vpn路由器

背景 某集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分： 楼宇智能化规划和建设方案：主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。 企业IT基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。 本方案主要是针对某集团企业IT基础架构进行规划，并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。 企业IT架构 一般企业的IT架构情况，本方案主要针对IT基础架构部分进行规划，并提供选型和部署参考，关于企业IT业务应用系统部分的规划和建设请参考其它方案。 网络系统规划 当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首要解决的是生存问题，根本没办法做到“先信息化，再做业务”，因此网络建设实施要求必须容易，实施时间必须极短。

VRF实例说明 Virtual Routing Forwarding VPN 路由 转发表 ，也称VPN-instance（VPN实例），是PE为直接相连的site建立并维护的一个专门实体，每个site在PE上都有自己的VPN-instance，每个VPN-instance包含到一个或多个与该PE直接相连的CE的路由和转发表，另外如果要实现同一VPN各个Site间的互通，该VPN-instance还就应该包含连接在其他PE上的发出该VPN的Site的路由信息。 MPLS VPN网络 主要由CE、PE和P等3部分组成：CE(Customer Edge Router，用户网络边缘 路由器 ）设备直接与服务提供商网络（图1中的MPLS骨干网络）相连，它“感知”不到VPN的存在；PE(Provider Edge Router，骨干网边缘路由器）设备与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者：P(Provider Router，骨干网 核心路由器 ）负责快速转发数据，不与CE直接相连。在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。 PE是MPLS VPN网络的 关键设备 ，根据PE路由器是否参与客户的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN

文章目录 1.绪论 1.1网络安全的基本概念 1.2.认识Internet上的严峻的安全形势并深入分析其根源。 2.网络协议基础 2.1了解网络体系结构各层的功能 2.2认识TCP/IP协议族中一些协议的安全问题 3.密码学在网络安全中的应用 3.1对称密码体制/非对称密码体制 3.2混合加密体制 3.3数字签名 3.4密钥管理 4.消息鉴别与身份认证 4.1认证分为哪两大类 4.2消息鉴别协议的核心——鉴别函数 4.3如何利用鉴别函数构造鉴别协议 4.4分析一个鉴别协议的安全问题* 4.5身份认证的概念、有哪些常用的身份认证方式，分析其优缺点 5.Internet安全 5.1各层协议的安全 5.2IPSec的思想、实现的目的、工作过程（AH和ESP）、工作模式、功能、密钥管理 5.3SSL/SET的思想 6.防火墙技术 6.1防火墙实现主要包括 （过滤机制）和（安全策略）。 6.2防火墙的分类，各自的特点。 6.3防火墙能否抵抗来自内网的攻击？ 7.VPN技术 7.1VPN是什么，其实现的目的 7.2有哪些类型 7.3主要应用的技术 1.绪论 网络安全的构成 1.1网络安全的基本概念 （定义、属性、模型、攻击手段、攻击方式、安全服务、安全机制） ▲网络安全的定义： （1）确保在计算机、网络环境运行的信息系统的安全运行，以及信息系统中所存储、传输和处理的信息的安全保护。 （2

文章目录 1.异地组网 2.两地都有公网IP地址 2.1场景一 2.2场景二 2.3场景三 3.深圳有公网IP 湖南没有 3.1场景一 3.2场景二 4.都没有公网IP 4.1场景一 4.2场景二 4.3场景三 5.相关实现组网软件 5.1 n2n(端口转发性质) 5.2 Zero Tier（P2P，经测试后可以达到上传满带宽） 5.3 frp（p2p） 5.4 tinc vpn 5.5 ddnsto（不适合企业使用） 6.相关硬件设备 1.异地组网 异地组网就是将两个异地的局域网整合到一起形成互通，湖南的设备可以访问到深圳的设备。 2.两地都有公网IP地址 两地使用硬件设备组建VPN隧道来互通（比如：华为防火墙VPN）相对可靠，价格较高。 两地使用软件来互通（OpenVPN，obfsproxy，openswan_IPSEC ）. 使用软件需要硬件设备支持，但相较防火墙设备，价格相对低廉。可靠度一般，但随着技术累计，可靠度会提升。 2.1场景一 湖南个别设备访问深圳设备A 在总部路由器配置端口映射即可访问 2.2场景二 湖南的设备需要与深圳的部分设备互联互通 深圳路由器与湖南路由器 建立vpn隧道并配置静态路由即可互通 2.3场景三 3.深圳有公网IP 湖南没有 一方没有公网的情况 深圳方通过硬件或软件自建vpn服务，湖南则通过客户端或者支持客户端的路由器来进行连接。可靠度一般。

ROS+L2TP+IPSEC 在WIN7X64,WIN8.1,WIN10,MACBOOK和苹果的IOS10调试L2TP/IPSEC通过 请注意IPSEC，要求客户端IP必须唯一，不可以有重复，那么访问VPN服务器的客户端IP，就不可以多用户同时通过NAT去访问外部的VPN服务器！！！这点要注意，如果想多用户在一个NAT访问VPN服务器，必须先让本地的路由器跟VPN服务器建立GRE隧道，然后访问VPN服务器的客户端，不可以使用NAT或者伪装访问VPN服务器，必须使用静态路由的方式访问，这样在VPN服务器那端，看到客户端的IP就是局域网的真实IP！！！这点非常重要。请注意！ 参考官方文档： http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Ipsec.2FL2TP_behind_NAT http://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/ 1、开启L2TP服务 2、设置IP地址池 3、创建L2TP的模版，L2TP的密钥设置为空，不用设置，加密走IPSEC 4、创建L2TP帐号 5、创建ipsec的加密模版 6、创建IPSEC的连接，注意要把nat traversal打勾，Generate Policy为port override IPSEC的密钥为test456

我们都知道，像一些机构中，它的IP地址往往只有一个，但它的主机数却很多。那么这一个或者几个IP地址是如何分配给这么多台主机使用的。这就和虚拟专用网有关系了。 让多台计算机仅使用一个有效的IP地址，而不向互联网机构申请全球唯一的IP地址，这样就可以节省大量的IP地址资源了。但是我们如果任意选择一些IP地址作为本机内部使用的本机地址，在某些情况下，就可能会使本地地址与互连网中的地址重合，就会出现地址二义性问题。 为了解决这一问题，于是提出了指明一些专用地址，只能用于机构内部通信，而不能用在互联网上的主机通信。采用这样的专用IP地址的互连网就被成为专用网，也被成为可重用地址。因为专用互连网有很多相同的专用IP地址，但彼此并不会相互干扰，引起麻烦。 当专用网不同网点之间的通信必须经过公用的互联网，但又有保密的要求，那么所有通过互联网传送的数据都必须经过加密。 VPN的分类： 远程接入VPN：客户端到网关。在外驻留的员工电脑的VPN会和公司主机之间建立VPN隧道。 内联网VPN：网关到网关，通过公司的网络架构连接来自同公司的资源 外联网VPN：通常是与合作伙伴构成的，两个公司的资源进行连接。 VPN的实现： VPN服务器:在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN 软件VPN：通过专用的软件实现 硬件VPN：通过专用的硬件实现 集成VPN：通过硬件设备，路由器

MPLS-VPN： 问题1： ISP 的 PE 设备如何区分不同的 VPN 客户路由 -方案1： 为每个客户购买一个专门的 PE 路由器 -方案2： 为多个客户购买一个 PE 路由，通过路由器的虚拟化 技术，实现多个 VPN 客户的 路由的 区分 该技术称之为： VRF (virtual router forwarding ) 问题2： 如何在 VPN 客户路由的传输过程中，区分不同的客户路由 -方案1： 路由在传输过程中，BGP协议为了区分不同的 VPN 客户路由 ， 在将传统的 IPv4 路由 变成 BGP 协议中的路由的时候， BGP协议为 IPv4 路由添加了一个属性：RD 即 route distinguish ，叫做路由区分符 结构是： xx:xx 长度是：64bit 即此时的 BGP 所传输的路由，是 96bit 的路由条目， 称之为： VPNv4 路由。 与此同时，BGP也改了名字，叫MP-BGP ，即多协议的BGP。 RD 来源于什么地方？ -每个 VPN 客户所使用的 vrf 。 同一个PE设备上的，不同的 vrf 的 RD 一定不能相同。 问题3： 在MP-BGP协议中传输的 VPNv4 的客户路由，基于什么信息 来选择对端 PE 设备上的 虚拟路由表(VRF). -方案： MP-BGP为 VPNv4 添加了一个属性，叫做 RT(route target)