VPN配置-類型及錯誤691的解決

VPN配置、類型詳解及錯誤691的解決一、配置VPN1.右鍵點擊“網絡”-->“屬性”，點擊下面“設置新的連接或網絡”2.選擇“連接到工作區(qū)”3.選擇“通過Internet使用虛擬專用網絡（VPN）來連接”4.輸入IP地址，目標名稱，其中目標名稱可以隨便取名。5.輸入用戶名和密碼。6.選擇立即連接即可。二、連接過程中報錯誤691的解決辦法。錯誤解決步驟：1.首先保證你用戶密碼正確.2.VPN連接屬性-->安全選項標簽下的VPN有三種類型：這里要選擇你服務器對應的類型。3.數(shù)據加密選擇可選加密。三、VPN類型詳解：VPN有如下幾中類型：點對點隧道協(xié)議（PPTP）VPN連接

二層傳輸協(xié)議IPsec（L2TP/IPsec）VPN連接

使用安全套接隧道協(xié)議（SSTP）的安全套接字層（SSL）加密的超文本傳輸協(xié)議（HTTP）VPN連接

VPN重連接，可使用Internet協(xié)議安全（IPsec）隧道模式的Internet密鑰交換版本2（IKEv2）

DirectAccess，混合使用公鑰基礎架構（PKI）、IPsec、SSL，以及Internet協(xié)議版本6（IPv6）VPN的實現(xiàn)技術1.隧道技術實現(xiàn)VPN的最關鍵部分是在公網上建立虛信道，而建立虛信道是利用隧道技術實現(xiàn)的，IP隧道的建立可以是在鏈路層和網絡層。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點是協(xié)議簡單，易于加密，適合遠程撥號用戶;第三層隧道是IPinIP，如IPSec，其可靠性及擴展性優(yōu)于第二層隧道，但沒有前者簡單直接。2.隧道協(xié)議隧道是利用一種協(xié)議傳輸另一種協(xié)議的技術，即用隧道協(xié)議來實現(xiàn)VPN功能。為創(chuàng)建隧道，隧道的客戶機和服務器必須使用同樣的隧道協(xié)議。1)PPTP（點到點隧道協(xié)議）是一種用于讓遠程用戶撥號連接到本地的ISP，通過因特網安全遠程訪問公司資源的新型技術。它能將PPP（點到點協(xié)議）幀封裝成IP數(shù)據包，以便能夠在基于IP的互聯(lián)網上進行傳輸。PPTP使用TCP（傳輸控制協(xié)議）連接的創(chuàng)建，維護，與終止隧道，并使用GRE(通用路由封裝)將PPP幀封裝成隧道數(shù)據。被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。2)L2TP協(xié)議：L2TP是PPTP與L2F（第二層轉發(fā)）的一種綜合，他是由思科公司所推出的一種技術3)IPSec協(xié)議：是一個標準的第三層安全協(xié)議，他是在隧道外面再封裝，保證了隧在傳輸過程中的安全。IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證，正是這一點才使IPSec可以確保包括遠程登錄，電子郵件，文件傳輸及WEB訪問在內多種應用程序的安全。4)SSLVPN（安全套接層協(xié)議）是網景公司提出的基于Web應用的在兩臺機器之間提供安全通道的協(xié)議。它具有保護傳輸數(shù)據積極識別通信機器的功能。SSL主要采用公開密鑰體制和X509數(shù)字證書技術在Internet上提供服務器認證，客戶認證，SSL鏈路上的數(shù)據的保密性的安全性保證。被廣泛用于Web瀏覽器與服務器之間的身份認證和加密傳輸。SSL和IPSec各實現(xiàn)在哪一層的優(yōu)劣SSL協(xié)議是高層協(xié)議，實現(xiàn)在第四層。IPSec實現(xiàn)在第三層。許多TCP/IP協(xié)議棧是這樣實現(xiàn)的：TCP、IP以及IP以下的協(xié)議實現(xiàn)在操作系統(tǒng)中，而TCP之上的協(xié)議實現(xiàn)在用戶進程中（應用程序）。SSL協(xié)議的設計思想是在不改變操作系統(tǒng)的情況下部署實現(xiàn)，因此實現(xiàn)在TCP之上，SSL協(xié)議要求與應用程序接口（安全套結字API）而不是與TCP接口，也就不與操作系統(tǒng)接口。與SSL協(xié)議的設計思想不同，IPSec是在操作系統(tǒng)內部實現(xiàn)安全功能，從而自動地對應用系統(tǒng)實現(xiàn)保護。SSL實現(xiàn)在TCP之上的安全協(xié)議存在一個問題，因為TCP協(xié)議本身沒有密碼的保護，所以只要惡意的代碼插入數(shù)據包并通過TCP的校驗，TCP數(shù)據包就不能夠覺察到惡意代碼的存在，TCP會將這些數(shù)據包轉發(fā)給SSL，而SSL會接受這些數(shù)據包，然后進行完整性驗證，最后丟棄這些數(shù)據包；但是當真實的數(shù)據包到達時，TCP會以為這是重復的數(shù)據包，從而丟棄，因為丟棄的包和前一個包有著相同的序列號。SSL別無選擇，只好關閉。同樣，IPSec不能對應用程序進行修改就可以運行也有安全問題，因為IPSec可以對源IP地址進行認證，但卻無法告訴應用程序真正用戶的身份。許多情況下，通信實體往往從不同的地址登錄，并被允許訪問網絡。大多數(shù)應用程序需要區(qū)分不同的用戶，如果IPSec已經認證了用戶的身份，那么理論上它應該把用戶的身份告訴給應用程序，但這樣就要修改API和應用程序。最大可能就是基于公鑰的認證方法，并建立IP地址與用戶名的關聯(lián)方法。SOCKS5VPNSocks5VPN的特點Socks5VPN功能是對傳統(tǒng)的IPSecVPN和SSLVPN的革新，是在總結了IPSecVPN和SSLVPN的優(yōu)缺點以后，提出的一種全新的解決方案。Socks5VPN運行在會話層，并且提供了對應用數(shù)據和應用協(xié)議的可見性，使網絡管理員能夠對用戶遠程訪問實施細粒度的安全策略檢查。基于會話層實現(xiàn)Socks5VPN的核心是會話層代理，通過代理可以將用戶實際的網絡請求轉發(fā)給應用服務器，從而實現(xiàn)遠程訪問的能力。在實現(xiàn)上，通過在用戶機器上安裝Socks5VPN瘦客戶端，由瘦客戶端監(jiān)控用戶的遠程訪問請求，并將這些請求轉化成代理協(xié)議可以識別的請求并發(fā)送給Socks5VPN服務器進行處理，Socks5VPN服務器則根據發(fā)送者的身份執(zhí)行相應的身份認證和訪問控制策略。在這種方式上，Socks5VPN客戶端和Socks5VPN服務器扮演了中間代理的角色，可以在用戶訪問遠程資源之前執(zhí)行相應的身份認證和訪問控制，只有通過檢查的合法數(shù)據才允許流進應用服務器，從而有力保護了組織的內部專用網絡。Socks5VPN與傳統(tǒng)的L2TP、IPSec等VPN相比：有效地避免了黑客和病毒通過VPN隧道傳播的風險，而這些風險是防火墻和防病毒難以克服的，因為他們已經把VPN來訪作為安全的授信用戶?；跁拰訉崿F(xiàn)的VPN優(yōu)化了訪問應用和資源提供細粒度的訪問控制基于代理模式的會話層數(shù)據轉發(fā)減少了隧道傳輸過程中的數(shù)據冗余，從而取得了傳統(tǒng)VPN無法媲美的傳輸效率Socks5VPN同時又保證了對應用的兼容性，避免SSLVPN的以下三大難題：因為運行在會話層，非應用層，支持傳輸層以上的所有網絡應用程序的訪問請求，支持所有TCP