VPN相关知识

一、和VPN有关的几个概念
　　1、VPN只是一种网络类型，本身没有具体的实体。是“虚拟专用网”的统称。简单些，VPN就是指在公用网络上传输局域网数据的一种方式，它可以在公用网络上跑局域网的各种应用。
　　2、隧道技术：
　　　　是VPN的网络基础。常见的隧道技术有OSI第二层的PPTP,L2TP,L2F；还有第三层的IPSEC和IPoverIP、VTP。
　　　　隧道可以分为：自愿隧道和强制隧道。
　　　　自愿隧道是客户机自愿和隧道服务器建立起的隧道，这种模式下，客户机是隧道的一个端点。
　　　　强制隧道是接入服务器（或网关）和远程隧道服务器之间建立起强制隧道。在这种模式下，客户机不是隧道的端点，而接入服务器（网关）才是隧道的端点。客户机只能使用由接入服务器建立起的隧道。所以叫“强制隧道”。
　　3、PPTP和L2TP的区别：
　　　　（1）PPTP只能在IP网络中，L2TP可以用在IP、帧中继、X.25或ATM线路上。
　　　　（2）PPTP只能建立两端点的单一隧道，而L2TP可以建立多隧道。
　　　　（3）PPTP在压缩包头时，点6个字节，而L2TP只占4个字节
　　　　（4）PPTP不支持隧道验证。
　　4、IPSEC
　　　　（1）IPSEC有两种传输模式：传输模式和隧道模式。
　　　　　　　传输模式用来保护端对端的数据通讯。IPSEC头被直插在IP头的后面，IP头中的Protocol域也被做了修改，指明在该IP头后面有一个IPSEC头。
　　　　　　　隧道模式主要用在安全网关之间。当隧道的终点并不是最终的目标结点时，这个模式非常有用。它把IP头和所有数据重新封装。但是它比传输模式多了一个头的长度。
　　　　（2）IPSEC的两个头：
　　　　　　　AH（Authentication Header，认证头）。它没有加密数据，只是提供完整性检查和防重放攻击。注意，它的完整性检查也包含头部的某些域在内，但是不是全部的域，因为经过路由器时，比如TTL域要发生变化。
　　　　　　　ESP（Encapsulating Security Payload，封装的安全净荷）。它有32位。
　　　　　　　两者的区别：早期ESP头不包括完整性检查，后来完整性检查才被加了进来。但是，ESP完整性检查不包括头部，并且把检查结果放在包的尾部（认证方式叫做HMAC）。这样做的原因是方便硬件操作。另一方面，因为ESP涉及到加密，在很多地方受到出口限制，这也是ESP头不能淘汰AH头的主要原因。
　　5、VPN的分类：
　　　远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
　　　通俗些理解，分别对应：个人访问服务器、局域网内互通、局域网间互通。
这儿有详细的介绍：
http://www.suihua365.com/dn/ShowArticle.asp?ArticleID=2002
二、FreeBSD上常用的VPN。（正在学习中）
　　1、openVPN：这一个是基于ssl加密的。
　　2、ipsec：
　　3、pptp：
三、IPSec在FreeBSD上的实现
四、OpenVPN在FreeBSD上的实现
五、问题
　1、IPSec和NAT。
    NAT和AH
IPsec无法一起运行，因为根据定义，NAT会改变IP分组的IP地址，而IP地址的改变就会导致IP头的完整性得到破坏，从而会使AH验证失败。当两个IPsec边界点之间采用了
NAPT功能但没有设置IPsec流量处理的时候，IPsec和NAT同样无法协同工作。
　　另外，在传输模式下，ESP
IPsec不能和NAPT一起工作，因为在这种传输模式下，端口号受到ESP的保护，端口号的任何改变都会被认为是破坏。在隧道模式的ESP情况下，
TCP/UDP报头是不可见的，因此不能被用于进行内外地址的转换，而此时静态NAT和ESP

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有