直至网规

PPP-CHAP原理与配置


2010-10-12 13:31:43
　标签：原理 CHAP PPP 配置　　　[推送到技术圈]



 







 1  PPP概述
　　点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题，并成为正式的因特网标准。
　　PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
　　PPP支持在各种物..

 IPv4/IPv6过渡技术


2009-09-20 15:24:15
　标签：技术　　　[推送到技术圈]







版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://xuanbo.blog.51cto.com/499334/203557



1992年6月IETF公开征求对下一代IP（IPng）的建议，随后收到了若干个提案，到1994年就形成了Ipng的最后设计。1995年1月RFC 1752“下一代IP建议书”的发表是一个重要的里程碑。RFC1752概述了IPng 的需求，规定了PDU格式，突出了下一代IP在寻址、路由选择和保..

深入了解802.11n无线标准(2)
http://network.51cto.com  2007-09-13 16:18  51CTO综合报道  51CTO.com  我要评论(0)



从802.11b过渡到802.11g，只不过是一次升级行为，而从802.11g发展到802.11n，则是一个换代问题，这注定802.11n无线标准将会被业界热捧。


技术解密篇：
802.11n这种“标准滞后于产品”的现象并不罕见，千兆、万兆产品的推出走的也是这种路线，这是厂商为抢占市场优势的惯用招式，厂商们之所以会不顾一切地提前拼抢市场，足见802.11n的诱人之处确实不可小觑。
竞争力：强劲的..

博主的更多文章>>




[VPN]IPsec 与 SSL分析比较


2008-05-21 12:55:46
　标签：VPN IPsec SSL 　　　 [推送到技术圈]








fandy0026 from chinaunix.net
经常和客户交流的时候会碰到要向客户介绍这两种VPN的不同之处，以及SSL VPN的优势等等。
整理出来，大家有兴趣可以看一下！ 有不同意见的可以来相互交流！
MSN:array123@hotmail.com 需要资料的可以找我。


IPsec vpn & SSL VPN

分析比较

Array Networks, Inc.

2007年11月

概述
由于VPN（虚拟专网）比租用专线更加便宜、安全、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，一般通过加密协议，在发端加密数据、在收端解密数据，以保证数据的私密性。
Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企业部署VPN所采用的两种主要技术，它们都用来作企业远程接入的加密和认证机制，以下我们简要介绍一下两种VPN组网方法，并尽可能的对两种技术作技术和应用的对比，使企业能够对两种技术的优劣进行对比，选取更加适合本企业的VPN技术。


IPSec
从20世纪90年代中期开始，IPSec VPN逐步受到人们重视。IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”，从而允许使用者就像他们在公司局域网内部一样工作，即使他们处在很遥远的地方。为了创建这个加密隧道，需要安装VPN的集中器和每一个使用者的笔记本上安装专用软件。
如上图，IPSec VPN是工作在IP层上，是在networks层进行认证和加密的，它的建立需要在VPN的两端建立IPSec 隧道，一旦隧道建立好，所有的数据流量都从这个隧道穿过，并可以支持之上任意一种IP应用。
IPSec 隧道的建立采用Authentication Header (AH) 协议或 Encapsulating Security Payload (ESP) 协议。IPSec 是一套IETF制定的标准安全协议。
IPSec可以采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法。
用户的认证机制采用用户名、密码或基于Radius 、RSA SecurID ，或X.509证书等认证机制。


SSL VPN
密套接字协议层（SSL）作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注，而且它的使用正在增加。
SSL VPN工作在TCP层，这个技术特性决定了它是一种基于应用的VPN，可以更好的作应用层的安全访问控制机制，并能够做到底层无关性，可以做到部署方式更灵活。由于它的客户端只需要标准的浏览器，可以看作是无客户端的VPN方案，被认为是SSL VPN的主要特点。
若要使用SSL VPN，要求客户端必须具有SSL 功能的标准浏览器，如IE、Netscape等。除了WEB应用，主要的SSL VPN厂家，包括SSL VPN的领导厂家ArrayNetworks都支持C/S结构的应用，甚至包括动态端口等音频、视频等复杂应用。由于要支持C/S结构的应用，一般还要求支持Java和 ActiveX。

加密机制如同IPSec，仍然采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法


IPSec VPN 和 SSL VPN比较

1. 适用VPN组网结构

IPSec VPN适用 Site to Site 组网：这是由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。例如当VPN的总部和分支机构有很多IT设备时，采用IPSec组网方式比较灵活，支持应用广泛。
SSL VPN适用 Client to Site组网：当客户端为PC终端设备时，采用此方式。当分支机构为少量终端，或者VPN用户为分布在广泛地域的移动用户时更显优势。

IPSec 和 SSL VPN可以互为补充，满足企业不同的VPN上网群体，达到更加安全的访问组合。

2. 适用应用

IPSec VPN适用应用广泛：由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。当VPN隧道建立后，各种IP应用都可以通过VPN隧道进行访问，但这也会带来一定的安全问题。
SSL VPN同样适用各种应用：由于SSL VPN采用的是 SSL Proxy机制，作各种应用时要进行相对复杂的配置，对于WEB 应用最为适用，当支持C/S应用时，需要采用如JAVA，ActivcX等技术。复杂的控制也带来了更高的安全性。


3. VPN部署

IPSec VPN部署管理复杂：由于IPSec VPN需要在隧道两端部署一对VPN网关，或是在客户端安装专用客户端软件，部署复杂，尤其是对于大量的远端用户，除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务，VPN的安装甚至是一场恶梦。
SSL VPN部署简单灵活：由于SSL VPN 是一种无客户端的方式，只需要在数据中心部署VPN网关，属于集中管理和集中维护模式，虽然在应用适配时复杂一些，但大量用户的部署就要方便很多。尤其是随着用户量的增加，VPN的部署和管理就简单易行多了。


4. VPN 的投资

IPSec VPN费用昂贵：部署IPSec需要对基础设施进行重大改造，每一个分支机构都需要部署VPN网关，或是每个客户端都需要专用软件。尤其是对于分支机构很多，而每个分支机构终端数量又比较少的情况下，部署VPN网关的费用将急剧上升。

SSL VPN价格低廉：SSL VPN部署是属于集中部署，只需要在数据中心部署SSL VPN网关，省去了客户端的费用和部署管理费用，从长期来看，投资将有极大的降低。


5. VPN 的安全性

IPSec VPN安全缺陷：IPSec 属于隧道机制，使远程接入的安全风险增加；由于IPSec VPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁，这些客户端的安全行严重威胁企业数据中心的安全。
SSL VPN控制完善：SSL VPN是基于应用的VPN，可以针对应用和用户或组等客户信息进行细粒度的访问控制，达到更加安全的保护效果，充分保障企业数据中心的安全。


6. 接入范围

IPSec VPN接入范围狭窄：IPSec VPN只能在部署了IPsecVPN 网关的地方适用，或者客户端安装专用软件后才能使用，这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。
SSL VPN接入范围广泛：SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。


7. 适用组网结构

IPSec VPN组网不灵活：IPSec VPN的连接性会受到防火墙、网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；因为客户端的上网方式多种多样，很多公司是通过Proxy或NAT上网的，IPsec对于这些方式上网的用户支持很差。
SSL VPN组网方式灵活：SSL VPN是在TCP之上，无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。


8. 访问控制

IPSec VPN控制不灵活：IPSec VPN采用隧道机制，一旦隧道建立，客户端即可访问各种应用，很难建立基于应用的访问控制机制。
SSL VPN访问控制灵活：SSL VPN是在TCP之上， SSL VPN 更容易提供细粒度远程访问（即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制，这是IPSec VPN难以做到的）。
9. 客户端安全控制IPSec VPN控制缺失：IPSec VPN采用隧道机制，没有对客户端的安全检测和控制机制，建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过 VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。
SSL VPN具备客户端安全模块：SSL VPN产品一般具备客户端安全模块，ArrayNetworks 的 client Security模块即可完成客户端的安全检测功能，甚至可以对客户端的cache进行清除，还能生成一个安全的客户端(security desktop)，把客户端的安全风险对数据中心的影响减至最低。SSl VPN还可以进行session级的保护，在客户长时间的离开自己的机器时，SSL VPN将自动关闭，时间可以根据情况具体配置。






项目

Ipsec

ssl


适用环境

Site to Site

Client to Site


VPN层次

IP 层

应用层   


数据传输

隧道方式

SSL传输  （TCP 443）


客户端

需专用软件

无需专用客户端软件


VPN部署

复杂

简单


远端维护管理

复杂，成本高

简单，成本低


部署成本

高

低


移动连接

不适用

适用


加密级别

高

高


复杂应用支持

容易

较容易


Intranet适用

较好

很好


Web 应用

适合

非常适合


安全级别

高

高


NAT支持

不容易

容易


代理访问

不容易

容易


穿越防火墙

不容易

容易


供应商互操作

不容易

容易


即时消息传送、多播、视频会议及VoIP

容易

较复杂
采用L3VPN


B/S 应用

支持

支持


Legacy application

支持

支持


http 应用

支持

支持


文件共享

支持

支持


Wireless device

支持

支持


家庭、网吧、宾馆、其他企业接入

不好

很好，非常适用


代理级保护

不支持

支持


用户认证

不好

好


用户授权

有限

灵活


Web 访问一次性认证

不支持

支持


url 级别的接入限制

不支持

支持


域名和IP地址的保护

不支持

很好


根据用户访问的类别控制接入

不支持

支持


Session 级保护

不支持

支持本文出自 51CTO.COM技术博客
[/img]..

IPSec VPN 和SSL VPN 对比


2009-10-03 22:23:13
　标签：IPSec VPN SSL　　　 [推送到技术圈]








IPSec VPN 和SSL VPN 对比

随着网络，尤其是网络经济的发展，企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网（VPN）以其独具特色的优势，赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现..

抛弃IPSec VPN 选择SSL VPN的理由
http://network.51cto.com  2006-08-23 11:24    IT168  我要评论(0)



现在实现VPN联网方案的主要技术是IPSEC VPN与SSL VPN，同样是VPN远程联网，为何抛弃IPSec VPN 选择SSL VPN。


在企业上网如火如荼地普及开后，下一波企业网络建设的投资热潮将是企业总分部之间的跨INTERNET联网。现在的企业家已经认识到网络给企业生产力提高带来的巨大收益，纷纷要上OA、ERP、CRM等应用系统，甚至跨互联网部署。企业联网方案由于VPN技术的成熟和几乎“无处不在”的已经部..

谈谈ssl vpn的安全性
http://network.51cto.com  2006-02-07 14:58    IT世界  我要评论(0)



由于SSL VPN 采用了SSL（Security socket layer）协议，该协议是介于介于HTTP层及TCP层的安全协议


一、安全的协议
1、由于SSL VPN 采用了SSL（Security socket layer）协议，该协议是介于介于HTTP层及TCP层的安全协议。
2、通过SSL VPN是接入企业内部的应用，而不是企业的整个网络。如果是IPSEC的VPN网络，客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。
3、由..

SSL VPN与IPSec VPN之间的比较
http://network.51cto.com  2006-02-07 15:59      我要评论(1)



要了解SSL VPN与IPSec VPN到底有哪些联系与区别，首先还是先来回顾一下传统的IPSec VPN方案


要了解SSL VPN与IPSec VPN到底有哪些联系与区别，首先还是先来回顾一下传统的IPSec VPN方案。
IPSec的英文全名为“Internet Protocol Security”，中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议，它为数据在通过公用网络（如因特网）在网络层进行传输时提供安全保障。通信双方要建立IPSe..

    以太网（Ethernet）具有共享介质的特征，信息是以明文的形式在网络上传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。IEEE802.3 标准的以太网采用的是持续 CSMA 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截的我们所要的信息，这是捕获数据包的物理基础。
以太网是一种总线型的网..

关于VPN隧道技术在使用中的优势
http://network.51cto.com  2009-12-28 16:55  佚名  wade  我要评论(0)



VPN隧道技术已经成为越来越多企业使用的网络连接方式了，为了进一步了解VPN，本篇将对它的隧道技术进行深入解释。为了使得远程的企业员工可以与总部实时的交换数据信息。


关于VPN隧道技术在使用中的优势，对于VPN隧道技术破解问题，大家都很感兴趣。在向大家详细介绍如何VPN隧道技术之前，首先让大家了解下一般密码的基本流程，然后比较下面几种方法的优劣。
VPN隧道技术已经成为越来越..

如何建造一个虚拟专用网
http://network.51cto.com  2009-09-02 15:21  佚名  互联网  我要评论(0)



采用传统的广域网建立跨地区的企业专网，往往需要租用昂贵的数字专线。能否找到一个既安全又廉价的实现办法呢？


VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全，虚拟专用网络由此而得名。
VPN的三个基本要素
1. IP封装
VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时..

详解PPPOE协议的两个阶段：发现阶段会话阶段
http://network.51cto.com  2009-12-29 10:43  佚名  chinaunix  我要评论(0)



PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端的访问集中器（我们对目前能完成上述功能的设备为宽带接入服务器）上的一种标准。


详解PPPOE协议的两个阶段：发现阶段会话阶段，向大家介绍PPPOE协议的方法，可能好多人还不了解怎么对PPPOE协议进行优化，没有关系，看完本文你肯定有不少收获，希望本文能教会你更多东西。
PPPOE协议出现的背景
随着宽..

Cisco路由器双机热备的全面配置示例(1)
http://network.51cto.com  2010-04-14 16:37  阿飞  中国IT实验室  我要评论(0)



对于某些企业或组织的某些关键业务数据的网络传输,要求网络设备高度的可靠性，而且需要维护方便。


对于某些企业或组织的某些关键业务数据的网络传输,要求网络设备高度的可靠性，而且需要维护方便。
Cisco路由器的备份技术有多种。这里介绍一下路由器自身的备份技术及线路备份技术。
一般来说，路由器是建立局域网与广域网连接的桥梁。
所谓的路由器自身的备份技术是为..

史上最全华为路由器交换机配置命令大合集
http://network.51cto.com  2010-01-12 09:03  佚名  天极  我要评论(11)



华为路由器交换机配置命令是大家使用时经常遇到的，顾名思义关于交换机的计算机命令，路由器命令，交换机命令和动静态命令都将在文中提到。


史上最全华为路由器交换机配置命令大合集，熟练掌握下面的华为路由器交换机配置知识点，你只需花几分钟的时间就能明白华为路由器交换机配置。交换机的配置命令等等。
华为路由器交换机配置命令：计算机命令
PCAlogin:root；使用root用..

解读路由交换中的帧封装
http://network.51cto.com  2010-05-12 10:35  阿飞  中国IT实验室  我要评论(1)



交换功能是指路由器在一个接口接收数据包并将其从另一个接口转发出去的过程。交换功能的重要责任是将数据包封装成适用于传出数据链路的正确数据帧类型。


交换功能是指路由器在一个接口接收数据包并将其从另一个接口转发出去的过程。交换功能的重要责任是将数据包封装成适用于传出数据链路的正确数据帧类型。
对于从一个网络传入，以另一个网络为目的地的数据包，路由器会进行哪些处理..

2010软考上午试题分析

软考论文收集

路由重分布与分布列表


2010-05-20 21:47:15
　标签：路由 列表　　　 [推送到技术圈]







版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://tiansheng.blog.51cto.com/725169/318577



     当许多运行多路由的网络要集成到一起时，必须在这些不同的路由选择协议之间共享路由信息。在路由选择协议之间交换路由信息的过程被称为路由重分布。
    路由重分布时计量单位和管理距离是必须要考虑的。..

用三层交换机实现大中型企业VLAN


2006-03-02 21:52:44
　标签：交换机 VLAN 交换　　　 [推送到技术圈]









企业规模的扩大造就了企业网络规模的不断膨胀，众多企业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现，随之而来的就是网络体系变得越来越复杂，对网络的管理也变得越来越困难，网内的安全指数也变得越来越低，并且网络资源的利用率也大大降低，如何行之有效的管理网络和合理利用网络资源成为企业最大的难题。
采用VLAN方式划分网络体系能够让管理员更加方便的管理企业网络，而VLAN..

VPN中的隧道技术详解


2008-08-13 09:24:28
　标签：VPN 隧道 技术 详解　　　 [推送到技术圈]







一 VPN概述

为了使得远程的企业员工可以与总部实时的交换数据信息。企业得向ISP租用网络提供服务。但公用网容易遭受各种安全攻击（比如拒绝服务攻击来堵塞正常的网络服务，或窃取重要的企业内部信息）

VPN这个概念的引进就是用来解决这个问题。它是利用公用网络来连接到企业私有网络。但在VPN中，用安全机制来保障机密型，真实可靠行，完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提..