IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决

这篇具有很好参考价值的文章主要介绍了IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

IPsec

网段特点:

技术优势

技术劣势

相关技术配置:

PPTP

网段特点

技术优势

技术劣势

相关技术配置

VPN和NAT的冲突

情况一:NAT设备和VPN设备不是同一个,nat在VPN之后

情况二:NAT设备和VPN设备为同一个

情况三:PPTP客户端的NAT转换


最近,在学习关于校园网安全接入的项目,其中涉及到IPsec和PPTP的使用和配置情况。顺便介绍下关于其中常用技术。

IPsec

IPsec一般用于以确定的子网间的隧道连接建立,如该种情况(校外教职工家属区子网内(家属网)的人员,需要安全访问校内服务资源),情况拓扑下图所示:

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

网段特点:

对于这类型的网段有如下的特点:

(1)网段具有固定且已知路由器。

(2)人员相对安全,无太多闲杂人等,不太要求用户自行主认证。

(3)需要更加方便、透明化。

(4)需要保护、加密、安全的数据传输。

(5)该网段内设备众多,为重量化的连接。

技术优势

(1)安全性:IPsec更安全,因为它使用更强大的加密算法和身份验证方法,如AES和SHA-2。

(2)透明性:IPsec对应用程序是透明的,应用程序不需要进行任何更改或配置,因为IPsec可以在网络层实现。

(3)灵活性:IPsec可以通过不同的组合配置来满足不同的安全需求,如只提供加密,只提供认证等。

(4)身份验证:IPsec可以通过各种方式进行身份验证,包括密码、数字证书和双因素认证。

(5)一劳永逸性:IPsec 可能可以使用预共享密钥方式进行认证,密钥是配置在IPsec网关上的,在IPsec协商完成后即建立通道,IPsec网关所保护的主机在进行通信时无需输入帐户名和密码。

(6)高负载性:IPsec可以支持点对点、网对网等多种连接方式,并且可以通过部署IPsec集线器来集中管理和配置连接,从而简化管理和提高效率,高负载的情况连接更稳定,速度更快。

技术劣势

(1)配置复杂:IPsec的配置较为复杂,需要对网络安全和加密等方面有一定的了解和技能,配置过程中容易出现错误,从而导致连接失败或不稳定。

(2)轻量级的时候效率较低。

(3)可能需要在通信双方的路由器或防火墙上进行配置,对网络拓扑和结构有一定的要求。

(4)和NAT共同使用的时候IPsec的协议头中的源和目标地址被更改,这可能导致IPsec连接失败;IPsec隧道中的协商过程需要在双方能够互相访问时才能成功,而NAT可能会导致IPsec设备无法访问对方。

相关技术配置:

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

以锐捷路由器为例需要进行以下的主要配置:

(1)假如使用IKE的方式进行,配置IKE:

crypto isakmp enable 
crypto isakmp policy 1 
authentication pre-share 
encrytiong 3des

(2)配置预共享密钥和变换集合

crypto isakmp key preword address 2.2.2.1 
crypto ipsec transform-set myset esp-des esp-md5-hmac

(3)定义一个加密映射集合

crypto map mymap 5 ipsec-isakmp 
 set peer 2.2.2.1 
 set transform-set myset 
 match address 101
interface FastEthernet0 
 ip address 192.168.202.1 255.255.255.0

(4)将加密映射应用到接口

interface Serial0 
 ip address 2.2.2.2 255.255.255.0 
 encapsulation ppp 
 crypto map mymap
ip route 0.0.0.0 0.0.0.0 Serial0

(5)定义加密访问列表,对 192.168.202.0/24 和 192.168.12.0/24 子网之间的 IP 通

信进行保护

access-list 101 permit ip 192.168.202.0 0.0.0.255 192.168.12.0 
0.0.0.255 

(6)如果不适用IKE而是用手工的方式进行安全联盟则如下

# 定义变换集合
crypto ipsec transform-set myset esp-des esp-md5-hmac 
# 定义一个加密映射集合
crypto map mymap 5 ipsec-manual 
 set peer 2.2.2.1 
 set session-key inbound esp 300 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
set session-key outbound esp 301 cipher abcdef1234567890 authenticator abcdef1234567890abcdef1234567890
 set transform-set myset 
 match address 101 
interface FastEthernet0 
 ip address 192.168.202.1 255.255.255.0

PPTP

PPTP一般用于以非确定的子网中终端设备和确定网段之间的隧道连接建立,如该种情况(校外教职工家属区子网以外(陌生网)的其他校外用户,需要访问校内服务资源),情况拓扑下图所示:

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

网段特点

(1)陌生网用户不具有固定统一路由器。

(2)陌生网用户不一定安全,需用户自行主认证。

(3)可能用户端的终端设备不同、操作系统不同。

(4)需要保护、加密、安全的数据传输。

(5)一般为临时性,为轻量化连接。

技术优势

(1)易于部署:PPTP协议是一种基于PPP协议的虚拟隧道技术,使用较为简单,部署起来比较容易,服务端路由器进行配置后,用户端只需要拨号连接即可。其实SSL 虚拟隧道也可以不过需要远程用户安装支持ssl的浏览器并且安装指定插件,较为繁琐。

(2)高效性:PPTP协议在数据传输中使用了基于GRE(Generic Routing Encapsulation)协议的封装技术,能够实现较高的传输速度和较低的延迟。

(3)支持多种认证方式:PPTP协议支持多种认证方式,包括本地用户、域用户、RADIUS认证和Windows NT Challenge/Response认证等。

(4)支持多种加密算法:PPTP协议支持多种加密算法,包括MPPE、DES和3DES等。

(5)兼容性好:PPTP协议可以在多种平台上使用,包括Windows、Linux、Mac OS等。

技术劣势

(1)安全性较低:PPTP协议的加密算法较为简单,易受到攻击,容易被黑客破解。因此,在对安全性要求较高的网络中,不建议使用PPTP协议。

(2)可扩展性较差:PPTP协议是基于点对点连接的,对于大规模的网络环境,其可扩展性较差,无法满足高性能、高可靠性的需求。

(3)NAT穿越问题:PPTP协议在NAT设备后面的网络中使用时,可能会遇到无法穿越NAT设备的问题,从而导致连接失败。

(4)可管理性较差:PPTP协议的配置比较繁琐,需要手动配置,对于管理人员来说,操作起来比较困难,管理起来比较复杂。

相关技术配置

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

以锐捷路由器为例需要进行以下的主要配置:

(1)VPDN开启

vpdn enable

(2)创建VPDN组

vpdn-group pptp

(3)VPDN组的参数配置

accept-dialin //允许拨号
protocol pptp //支持pptp
virtual-template 1 //虚拟接口

(4)配置PPTP用户名和密码

username pc password 0 1111

(5)pptp本地地址池(不能和内网冲突)

ip local pool pptp 1.1.1.2 1.1.1.254

(6)配置虚拟接口

interface Virtual-Template 1 
ppp authentication pap 
ip unnumbered FastEthernet 0/1 
peer default ip address pool pptp

远程客户端进行如下配置:

在“网络和拨号连接”中新建连接,“网络连接类型”选择“通过 Internet连接到专用网络”,“公用网络”选择“不拨初始连接”,填入目标地址为192.168.201.123,命名此连接名称为 Vpdnconnect。在 Vpdnconnect 的属性中,指定 VPDN 服务器的类型为 PPTP,并在安全设置中定义使用 PAP 认证及可选加密。在点击呼叫时,输入路由器所配置的用户名 PC 和密码 1111。

VPN和NAT的冲突

情况一:NAT设备和VPN设备不是同一个,nat在VPN之后

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

对于这种情况,nat会将vpn封装的外层ip地址进行修改从而导致无法正常转发到目的地,这种时候需要利用NAT穿透技术进行处理,介于网上很多方法进行介绍就不再阐述。

情况二:NAT设备和VPN设备为同一个

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

对于这种情况,一般的设备发送报文的时候,会先判断进行nat再判断进行vpn封装,而内层ip不能进行nat地址转换,因此我们可以利用nat策略(华为路由器)或者是acl控制列表(锐捷路由器)等的方式,控制当源地址或者目的地址为私网网段内地址的时候不进行nat地址转换,即可避免冲突。

情况三:PPTP客户端的NAT转换

了解pptp的读者们应该知道,pptp隧道建立在终端设备和对端网关之间,当远程终端设备发送信息的时候,会先进行GRE封装,随后发送出去,如果当终端设备所在网段网关开启了NAPT服务的时候,此时由于GRE封装,无法获取其TCP或者UDP的端口号,从而无法正常发送。

此时就需要该网关开启pptp的nat服务(一般默认开启),该服务可以利用GRE包头中的call id 和peer call id(两者对隧道进行唯一标识)作为端口号,从而实现NAPT,将外层IP中的私网地址转成公网地址,在广域网中进行传输。

开启服务命令如下:

Ruijie(config)# ip nat translation pptp

假如隧道建立如下所示,且非家属去网关具有NAPT功能,则在非家属区的网关上开启该服务功能即可。

ipsec和pptp,智能路由器,网络,网络协议,网络安全,python

如果觉得我的回答对您有帮助,可以帮忙点个赞,支持一下,QWQ。文章来源地址https://www.toymoban.com/news/detail-736313.html

到了这里,关于IPsec和PPTP技术介绍和对应配置 以及 NAT和PPTP以及IPsec冲突解决的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)

    华为防火墙综合案例 实验拓扑 实验要求 如图所示,总计四个网络(成都总公司、绵阳分公司、Internet、出差在外员工所处的某酒店网络) IP地址已经规划完成 成都总公司CE1交换机为三层交换机连接了两个vlan,内网客户端直接通过二层交换机连接出口防火墙 绵阳分公司一个

    2024年02月07日
    浏览(47)
  • 思科模拟器NAT技术配置

    动态NAT:是将内部本地地址与内部全局地址实现一对一的不固定的动态映射 配置动态nat,实现内外网访问 在内网主机上ping一下外网主机,这个时候会发现是可以通的  动态PAT是一种是一种基于动态NAT的一种配置,又称NAT过载,因为在IPV4中IP地址是紧缺的,有时候没有那么多

    2024年02月11日
    浏览(47)
  • ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    注:所有的通信使用静态路由来保证。 HQ: Partner Branch HQ Partner Branch HQ Partner HQ Branch HQ Branch HQ HQ Partner Branch 注:此为FTP服务器设置 注:客户端Client3成功访问FTP服务器的截图 注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到

    2023年04月08日
    浏览(38)
  • 【云原生技术】云计算中,一些常见的Python框架以及它们对应的应用类型和主要用途

    Python有多个框架,每个框架适用于不同类型的应用程序。下面将介绍一些常见的Python框架以及它们对应的普通(普通应用)、原生(原生应用)、Mesh(Mesh应用)应用类型以及它们各自的主要用途: 1. Django: 应用类型: 普通应用:Django适用于构建各种类型的Web应用,包括博

    2024年01月21日
    浏览(59)
  • Compose的gradle配置以及与Kotlin的兼容对应

    要开始使用Compose,需要先向项目中添加一些 build 配置。 将以下定义添加到应用的build.gradle.kts文件中: 此外,请将以下部分中您需要的Compose BoM和Compose库依赖项的子集添加到您的依赖项: 以下是Compose 与 Kotlin 的兼容性对应关系: Compose Compiler 版本 兼容的 Kotlin 版本 1.5.9 1

    2024年02月21日
    浏览(46)
  • 【云原生技术】JavaScript在云计算中常用的一些框架,以及它们对应的应用类型和主要用途

    在云计算中,JavaScript语言主要用于前端Web开发和服务器端应用程序开发。以下是JavaScript在云计算中常用的一些框架,以及它们对应的应用类型和主要用途,按照您提供的格式进行详细介绍: 1. 前端框架: 框架: React, Angular, Vue.js 应用类型: 普通应用:前端框架如React、An

    2024年01月21日
    浏览(43)
  • 小米路由器的pptp和l2tp的区别和使用介绍

    小米路由器的PPTP/L2TP功能上线有些日子了,小编从上线开始使用到现在感觉不错,简单的说功能上其实就和VPN代理一样。 pptp和l2tp的区别 1、PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),帧中继永久虚拟电路(PVCs)、

    2024年02月08日
    浏览(53)
  • 多分支Git的操作简介,冲突合并,多平台对应

    在使用git管理代码时,在多人开发,或者不同功能开发以及环境测试时,需要保持master代码的稳定性,因此往往需要创建多分支的Git仓库,这里记录一些多分支仓库的操作指令 1. 分支操作 1.1 创建分支 上述输入想要创建的分支名字,即可在本地创建分支,如 即可以在本地创

    2024年01月22日
    浏览(47)
  • 七、VPN技术之隧道技术原理与VPN技术原理(PPTP协议、L2TP协议、MPLS VPN、Web VPN)

     更多网络基础内容可见: 网络基础学习目录及各章节指引 虽然计算机网络技术已经逐步发展完善和成熟,并且具有通用的OSI模型体系和TCP/IP模型体系,但是各类厂商公司在研发自己的网络设备时,依旧会有自己私有协议的存在。当我们在发送数据时,有可能会经过不同厂商

    2024年02月16日
    浏览(34)
  • yum源以及rpm安装包配置、yum源冲突、yum-config-manager命令找不到、curl: (35)、docker镜像重复拉取失败

    有的时候按照教程走,可能会设置yum源,设置后用yum下载东西很有可能或造成冲突 1. 删除冲突软件 2. 更换到以前的 yum 源 这里更推荐 更换到以前的 yum源,删除冲突软件首先要排除(极其浪费时间),然后删除冲突软件(删除之前最好确认这个软件是非必须的,否则可能最后要重

    2024年02月10日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包