|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 本文是根據我公司的實際應用情況寫的,但是稍加修改即可應用到很多地方,系統運行的兩個月來,證明還是安全可靠穩定的,呵... 我公司在北京,但是主要設備都在南京電信的一個主要IDC里,那邊有我們的兩個PIX525UR(做了故障切換),上面做了嚴格的訪問控制,因此,為了方便公司里的移動,出差及在家的員工辦公,才有了做VPN系統的想法.好使具有相應權限的使用者從個人PC通過支持MPPE128的加密隧道連接至公司的VPN Server,再通過VPN Server將數據轉發到南京IDC的我公司應用網絡,其間的連接也是基于IPSEC的安全VPN隧道.由此可以保證我公司的所有應用需求的安全性和便捷性. 1.硬件資源:服務器一臺 PIX 525UR防火墻一臺 2.軟件資源:Mandrake 9.2 kernelmod pptpd Super-freeswan iptables 公網ip地址 注:我在測試了幾種LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感覺Mandrake是最簡單,最穩妥的平臺. 下面就是安裝過程: 1.操作系統安裝: 安裝過程無特殊要求,在選擇安裝組件的時候除開發工具外其它一概不選,主要是出于安全性考慮. 2.安裝kernelmod: tar zxvf kernelmod-0.7.1.tar.gz cd /kernelmod ./ kernelmod.sh 3.安裝pptpd: ①升級ppp rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm ②安裝pptpd rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm 4.安裝Super-freeswan: rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm 5.升級iptables rpm –Uvh iptables-1.2.8-12.i386.rpm 呵...至此,全部的安裝過程就完成了,簡單吧, 注:以上軟件都可以在rpmfind.net找到! 下面是最主要的配置過程: 1.操作系統的配置: ①升級openssh ②關閉不需要的服務(sendmail isdn …) ③編輯/etc/sysctl.conf net.ipv4.ip_forward = 0=>1 net.ipv4.conf.default.rp_filter = 1=>0 2.Pix配置文件(VPN部分): access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用戶的IP段" 255.255.255.0 access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用戶的IP段" 255.255.255.0 nat (inside) 0 access-list inside_outbound_nat0_acl sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 set peer "VPN服務器的IP" crypto map outside_map 20 set transform-set ESP-3DES-MD5 crypto map outside_map interface outside isakmp enable outside isakmp key "密碼" address "VPN服務器的IP" netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 28800 3.PPtP配置 ①/etc/pptpd.conf speed 115200 option /etc/ppp/options localip "公司VPN用戶的網關(例如10.0.1.1)" remoteip "公司VPN用戶的IP段(例如10.0.1.200-250)" ②/etc/ppp/chap-secrets “用戶名” "VPN服務器的IP" “密碼” 10.0.1.20X (200<><250)> ③/etc/ppp/options lock name "VPN服務器的IP" mtu 1490 mru 1490 proxyarp auth -chap -mschap +mschap-v2 require-mppe ipcp-accept-local ipcp-accept-remote lcp-echo-failure 3 lcp-echo-interval 5 ms-dns X.X.X.X deflate 0 4.Super-freeswan配置 ①/etc/freeswan/ipsec.conf # basic configuration config setup # THIS SETTING MUST BE CORRECT or almost nothing will work; # %defaultroute is okay for most simple cases. interfaces="ipsec0=eth0" # Debug-logging controls: "none" for (almost) none, "all" for lots. klipsdebug=none plutodebug=none # Use auto= parameters in conn descriptions to control startup actions. plutoload=%search plutostart=%search # Close down old connection when new one using same ID shows up. uniqueids=yes nat_traversal=yes # defaults for subsequent connection descriptions # (these defaults will soon go away) conn %default keyingtries=0 disablearrivalcheck=no authby=rsasig #leftrsasigkey=%dnsondemand #rightrsasigkey=%dnsondemand conn pix left="VPN服務器的IP" leftnexthop="VPN服務器的網關" leftsubnet="公司VPN用戶的IP段(例如10.0.1.0/32)" right="南京PIX525UR的IP" rightnexthop=%direct rightsubnet="南京IP段" authby=secret pfs=no auto=start ②/etc/freeswan/ipsec.secrets "VPN服務器的IP" "南京PIX525UR的IP": PSK "密碼" 5.iptables配置(樣本),用以限制公司VPN用戶的訪問權限: iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE service iptables save 注:1.添加用戶名及修改密碼 /etc/ppp/chap-secrets 2.用戶權限設定 編輯修改iptables規則 3.如果公司路由器上有access-list,則添加 permit 47 any host 219.238.213.244 4.校驗IPsec服務是否啟動成功 ipsec verify - 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風下載站
