1.引言
VPN (Virtual Private Network)即為“虛擬專(zhuān)用網(wǎng)絡(luò)”。VPN被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng)),在兩個(gè)私有網(wǎng)絡(luò)之間,建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定隧道,以便保證兩個(gè)私有網(wǎng)絡(luò)之間安全地在互聯(lián)網(wǎng)上傳送信息。VPN的類(lèi)型通常有兩種:一種為遠(yuǎn)程訪問(wèn)的VPN,需要拔號(hào),適合于出差的用戶(hù)與遠(yuǎn)程辦公的用戶(hù)通過(guò)拔號(hào)的方式,比如PPTP,來(lái)連接到公司總部,訪問(wèn)公司總部?jī)?nèi)的相關(guān)服務(wù);另一種為站點(diǎn)到站點(diǎn)的VPN,適合于公司總部與公司分部之間或者公司與合作伙伴之間在互聯(lián)網(wǎng)上來(lái)安全地傳送信息。
實(shí)現(xiàn)VPN的技術(shù)有第二層的PPTP,L2TP,L2F與第三層的GRE,IPSec等,常用于站點(diǎn)到站點(diǎn)的VPN協(xié)議為IPSecIPSec(IP Security)是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的三層隧道加密協(xié)議。IPSe。在IP層對(duì)IP報(bào)文提供安全服務(wù)。IPSec協(xié)議本身定義了如何在1P數(shù)據(jù)包中增加字段來(lái)保證IP包的完整性、私有性和真實(shí)性,以及如何加密數(shù)據(jù)包。使用IPsec,數(shù)據(jù)就可以安全地在公網(wǎng)上傳輸。
實(shí)現(xiàn)IPSec的軟件有很多,RHELS包含的ipsec-tools就可以實(shí)現(xiàn),它是一個(gè)開(kāi)放源碼的軟件,具有極高的安全性與穩(wěn)定性。ipsec-tools有兩個(gè)工具,分別為Setkey與Racoono Setkey為SAD與SPD的管理工具,Racoon則為IKE機(jī)制。
2.以Preshared Keys為驗(yàn)證模式下的隧道模式VPN實(shí)現(xiàn)
下面通過(guò)一個(gè)實(shí)例介紹VPN的實(shí)現(xiàn)。某公司有北京總部與廣州分部,現(xiàn)要求企業(yè)總部與廣州分部之間所有的通訊都以IPSec的方法在互聯(lián)網(wǎng)上傳送。北京總部設(shè)有VPN主機(jī),兩塊網(wǎng)卡,eth0接外網(wǎng),其IP地址是10.0.0.1/8,eth1接內(nèi)網(wǎng),其IP地址是192.168.1.0/24。廣州分部VPN主機(jī)也有兩塊網(wǎng)卡,eth0接外網(wǎng),其IP地址是10.0.0.2/8,eth1接內(nèi)網(wǎng),其IP地址是192.168.2.0/24 0兩臺(tái)VPN主機(jī)上都安裝了RHELS,并且安裝了ipsec-tools工具,F(xiàn)通過(guò)ipsec-tools組件來(lái)實(shí)現(xiàn)以Preshared Keys為驗(yàn)證模式下的隧道模式VPN配置,保證企業(yè)通訊安全,配置步驟如下:
(1)確保Client A與Client B兩臺(tái)主機(jī)的連通性;
(2)確保VPN主機(jī)A與VPN主機(jī)B兩臺(tái)主機(jī)的防火墻己關(guān)閉:
(3)在VPN主機(jī)A上配置IKE。修改其配置文件/etc/racoon/raccoon.conf,內(nèi)容如下:
path include "/etc/racoon";
path presharedse key "/etc/racoon/psk.txt";
remote 10.0.0.2
{
exchange- mode main;
proposal
{
authentication- method pre- sharedes key;
dh_group modp1024;
hash algorithm shal;
encryption algorithm ides;
lifetime time 1 hour;
}
}
sainfo anonymous
{
lifetime time 1 hour;
encryption algorithm ides;
authentication algorithm hmac_ shal;
compression一 algorithm deflate;
}
(4)設(shè)置預(yù)共享密鑰,修改配置文件//etc/raccoon/psk.txt;
10.0.0.2 ilikethxy
(5)設(shè)置SPD,配置文件為/etc/raccoon/setkey.conf;
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsecesp/tunnel/10.0.0.1一10.0.0.2/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsecesp/tunnel/10.0.0.2-10.0.0.1/require;
(6)在另一臺(tái)主機(jī)上也配置好IKE,預(yù)共享密鑰與SPD;
配置IKE與共享密鑰文件里面只需要把10.0.0.2改成10.0.0.1即可,SPD文件里面把in改成out,把out改成in即可。
(7)啟動(dòng)IKE;
[root@Iocalhost~]#raccoon-f /etc/raccoon/racoon.conf
(8)啟動(dòng)SPD;
[root@localhost~]#setkey-f /etc/raccoon/racoon.conf
(9)驗(yàn)證結(jié)果。
啟動(dòng)Wireshark軟件,然后在Client A中ping Client B,捕獲VPN主機(jī)A上的10.0.0.1接口的數(shù)據(jù)包。
3.結(jié)束語(yǔ)
由于IPSec是工作于網(wǎng)絡(luò)層,即它可以對(duì)網(wǎng)絡(luò)層上的協(xié)議都進(jìn)行加密。因此,用Ipsec-tools來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)中間的VPN是一個(gè)不錯(cuò)的選擇。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:使用Ipsec-tools構(gòu)建企業(yè)VPN
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112157987.html