VPN配置-類型及錯誤691的解決

VPN配置、類型詳解及錯誤691的解決一、配置VPN1.右鍵點擊“網(wǎng)絡(luò)”-->“屬性”，點擊下面“設(shè)置新的連接或網(wǎng)絡(luò)”2.選擇“連接到工作區(qū)”3.選擇“通過Internet使用虛擬專用網(wǎng)絡(luò)（VPN）來連接”4.輸入IP地址，目標(biāo)名稱，其中目標(biāo)名稱可以隨便取名。5.輸入用戶名和密碼。6.選擇立即連接即可。二、連接過程中報錯誤691的解決辦法。錯誤解決步驟：1.首先保證你用戶密碼正確.2.VPN連接屬性-->安全選項標(biāo)簽下的VPN有三種類型：這里要選擇你服務(wù)器對應(yīng)的類型。3.數(shù)據(jù)加密選擇可選加密。三、VPN類型詳解：VPN有如下幾中類型：點對點隧道協(xié)議（PPTP）VPN連接

二層傳輸協(xié)議IPsec（L2TP/IPsec）VPN連接

使用安全套接隧道協(xié)議（SSTP）的安全套接字層（SSL）加密的超文本傳輸協(xié)議（HTTP）VPN連接

VPN重連接，可使用Internet協(xié)議安全（IPsec）隧道模式的Internet密鑰交換版本2（IKEv2）

DirectAccess，混合使用公鑰基礎(chǔ)架構(gòu)（PKI）、IPsec、SSL，以及Internet協(xié)議版本6（IPv6）VPN的實現(xiàn)技術(shù)1.隧道技術(shù)實現(xiàn)VPN的最關(guān)鍵部分是在公網(wǎng)上建立虛信道，而建立虛信道是利用隧道技術(shù)實現(xiàn)的，IP隧道的建立可以是在鏈路層和網(wǎng)絡(luò)層。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點是協(xié)議簡單，易于加密，適合遠(yuǎn)程撥號用戶;第三層隧道是IPinIP，如IPSec，其可靠性及擴(kuò)展性優(yōu)于第二層隧道，但沒有前者簡單直接。2.隧道協(xié)議隧道是利用一種協(xié)議傳輸另一種協(xié)議的技術(shù)，即用隧道協(xié)議來實現(xiàn)VPN功能。為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器必須使用同樣的隧道協(xié)議。1)PPTP（點到點隧道協(xié)議）是一種用于讓遠(yuǎn)程用戶撥號連接到本地的ISP，通過因特網(wǎng)安全遠(yuǎn)程訪問公司資源的新型技術(shù)。它能將PPP（點到點協(xié)議）幀封裝成IP數(shù)據(jù)包，以便能夠在基于IP的互聯(lián)網(wǎng)上進(jìn)行傳輸。PPTP使用TCP（傳輸控制協(xié)議）連接的創(chuàng)建，維護(hù)，與終止隧道，并使用GRE(通用路由封裝)將PPP幀封裝成隧道數(shù)據(jù)。被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。2)L2TP協(xié)議：L2TP是PPTP與L2F（第二層轉(zhuǎn)發(fā)）的一種綜合，他是由思科公司所推出的一種技術(shù)3)IPSec協(xié)議：是一個標(biāo)準(zhǔn)的第三層安全協(xié)議，他是在隧道外面再封裝，保證了隧在傳輸過程中的安全。IPSec的主要特征在于它可以對所有IP級的通信進(jìn)行加密和認(rèn)證，正是這一點才使IPSec可以確保包括遠(yuǎn)程登錄，電子郵件，文件傳輸及WEB訪問在內(nèi)多種應(yīng)用程序的安全。4)SSLVPN（安全套接層協(xié)議）是網(wǎng)景公司提出的基于Web應(yīng)用的在兩臺機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)積極識別通信機(jī)器的功能。SSL主要采用公開密鑰體制和X509數(shù)字證書技術(shù)在Internet上提供服務(wù)器認(rèn)證，客戶認(rèn)證，SSL鏈路上的數(shù)據(jù)的保密性的安全性保證。被廣泛用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密傳輸。SSL和IPSec各實現(xiàn)在哪一層的優(yōu)劣SSL協(xié)議是高層協(xié)議，實現(xiàn)在第四層。IPSec實現(xiàn)在第三層。許多TCP/IP協(xié)議棧是這樣實現(xiàn)的：TCP、IP以及IP以下的協(xié)議實現(xiàn)在操作系統(tǒng)中，而TCP之上的協(xié)議實現(xiàn)在用戶進(jìn)程中（應(yīng)用程序）。SSL協(xié)議的設(shè)計思想是在不改變操作系統(tǒng)的情況下部署實現(xiàn)，因此實現(xiàn)在TCP之上，SSL協(xié)議要求與應(yīng)用程序接口（安全套結(jié)字API）而不是與TCP接口，也就不與操作系統(tǒng)接口。與SSL協(xié)議的設(shè)計思想不同，IPSec是在操作系統(tǒng)內(nèi)部實現(xiàn)安全功能，從而自動地對應(yīng)用系統(tǒng)實現(xiàn)保護(hù)。SSL實現(xiàn)在TCP之上的安全協(xié)議存在一個問題，因為TCP協(xié)議本身沒有密碼的保護(hù)，所以只要惡意的代碼插入數(shù)據(jù)包并通過TCP的校驗，TCP數(shù)據(jù)包就不能夠覺察到惡意代碼的存在，TCP會將這些數(shù)據(jù)包轉(zhuǎn)發(fā)給SSL，而SSL會接受這些數(shù)據(jù)包，然后進(jìn)行完整性驗證，最后丟棄這些數(shù)據(jù)包；但是當(dāng)真實的數(shù)據(jù)包到達(dá)時，TCP會以為這是重復(fù)的數(shù)據(jù)包，從而丟棄，因為丟棄的包和前一個包有著相同的序列號。SSL別無選擇，只好關(guān)閉。同樣，IPSec不能對應(yīng)用程序進(jìn)行修改就可以運(yùn)行也有安全問題，因為IPSec可以對源IP地址進(jìn)行認(rèn)證，但卻無法告訴應(yīng)用程序真正用戶的身份。許多情況下，通信實體往往從不同的地址登錄，并被允許訪問網(wǎng)絡(luò)。大多數(shù)應(yīng)用程序需要區(qū)分不同的用戶，如果IPSec已經(jīng)認(rèn)證了用戶的身份，那么理論上它應(yīng)該把用戶的身份告訴給應(yīng)用程序，但這樣就要修改API和應(yīng)用程序。最大可能就是基于公鑰的認(rèn)證方法，并建立IP地址與用戶名的關(guān)聯(lián)方法。SOCKS5VPNSocks5VPN的特點Socks5VPN功能是對傳統(tǒng)的IPSecVPN和SSLVPN的革新，是在總結(jié)了IPSecVPN和SSLVPN的優(yōu)缺點以后，提出的一種全新的解決方案。Socks5VPN運(yùn)行在會話層，并且提供了對應(yīng)用數(shù)據(jù)和應(yīng)用協(xié)議的可見性，使網(wǎng)絡(luò)管理員能夠?qū)τ脩暨h(yuǎn)程訪問實施細(xì)粒度的安全策略檢查?；跁拰訉崿F(xiàn)Socks5VPN的核心是會話層代理，通過代理可以將用戶實際的網(wǎng)絡(luò)請求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器，從而實現(xiàn)遠(yuǎn)程訪問的能力。在實現(xiàn)上，通過在用戶機(jī)器上安裝Socks5VPN瘦客戶端，由瘦客戶端監(jiān)控用戶的遠(yuǎn)程訪問請求，并將這些請求轉(zhuǎn)化成代理協(xié)議可以識別的請求并發(fā)送給Socks5VPN服務(wù)器進(jìn)行處理，Socks5VPN服務(wù)器則根據(jù)發(fā)送者的身份執(zhí)行相應(yīng)的身份認(rèn)證和訪問控制策略。在這種方式上，Socks5VPN客戶端和Socks5VPN服務(wù)器扮演了中間代理的角色，可以在用戶訪問遠(yuǎn)程資源之前執(zhí)行相應(yīng)的身份認(rèn)證和訪問控制，只有通過檢查的合法數(shù)據(jù)才允許流進(jìn)應(yīng)用服務(wù)器，從而有力保護(hù)了組織的內(nèi)部專用網(wǎng)絡(luò)。Socks5VPN與傳統(tǒng)的L2TP、IPSec等VPN相比：有效地避免了黑客和病毒通過VPN隧道傳播的風(fēng)險，而這些風(fēng)險是防火墻和防病毒難以克服的，因為他們已經(jīng)把VPN來訪作為安全的授信用戶?；跁拰訉崿F(xiàn)的VPN優(yōu)化了訪問應(yīng)用和資源提供細(xì)粒度的訪問控制基于代理模式的會話層數(shù)據(jù)轉(zhuǎn)發(fā)減少了隧道傳輸過程中的數(shù)據(jù)冗余，從而取得了傳統(tǒng)VPN無法媲美的傳輸效率Socks5VPN同時又保證了對應(yīng)用的兼容性，避免SSLVPN的以下三大難題：因為運(yùn)行在會話層，非應(yīng)用層，支持傳輸層以上的所有網(wǎng)絡(luò)應(yīng)用程序的訪問請求，支持所有TCP