網路機頂盒vpn設置

⑴ 如何架設VPN網路

VPN的基本配置06-06-21 14:23 發表於：《玩西祠滴上三樓》 分類：未分類
VPN的基本配置

VPN配置簡單說明書
一、 IKE協商的階段簡單描述：

IKE協商可以和TCP的三次握手來類比，只不過IKE協商要比TCP的三次握手要復雜一些，IKE協商採用的UDP報文格式，默認埠是500，在主模式下，一個正常的IKE協商過程需要經過9個報文的來回，才最終建立起通信雙方所需要的IPSec SA，然後雙方利用該SA就可以對數據流進行加密和解密。下面結合簡單描述一下協商的過程。
假設A和B進行通信，A作為發起方，A發送的第一個報文內容是本地所支持的IKE的策略（即下面所提到的Policy），該policy的內容有加密演算法、hash演算法、D-H組、認證方式、SA的生存時間等5個元素。這5個元素裡面值得注意的是認證方式，目前採用的主要認證方式有預共享和數字證書。在簡單的VPN應用中，一般採用預共享方式來認證身份。在本文的配置中也是以預共享為例來說明的。可以配置多個策略，對端只要有一個與其相同，對端就可以採用該policy，並在第二個報文中將該policy發送回來，表明採用該policy為後續的通信進行保護。第三和第四個報文是進行D-H交換的D-H公開值，這與具體的配置影響不大。在完成上面四個報文交換後，利用D-H演算法，A和B就可以協商出一個公共的秘密，後續的密鑰都是從該秘密衍生出來的。第五和第六個報文是身份驗證過程，前面已經提高後，有兩種身份驗證方式——預共享和數字證書，在這里，A將其身份信息和一些其他信息發送給B，B接受到後，對A的身份進行驗證，同時B將自己的身份信息也發送給A進行驗證。採用預共享驗證方式的時候，需要配置預共享密鑰，標識身份有兩種方式，其一是IP地址，其二是主機名（hostname）。在一般的配置中，可以選用IP地址來標識身份。完成前面六個報文交換的過程，就是完成IKE第一階段的協商過程。如果打開調試信息，會看到IKE SA Establish（IKE SA已經建立），也稱作主模式已經完成。
IKE的第二階段是快速模式協商的過程。該模式中的三個報文主要是協商IPSec SA，利用第一階段所協商出來的公共的秘密，可以為該三個報文進行加密。在配置中，主要涉及到數據流、變換集合以及對完美前向保護（PFS）的支持。在很多時候，會發現IKE SA已經建立成功，但是IPSec SA無法建立起來，這時最有可能的原因是數據流是否匹配（A所要保護的數據流是否和B所保護的數據流相對應）、變換集合是否一致以及pfs配置是否一致。
二、 IKE、IPSec配置基本步驟
1．配置IKE 策略（policy）
policy就是上圖中的IKE策略。Policy裡面的內容有hash演算法、加密演算法、D-H組、生存時間。可以配置多個policy，只要對端有一個相同的，雙方就可以採用該policy，不過要主要policy中的認證方式，因為認證方式的不同會影響後續的配置不同。一般採用預共享（preshare）。在目前的安全路由器和VPN3020上的實現上都有默認的配置選項，也就是說如果你新增加一條策略後，即使什麼都不配置，退出後，也會有默認值的。
2．配置預共享密鑰（preshare）
在配置預共享密鑰的時候，需要選擇是IP地址還是Hostname來標識該密鑰，如果對端是IP地址標識身份，就採用IP地址來標識密鑰；如果對端是Hostname來標識身份，則採用hostname來標識密鑰。
3．配置本端標識（localid）
本端標識有IP地址和Hostname，在安全路由器上，默認的是用IP地址來標識。即不配置本端標識，就表示是用IP地址來標識。
以上三個步驟就完成IKE的配置，以下是IPSec的配置：
4．配置數據流（access-list）
很容易理解，部署任何VPN都需要對數據流所限制，不可能對所有的數據流都進行加密（any to any）。配置好數據流後，在加密映射（map）中引用該數據流。
5．配置變換集合（transform-set）
變換集合是某個對等方能接受的一組IPSec協議和密碼學演算法。雙方只要一致即可。注意，在VPN3020和帶加密模塊的安全路由器上支持國密辦的SSP02演算法。
6．配置加密映射（map）
為IPSec創建的加密映射條目使得用於建立IPSec安全聯盟的各個部件協調工作，它包括以下部分：
l 所要保護的數據流（引用步驟4所配置的數據流）
l 對端的IP地址（這個是必須的，除非是動態加密映射，見本文後面的章節）
l 對所要保護的數據流採用什麼加密演算法和採用什麼安全協議（引用步驟5所配置的變換集合）
l 是否需要支持PFS（雙方要一致）
l SA的生存時間（是可選的，不配置的話有默認值）
7．應用（激活）加密映射
在安全路由器上是將該加密映射應用到介面上去，而在VPN3020上是激活（active）該map。
三、 動態加密映射技術
目前，安全路由器系列和VPN系列均支持動態加密映射。什麼是動態加密映射？動態加密映射所應用的環境是什麼呢？我們可以從以下的一個案例中來說明動態加密映射的概念。如下圖：

在上圖的網路拓撲中，MP803接入Internet的並不是寬頻接入（固定IP地址），而是在通過電信ADSL撥號來獲取到IP地址，不是固定的IP地址。這時候，對於上端MP2600A來說，就存在問題了，回想一下前面所描述的配置步驟，在步驟六中配置加密映射的時候，需要配置對端的peer IP地址，這時候怎麼辦呢？或許您想到——那我每次撥號獲取到IP地址後，再在兩端來配置IPSec——這種解決辦法是OK的，只要客戶或者您自己容忍每次MP803重新撥號後，您重新去更改配置。顯然，這樣方法充其量只能用來測試的。
動態加密映射就是用來解決這類問題的。顧名思義，動態加密映射，就是說，在配置加密映射的時候，不需要配置對端的peer IP地址。目前，安全路由器和VPN系列都支持動態加密映射，但由於兩者實現上的差異，導致他們在配置動態加密映射的時候存在一些不同，在後文的實際配置案例中會講到。
四、 NAT穿越略述
NAT穿越是指在兩台VPN網關之間的還存在NAT設備，從原理來說，NAT和IPSec存在一定的矛盾。主要體現兩點：NAT更改了IP數據包的IP源地址或者目的地址，這與IPSec協議中的AH認證頭協議存在不可調和的矛盾，因此如果IPSec報文需要穿越NAT設備的話，在配置變換集合的時候就不能選用AH協議（目前，由於ESP協議也提供驗證功能，AH使用很少）；第二點是NAT設備的埠地址轉換是針對TCP/UDP/ICMP等協議。對於ESP協議，沒有相應的處理機制。具體詳細資料請查看IETF的草案。此外，NAT穿越目前還沒有國際標准，公司在國內率先實現了NAT穿越功能。目前，公司的安全路由器、VPN3020等都已經實現了NAT穿越。
NAT穿越對於路由器和VPN3020上的配置沒有任何的改變。目前，公司的北京辦和總部的互聯的兩台路由器建立隧道就是穿越了NAT。
五、 實際配置案例
案例1：路由器與路由器互通
網路拓撲如圖所示：
網路拓撲1

需求：兩台MP2600路由器，都有固定的公網IP地址，現在需要構建VPN，保護在兩台路由器後面的網路。使PC1能夠訪問到PC2。
規劃：使用IKE自動協商密鑰，policy的參數設置，加密演算法為des、驗證演算法為sha方式為預共享、D-H組為group 1；身份標識為IP地址，以IP地址作來標識預共享密鑰；變換集合參數設置，隧道模式為tunnel、協議-演算法為esp-des、esp-md5；不啟用pfs；在配置注意，避免配置所要保護的數據流為any到any。首先是在實際使用過程中，不會有這樣的需求，其次，這樣會讓很多本來不需要加密的通信無法通信。

⑵ 區域網下如何設置路由器實現VPN連接

設置方法：

A廠使用QVM330

B廠使用QVM250

1.進入QVM330路由器後點擊【VPN虛擬路私有網路】---【網關對網關設定】設置一個隧道2.設置VPN遠程網關認證IP地址。這里是需要填寫B廠的IP地址。

3.設置好以後確定。在【目前VPN狀態】看到所示說明A廠的路由器拔號到B廠成功了。

4.但是只能A廠的用戶訪問B廠的數據。反過來B廠是不可以訪問的。那需要把B廠的路由器也設置拔號到A廠。方法和上面的方法是一樣的。只是IP地址不一樣。

5.兩台路由器互拔VPN就可以實現兩個廠的數據傳輸。兩個廠的網路就像區域網一樣。

⑶ 網路機頂盒vpn設置是什麼意思

虛擬專用網(VPN)被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接，是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。
通過將數據流轉移到低成本的壓網路上，一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網路連接上的費用。
同時，這將簡化網路的設計和管理，加速連接新的用戶和網站。另外，虛擬專用網還可以保護現有的網路投資。
隨著用戶的商業服務不斷發展，企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上，而不是網路上。虛擬專用網可用於不斷增長的移動用戶的全球網際網路接入，以實現安全連接；可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。
網路機頂盒（Network Set-Top Box）簡稱STB技術是目前信息家電中至關重要的技術設備。到目前為止機頂盒的功能已從一個多頻率的調諧器和解碼器躍升為大量電影、多媒體事件、新聞等 聯機資料庫的一個控制終端。因此，如何擴展機頂盒的功能，提高質量，降低生產成本，優化產品結構，對發展即將出現的互動式電視網路具有重要的意義。

⑷ 網路機頂盒vpn設置是什麼意思

硬體設置 我用的旗艦

⑸ 路由器VPN的設置

你好！無線路由器設置的方法如下：
1、首先，接好無線路由器之後需要做的一個事情，檢查是否通電，無線路由器是否正常亮燈運行。
2、檢查無誤後，打開瀏覽器輸入：192.168.1.1後按ENTER進入，這個時候彈出一個對話框，需要輸入帳戶名和密碼，這個不用操心，在路由器的後面會有的，你找著打上去就能登陸了，一般情況下都是：帳戶名：admin
密碼：admin
3、按照路由器背後的賬戶密碼輸入登錄後，就可以登陸到路由器的設置頁面了。
4、點擊頁面的設置向導，會出現一個帶領你設置好路由器的框框，按照它的要求一步步走下去。
5、點擊下一步，進入到賬號密碼設置，這個賬號密碼是你當前網路上網的賬號和密碼，如果不知道，可以打電話咨詢運營商。
6、設置好上網的賬號密碼之後就是無線上網的功能設置了，設置你的WIFI名稱和WIFI密碼，建議密碼不要設置過於簡單，容易被人破解，並且加密方式採用系統推薦就可以，安全有保障。
7、點擊完成，路由器設置已經成功了。

⑹ 榮耀盒子如何設置VPN

在設置-更多中有虛擬網路專用