IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决
目录
IPsec
网段特点:
技术优势
技术劣势
相关技术配置:
PPTP
网段特点
技术优势
技术劣势
相关技术配置
VPN和NAT的冲突
情况一:NAT设备和VPN设备不是同一个,nat在VPN之后
情况二:NAT设备和VPN设备为同一个
情况三:PPTP客户端的NAT转换
最近,在学习关于校园网安全接入的项目,其中涉及到IPsec和PPTP的使用和配置情况。顺便介绍下关于其中常用技术。
IPsec
IPsec一般用于以确定的子网间的隧道连接建立,如该种情况(校外教职工家属区子网内(家属网)的人员,需要安全访问校内服务资源),情况拓扑下图所示:
网段特点:
对于这类型的网段有如下的特点:
(1)网段具有固定且已知路由器。
(2)人员相对安全,无太多闲杂人等,不太要求用户自行主认证。
(3)需要更加方便、透明化。
(4)需要保护、加密、安全的数据传输。
(5)该网段内设备众多,为重量化的连接。
技术优势
(1)安全性:IPsec更安全,因为它使用更强大的加密算法和身份验证方法,如AES和SHA-2。
(2)透明性:IPsec对应用程序是透明的,应用程序不需要进行任何更改或配置,因为IPsec可以在网络层实现。
(3)灵活性:IPsec可以通过不同的组合配置来满足不同的安全需求,如只提供加密,只提供认证等。
(4)身份验证:IPsec可以通过各种方式进行身份验证,包括密码、数字证书和双因素认证。
(5)一劳永逸性:IPsec 可能可以使用预共享密钥方式进行认证,密钥是配置在IPsec网关上的,在IPsec协商完成后即建立通道,IPsec网关所保护的主机在进行通信时无需输入帐户名和密码。
(6)高负载性:IPsec可以支持点对点、网对网等多种连接方式,并且可以通过部署IPsec集线器来集中管理和配置连接,从而简化管理和提高效率,高负载的情况连接更稳定,速度更快。
技术劣势
(1)配置复杂:IPsec的配置较为复杂,需要对网络安全和加密等方面有一定的了解和技能,配置过程中容易出现错误,从而导致连接失败或不稳定。
(2)轻量级的时候效率较低。
(3)可能需要在通信双方的路由器或防火墙上进行配置,对网络拓扑和结构有一定的要求。
(4)和NAT共同使用的时候IPsec的协议头中的源和目标地址被更改,这可能导致IPsec连接失败;IPsec隧道中的协商过程需要在双方能够互相访问时才能成功,而NAT可能会导致IPsec设备无法访问对方。
相关技术配置:
以锐捷路由器为例需要进行以下的主要配置:
(1)假如使用IKE的方式进行,配置IKE:
crypto isakmp enable
crypto isakmp policy 1
authentication pre-share
encrytiong 3des
(2)配置预共享密钥和变换集合
crypto isakmp key preword address 2.2.2.1
crypto ipsec transform-set myset esp-des esp-md5-hmac
(3)定义一个加密映射集合
crypto map mymap 5 ipsec-isakmp set peer 2.2.2.1 set transform-set myset match address 101
interface FastEthernet0 ip address 192.168.202.1 255.255.255.0
(4)将加密映射应用到接口
interface Serial0 ip address 2.2.2.2 255.255.255.0 encapsulation ppp crypto map mymap
ip route 0.0.0.0 0.0.0.0 Serial0
(5)定义加密访问列表,对 192.168.202.0/24 和 192.168.12.0/24 子网之间的 IP 通
信进行保护
access-list 101 permit ip 192.168.202.0 0.0.0.255 192.168.12.0
0.0.0.255
(6)如果不适用IKE而是用手工的方式进行安全联盟则如下
# 定义变换集合
crypto ipsec transform-set myset esp-des esp-md5-hmac
# 定义一个加密映射集合
crypto map mymap 5 ipsec-manual set peer 2.2.2.1 set session-key inbound esp 300 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
set session-key outbound esp 301 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890set transform-set myset match address 101
interface FastEthernet0 ip address 192.168.202.1 255.255.255.0
PPTP
PPTP一般用于以非确定的子网中终端设备和确定网段之间的隧道连接建立,如该种情况(校外教职工家属区子网以外(陌生网)的其他校外用户,需要访问校内服务资源),情况拓扑下图所示:
网段特点
(1)陌生网用户不具有固定统一路由器。
(2)陌生网用户不一定安全,需用户自行主认证。
(3)可能用户端的终端设备不同、操作系统不同。
(4)需要保护、加密、安全的数据传输。
(5)一般为临时性,为轻量化连接。
技术优势
(1)易于部署:PPTP协议是一种基于PPP协议的虚拟隧道技术,使用较为简单,部署起来比较容易,服务端路由器进行配置后,用户端只需要拨号连接即可。其实SSL 虚拟隧道也可以不过需要远程用户安装支持ssl的浏览器并且安装指定插件,较为繁琐。
(2)高效性:PPTP协议在数据传输中使用了基于GRE(Generic Routing Encapsulation)协议的封装技术,能够实现较高的传输速度和较低的延迟。
(3)支持多种认证方式:PPTP协议支持多种认证方式,包括本地用户、域用户、RADIUS认证和Windows NT Challenge/Response认证等。
(4)支持多种加密算法:PPTP协议支持多种加密算法,包括MPPE、DES和3DES等。
(5)兼容性好:PPTP协议可以在多种平台上使用,包括Windows、Linux、Mac OS等。
技术劣势
(1)安全性较低:PPTP协议的加密算法较为简单,易受到攻击,容易被黑客破解。因此,在对安全性要求较高的网络中,不建议使用PPTP协议。
(2)可扩展性较差:PPTP协议是基于点对点连接的,对于大规模的网络环境,其可扩展性较差,无法满足高性能、高可靠性的需求。
(3)NAT穿越问题:PPTP协议在NAT设备后面的网络中使用时,可能会遇到无法穿越NAT设备的问题,从而导致连接失败。
(4)可管理性较差:PPTP协议的配置比较繁琐,需要手动配置,对于管理人员来说,操作起来比较困难,管理起来比较复杂。
相关技术配置
以锐捷路由器为例需要进行以下的主要配置:
(1)VPDN开启
vpdn enable
(2)创建VPDN组
vpdn-group pptp
(3)VPDN组的参数配置
accept-dialin //允许拨号
protocol pptp //支持pptp
virtual-template 1 //虚拟接口
(4)配置PPTP用户名和密码
username pc password 0 1111
(5)pptp本地地址池(不能和内网冲突)
ip local pool pptp 1.1.1.2 1.1.1.254
(6)配置虚拟接口
interface Virtual-Template 1
ppp authentication pap
ip unnumbered FastEthernet 0/1
peer default ip address pool pptp
远程客户端进行如下配置:
在“网络和拨号连接”中新建连接,“网络连接类型”选择“通过 Internet连接到专用网络”,“公用网络”选择“不拨初始连接”,填入目标地址为192.168.201.123,命名此连接名称为 Vpdnconnect。在 Vpdnconnect 的属性中,指定 VPDN 服务器的类型为 PPTP,并在安全设置中定义使用 PAP 认证及可选加密。在点击呼叫时,输入路由器所配置的用户名 PC 和密码 1111。
VPN和NAT的冲突
情况一:NAT设备和VPN设备不是同一个,nat在VPN之后
对于这种情况,nat会将vpn封装的外层ip地址进行修改从而导致无法正常转发到目的地,这种时候需要利用NAT穿透技术进行处理,介于网上很多方法进行介绍就不再阐述。
情况二:NAT设备和VPN设备为同一个
对于这种情况,一般的设备发送报文的时候,会先判断进行nat再判断进行vpn封装,而内层ip不能进行nat地址转换,因此我们可以利用nat策略(华为路由器)或者是acl控制列表(锐捷路由器)等的方式,控制当源地址或者目的地址为私网网段内地址的时候不进行nat地址转换,即可避免冲突。
情况三:PPTP客户端的NAT转换
了解pptp的读者们应该知道,pptp隧道建立在终端设备和对端网关之间,当远程终端设备发送信息的时候,会先进行GRE封装,随后发送出去,如果当终端设备所在网段网关开启了NAPT服务的时候,此时由于GRE封装,无法获取其TCP或者UDP的端口号,从而无法正常发送。
此时就需要该网关开启pptp的nat服务(一般默认开启),该服务可以利用GRE包头中的call id 和peer call id(两者对隧道进行唯一标识)作为端口号,从而实现NAPT,将外层IP中的私网地址转成公网地址,在广域网中进行传输。
开启服务命令如下:
Ruijie(config)# ip nat translation pptp
假如隧道建立如下所示,且非家属去网关具有NAPT功能,则在非家属区的网关上开启该服务功能即可。
如果觉得我的回答对您有帮助,可以帮忙点个赞,支持一下,QWQ。
IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决相关推荐
- IPsec技术介绍(转)
目 录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过 ...
- ×××背景知识技术介绍
×××背景知识技术介绍 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" / ...
- 漫谈云计算网络(一):云计算网络技术介绍
声明:本文CSDN作者原创投稿文章,未经许可禁止任何形式的转载. 作者:张钦,云途腾高级云解决方案架构师,负责企业级云计算网络解决方案的架构设计及客户培训.曾就职于金山云和中国电信,任职售前解决方案架 ...
- 微软网络访问保护 (NAP) 技术介绍
本专栏中有关 Windows Server"Longhorn"的预发布信息可能会有所变动. 目前,各种规模的组织都面临的最大安全威胁之一就是网络外围背后的恶意设备.任何组织,不论其 ...
- 内核网络中的GRO、RFS、RPS技术介绍和调优
内核网络中的GRO.RFS.RPS技术介绍和调优 1. 前言 2. GRO(Generic Receive Offloading) 2.1 使用 ethtool 修改 GRO 配置 2.2 napi_ ...
- linux平台驱动运行空间,UIO(linux Userspace I/O子系统)用户空间设备驱动I/O技术介绍...
UIO(linux Userspace I/O子系统)用户空间设备驱动I/O技术介绍(由搜集整理) UIO(Userspace I/O)是运行在用户空间的I/O技术.Linux系统中一般的驱动设备都是 ...
- 网易视频云分享:流媒体技术介绍(上篇)
网易视频云分享:流媒体技术介绍(上篇) 网易视频云2016-04-14 11:49:49 创业 媒体 技术 阅读(949)评论(0) 声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代 ...
- TIBCO Rendezvous — 技术介绍
http://blog.csdn.net/tiercel2008/article/details/6799952 TIBCO Rendezvous - 技术介绍 1.1.1. TIBCO ...
- 网络存储技术介绍(1) ( based on zt)
最近由于某同学微信发了一些网络存储的文章,开始感兴趣,稍微收集了一些 一. 网络存储技术 http://ask.zol.com.cn/q/187044.html (yxr:很老的技术介绍吧) 网络 ...
最新文章
- 小说:白话幂等性设计
- R语言as.Date函数将字符串转化为日期格式实战
- selinux php errors,apache php selinux --Syntax error 无法加载模块
- 使用python对比两个目录下的文件名差异
- linux nginx大量TIME_WAIT的解决办法--转
- springboot使用@Scheduled作定时任务详细用法
- 人工智能火热,该如何学Python呢?
- 计算机组装与维护补考论文,探讨《计算机组装与维护》课程教学论文
- 如何让多文本内容只显示一行,其余用省略号来显示
- 贪心算法—圣诞老人的礼物(POJ 4110)
- SAP License:SAP IDES 4.71的安装补充
- 量子计算机张庆瑞讲座报告,燕山大学彭秋明、张庆瑞教授来我校开展学术交流...
- 【博客管理】博客格式说明【置顶】
- 漫谈数据仓库之拉链表(原理、设计以及在Hive中的实现)
- ArduinoUNO实战-第九章-光敏电阻或亮度传感器
- 百胜中国供应链管理中心正式开工落户上海嘉定;百度发布第六代量产无人车 | 美通企业日报...
- 网页游戏是如何快速推广,寻找真实玩家。提高充值消费的。这里都有教程
- 有一种单身叫宁缺勿滥 -- 纪念百年神棍节
- 电脑CPU和内存占用过高
- HTTP协议中的1xx,2xx,3xx,4xx,5xx状态码分别表示什么,列举常见错误码及含义