实际的隧道技术,具体细节如下:
和IPv4 VPN的MPLS/ BGP一样[2547-GRE/IP],当使用IPv4隧道或IPv6隧道(IPv4的GRE隧道或IPv6的 GRE隧道)完成隧道传输时,具有IPv6 VPN标签的数据包的封装就会导致一个MPLS-in-IP(或MPLS-in-GRE)被封装到数据包中,正如[MPLS-in-IP/GRE]中所规定的一样。当隧道使用L2TPv3报时,标记有IPv6 VPN 的数据报的封装就会导致一个MPLS-in-L2TPv3被封装到数据包中,如[MPLS-in-L2TPv3]所规定的那样。
正如IPv4 VPN中的MPLS / BGP那样,使用IP sec保护隧道[2547-IPsec]进行隧道传输时,具有IPv6 VPN标签的数据包的封装会产生一个MPLS-in-IP封装数据包或者一个MPLS-in-GRE封装数据包。使用IPSec传输模式来确保IPv4或GRE隧道从入口PE到出口PE的安全。
当隧道传输是使用IPv4隧道(无论有没有IP Sec确保安全),入口PE路由器必须使用BGP的下一跳字段中被编码的IPv4映射的IPv6地址地段中的IPv4地址,而BGP的下一跳字段是预先那条IPv4隧道头部的目的地址。它使用IPv4地址中的一个地址作为预先那条IPv4隧道头部中的源地址。
当隧道传输是使用IPv6隧道(无论有没有IP Sec确保安全),入口PE路由器必须使用包含在BGP的下一跳IPv6地址地段中的IPv6地址,而BGP的下一跳字段是预先那条IPv6隧道头部的目的地址。它使用IPv6地址中的一个地址作为预先那条IPv4隧道头部中的源地址。
5 地址类型
由于本地链路单播地址定义只能在单一链路上使用,所以可在PE-CE链路上使用,但他们不支持在IPv6 VPN站点间的可达性,且无法通过多协议边界网关协议(MP- BGP)到
篇三:VPN介绍及使用
VPN介绍及使用
虚拟私有网(Virtual Private Network ,VPN),又称虚拟私有拔号网(Virtual Private Dialup Network ,VPDN),是近年来随着Internet的发展而迅速发展起来的一种技术。现代部分企事业单位利用Internet资源来进行管理、销售、服务,乃至培训、合作等活动。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
而SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。这里,需要提供一个数字证书给Web服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL服务是比较容易的。
SSL VPN作为解决远程用户访问敏感公司数据的解决技术,与复杂的IPSec VPN相比,通过简单易用的方法实现信息远程连通。任何
安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机配备设备或安装客户端软件。
一般而言,SSL VPN必须满足最基本的两个要求:
1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。
2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。
本项目中所使用的VNP设备为MPSec FW3000/FW4000安全网关,其VPN系统能提供三大类功能:IPSec VPN、SSLVPN、PPTP/L2TP拨号VPN。
IPSec VPN支持“网关到网关”和“客户端到网关”两种形式的隧道。VPN实施支持基于安全策略指定VPN隧道和基于路由选择VPN隧道的两种VPN策略方式。如果希望实施基于路由选择的VPN隧道,需要在“VPN配臵>>VPN 设备”中添加相应的虚设备。
每次创建一条新的网关隧道或客户端隧道,通常按照下面步骤进行:
第一步:在“VPN配臵>>基本配臵”页面,配臵一些对IPSec VPN的基本设臵,例如缺省IPSec协议要求的IKE(Internet 密钥交换)密钥周期,是否启用DHCP over IPSec功能等。
第二步:在“VPN配臵>>VPN端点”页面,添加远程VPN端点的基本信息,包括名称,地址方式,认证方式,密钥数据,IKE算法模式和IKE算法组件等。
第三步:在“VPN配臵>>VPN隧道”页面,添加VPN隧道,引用相应的VPN端点,设臵数据包封装协议,IPSec算法组件等信息。
第四步:如果使用基于安全策略的VPN隧道机制,在“安全策略>>安全规则”页面,添加相应规则,引用已配臵的隧道。如果想使用基于路由选择的VPN隧道机制,首先在“VPN配臵>>VPN设备”页面,添加对应于VPN隧道的VPN设备,然后在“网络配臵>>策略路由”页面,添加相应的路由引用已配臵的隧道。并且MPSec FW3000/FW4000安全网关支持基于路由的VPN隧道的备份方式,详见“网络配臵>>策略路由”的配臵说明。
如果在设臵VPN端点时,“认证方式”设臵为“证书”方式,就必须首先通过“证书管理”目录下的配臵界面导入相应的CA(认证中心)证书、本地证书、对方证书后,才可以建立使用证书方式进行认证。
对于“客户端到网关”隧道方式,可以通过“VPN配臵>>VPN客户端分组”,对客户端进行分组,每组用户具有相同的VPN端点属性,同时又可以具有各自独立的证书或预共享密钥,这样可以大大方便了VPN客户端账号的管理。
PPTP/L2TP提供传统的拨号VPN(DVPN)功能。支持多种认证协议:CHAP、CHAPMS、CHAPMS-V2, Windows系列主机可以十分方便的
和安全网关建立拨号VPN隧道。
本项目中VPN组网拓扑如下图所示:
VPN的链路安全连接建立过程示意图如下图所示:
下面详细介绍VPN配臵中的每个WEB界面的具体配臵。
一、基本配臵
该页面主要配臵IPSec VPN的基本功能和缺省参数。
数据域说明:
二、VPN客户端分组
在使用VPN客户端访问企业内部网络时,主要针对很多出差、家庭办公、远程办公的用户,或者小型分支机构。网络管理员需要为这些用户设臵建立VPN的共享密钥或者证书。如果为每一个远程客户端用户单独设臵VPN端点配臵、VPN隧道、VPN策略,这样就增加了管
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有