為何要使用VPN (Virtual Private Network)?
可以在兩個或是兩個以上的網路
可建立通道tunnel來將封包加密以維護安全
可建立認證機制
那種情形不需要用到VPN
1.E-mail 加密
2.Wed 加密
3.遠端控制
因為都有其protocol 不用特別用VPN
VPN 的架構分兩大類
1. Site to Site
2. Clent to Site
VPN 兩端的private ip 儘可能的不要同一個網段
常用的VPN技術
***CIPE (Crypto IP Encapsulation)***
可適用於Site to Site & Client to Site
*簡單設定
*使用UDP--速度快
*可使用帳號/密碼 及key 驗證
*有win 2000 的Beta client
*Linux only not Open standard
CIPE 在redhat linux kernel中預設有支援且開啟
故只要設定User space 就可以了不用編譯核心
CIPE扮演一張網卡
設定檔 /etc/sysconfig/network-scripts/ifcfg-cipcb0
/etc/cipe/options.cipcb0 (user space設定檔)
Lab 架構
OS: redhat linux 9.0
PC1: 192.168.0.252
PC2: 192.168.0.249
Lab: Site to Site VPN
(PC1)#rpm -q cipe
(PC1)#cp /usr/share/doc/cipe-1.4.5/samples/redhat-ifcfg-cipcb0 /etc/sysconfig/network-scripts/ifcfg-cipcb0
(PC1)#vi /etc/sysconfig/network-scripts/ifcfg-cipcb0 #修改以下部份
USERCTL=no
MYPORT=6060
PEER=192.168.0.249:6060
PTPADDR=10.0.2.1
IPADDR=10.0.1.1
(PC1)#echo "key `dd if=/dev/random bs=1024 count=1 | md5sum | cut -c1-32`" > /etc/cipe/options.cipcb0
(PC1)#chmod 400 /etc/cipe/options.cipcb0
(PC1)#vi /etc/sysconfig/static-routes
any net 10.0.2.0 netmask 255.255.255.0 gw 10.0.2.1
(PC1)#service network restart
(PC2)#cp /usr/share/doc/cipe-1.4.5/samples/redhat-ifcfg-cipcb0 /etc/sysconfig/network-scripts/ifcfg-cipcb0
(PC2)#vi /etc/sysconfig/network-scripts/ifcfg-cipcb0 #修改以下部份
USERCTL=no
MYPORT=6060
PEER=192.168.0.252:6060
PTPADDR=10.0.1.1
IPADDR=10.0.2.1
(PC2)#scp 192.168.0.252:/etc/cipe/options.cipcb0 /etc/cipe
(PC2)#chmod 400 /etc/cipe/options.cipcb0
(PC2)#vi /etc/sysconfig/static-routes
any net 10.0.1.0 netmask 255.255.255.0 gw 10.0.1.1
(PC2)#service network restart
測試PC1 and PC2 互ping 對方並用tcpdump or ethereal 觀察只會看到UDP封包
沒有留言:
張貼留言