驗過程:
1、建立如圖拓撲結構
網絡拓撲圖
2、為主機配置地址
R1接口配置
sys
sysn R1
int g0/0/0
ip add 192.168.12.3 24
int g0/0/1
ip add 192.168.1.254 24
undo shu
#
R2接口配置
sys
sysn R2
int g0/0/0
ip add 192.168.12.2 24
int g0/0/1
ip add 192.168.23.1 24
undo shu
#
R3接口配置
sys
sysn R3
int g0/0/0
ip add 192.168.2.254 24
int g0/0/1
ip add 192.168.23.3 24
undo shu
#
然后配置VPN
公司總部路由器R3配置:
[R3]acl number 3000 //創建ACl
[R3-acl-adv-3000]rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 //配置允許192.168.2.0 網段訪問192.168.1.0網段
[R3-acl-adv-3000]ipsec proposal huawei //新建安全提議,名字為huawei
[R3-ipsec-proposal-huawei]esp authentication-algorithm sha1 //設置加密方式sha1,默認MD5
[R3-ipsec-proposal-huawei]q
[R3]ipsec policy huawei 10 manual
//配置ipsec策略,策略名為huawei,編號為10,模式為手動配置模式
[R3-ipsec-policy-manual-huawei-10]security acl 3000
//匹配acl,就是讓這個數據(192.168.1.0訪問192.168.2.0的數據)走VPN
[R3-ipsec-policy-manual-huawei-10]proposal huawei //引用名為huawei的提議
[R3-ipsec-policy-manual-huawei-10]tunnel local 192.168.23.3 //本地隧道地址
[R3-ipsec-policy-manual-huawei-10]tunnel remote 192.168.12.3 //對端隧道地址
[R3-ipsec-policy-manual-huawei-10]sa spi inbound esp 54321
//安全聯盟入方向,SPI為54321,本端入方向SPI必須和對端出方向SPI一致
[R3-ipsec-policy-manual-huawei-10]sa string-key inbound esp cipher huawei //安全聯盟密鑰,入方向為加密的huawei,本端入方向密鑰必須和對端出方向密鑰一致
[R3-ipsec-policy-manual-huawei-10]sa spi outbound esp 12345
//安全聯盟出方向,SPI為12345,本端出方向SPI必須和對端入方向SPI一致
[R3-ipsec-policy-manual-huawei-10]sa string-key outbound esp cipher huawei000
//安全聯盟密鑰,出方向為加密的huawei,本端入方向密鑰必須和對端出方向密鑰一致
[R3]int g0/0/1 //進入端口g0/0/1
[R3-GigabitEthernet0/0/1]ipsec policy huawei //在端口上應用
在R3上配置靜態路由
[R3]ip route-static 0.0.0.0 0 192.168.23.1
分公司路由器R1配置:
[R1]acl number 3000
[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.1
68.2.0 0.0.0.255
[R1-acl-adv-3000]ipsec proposal huawei
[R1-ipsec-proposal-huawei]esp authentication-algorithm sha1
[R1-ipsec-proposal-huawei]q
[R1]ipsec policy huawei 10 manual
[R1-ipsec-policy-manual-huawei-10]security acl 3000
[R1-ipsec-policy-manual-huawei-10]proposal huawei
[R1-ipsec-policy-manual-huawei-10]tunnel local 192.168.12.3
[R1-ipsec-policy-manual-huawei-10]tunnel remote 192.168.23.3
[R1-ipsec-policy-manual-huawei-10]sa spi inbound esp 12345
[R1-ipsec-policy-manual-huawei-10]sa string-key inbound esp cipher huawei000
[R1-ipsec-policy-manual-huawei-10]sa spi outbound esp 54321
[R1-ipsec-policy-manual-huawei-10]sa string-key outbound esp cipher huawei
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ipsec policy huawei
在R1上配置靜態路由
[R1]ip route-static 0.0.0.0 0 192.168.12.2
最終效果:PC1ping通PC2
最終效果:PC2pingPC1
在R1的g0/0/0接口抓包
在R3的g0/0/1接口抓包
弟們,大家周末好呀。
最近ChatGPT簡直是全網爆火,
尤其是在程序員圈,幾乎是人均體驗官。 在日常的工作中,都已經開始用智能AI短暫的解放雙手了。
但是哈,想要體驗一把并不是那么的容易,首先你要知道一個叫VPN的東西。
出于一個湊字數,阿呸,是給小白同學普及知識的目的,咱們先來說一下什么是VPN。
VPN的英文全稱是,Virtual Private Network,這是一種虛擬專用網絡,或者再通俗一點講,
VPN是一種中轉服務;
當我們的電腦接入VPN后,對外公網的IP地址就會發生改變。
來自開發者周刊
所以有些人利用VPN把自己的IP,變成了國外的IP地址,就是咱們通俗說的翻墻。
這個時候,就有人來問了,那用這玩意違F嗎?
會問這些問題的人,應該是看到過這些新聞:
還有這些:
首先,使用VPN是否違法也是分情況的。
1、個人使用屬于違F行為。
被網警叔叔們發現之后會處以警告和罰款,500~1000這樣子。
2、組織販賣該類型軟件,妥妥的銀手鐲。
比如下面這個新聞:
3、組織/企業使用需進行資質申請。
前邊都是說的個人,大家在日常刷視頻的時候,也能看到很多明星/網紅們在推特發的消息。
就比如一些網紅/明星/大企業的ceo,經常發Twitter。
人家這是公司/高等院校申請的相關的資質,申請的條件如下,大家可以根據自己的實際情況去催促老板。
接下來進入第二環節。
有人說,使用VPN上網,會保護個人隱私?是真的嗎?
當然,VPN并不能隱藏自己的IP,VPN客戶端和服務端之間是通過加密通道通信。
使用VPN可以在傳遞的數據的時候不會在傳輸的過程中被竊取或篡改,從另一角度來說確實有起到保護隱私的作用。
不過對于普通人來說,還是Google的“打開新的無痕式窗口”會更加管用。
VPN服務的存在只是為了通過公共網絡建立一個臨時的、安全的鏈接,去訪問你在正常情況下你不能訪問的一些網站。
大多數使用場景是跨國公司的內外協作,還有一些學者在學術論壇的交流。
即使是申請到了資質的公司,員工也不能隨便去看東西。
如果你偷摸去了 一些不該去的網站,甚至是發表一些過激言論的話,那么不僅是員工,連帶著公司也會收到處罰。
所以,大部分公司都會給自己的員工做幾個簡單的規定:
嚴禁利用公司賬號資源,從事其他與工作無關的事情。
大家可以自己想一下,如果你真干了這種事,估計離丟飯碗也不遠了。
再次溫馨提示:個人使用、制作、出售 VPN都是違法行為,會根據情節會受到不同程度的處罰。
1、個人使用+傳播=警告+罰款。
2、個人使用+售賣=有期徒刑+沒收所得。
3、頻繁使用,容易導致隱私泄露。
以上素材來源網絡,如有侵權,聯系刪除
不同的遠程網絡通過 Internet 連接時,比如上海和北京的兩個分公司通過Internet 連接時,網絡之間的互訪將會出現一些局限性,如下拓樸所示:
在上圖中,由于上海和北京的兩個分公司內部網絡分別使用了私有 IP 網段10.1.1.0 和 192.168.1.0,而私有 IP 網段是不能傳遞到 Internet 上進行路由的,所以兩個分公司無法直接通過私網地址 10.1.1.0 和 192.168.1.0 互訪,如 R2 無法直接通過訪問私網地址 192.168.1.4 來訪問 R4。在正常情況下,上圖中兩個分公司要互訪,可以在連接 Internet 的邊界路由器上配置 NAT 來將私網地址轉換為公網地址,從而實現兩個私有網絡的互訪。
但是在某些特殊需求下,兩個分公司需要直接通過對方私有地址來訪問對方網絡,而不希望通過 NAT 映射后的地址來訪問,比如銀行的業務系統,某銀行在全國都有分行,而所有的分行都需要訪問總行的業務主機系統,但這些業務主機地址并不希望被 NAT 轉換成公網地址,因為銀行的主機不可能愿意暴露在公網之中,所以分行都需要直接通過私網地址訪問總行業務主機;在此類需求的網絡環境中,我們就必須要解決跨越 Internet 的網絡與網絡之間直接通過私有地址互訪的問題。
在上圖的網絡環境中,上海與北京兩個分公司網絡通過路由器直接互連,雖然兩個公司的網絡都是私有網段,但是兩個網絡是直連的,比如上海分公司的數據從本地路由器發出后,數據包直接就丟到了北京分公司的路由器,中間并沒有經過任何第三方網絡和設備,所以兩個分公司直接通過對方私有地址互訪沒有任何問題。由上圖環境可知,只要兩個網絡直接互連而不經過任何第三方網絡,那么互連的網絡之間可以通過真實地址互訪,而無論其真實地址是公網還是私網。例如上海與北京這樣的遠距離網絡要直連從而實現直接通過私有地址互訪,要在公司之間自行鋪設網絡電纜或光纖是完全不可能的,可以選擇的替代方法就是向 ISP 申請租用線路,這樣的租用線路稱為專線,專線是 ISP 直接將兩個公司連接起來的線路,完全是公司與公司的路由器直連,用戶不會感覺到 Internet 的存在,所以通過租用 ISP專線連接的網絡之間可以直接通過對方私有地址進行互訪。至于 ISP 的專線是如何實現的,您不必擔憂,通常是使用二層技術實現的,但是專線的租用價格是相當昂貴的,有時是根據距離和帶寬收費的,所以在某些時候,在公司之間通過租用 ISP專線連接的成本可能無法承受,因此,人們嘗試著使用網絡技術讓跨越 Internet 的
網絡模擬出專線連接的效果,這種技術,就是隧道技術(Tunnel),也是當前很常見的 VPN(Virtual Private Network)技術。
如果不能實現隧道功能的 VPN,不能稱為 VPN。