VPN到底是什么东西？不要百度里的答案，看不懂，要通俗易懂的答案，谢。_百度知道
VPN到底是什么东西？不要百度里的答案，看不懂，要通俗易懂的答案，谢。
所以有安全风险。相当于。其实就是你的网络请求统一通过VPN服务器发出，通过VPN，表现就是你在美国上线了，那么你再上网，你接入美国网络，你本来在中国中文名虚拟专用网。 你的数据经过人家转发哟
其他类似问题
为您推荐：
vpn的相关知识
其他2条回答
就相当于一种代理上网的方式。
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁| 时间排序
Shadowsocks 只要开启，就提供默认1080端口代理，无论有没有选择pac或全局代理。&br&&br&pac列表是同步gfwlist的一张被墙网站列表，但有时会遇到有的网站和链接未被收集进gfwlist，当碰到这种情况时，用SwitchySharp就可以很方便的自定义那个打不开的网址走代理。
Shadowsocks 只要开启，就提供默认1080端口代理，无论有没有选择pac或全局代理。pac列表是同步gfwlist的一张被墙网站列表，但有时会遇到有的网站和链接未被收集进gfwlist，当碰到这种情况时，用SwitchySharp就可以很方便的自定义那个打不开的网址走代理。
&a href=&///?target=https%3A///iqiancheng/shadowsocks-awesome& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&GitHub - iqiancheng/shadowsocks-awesome: 一个实时更新的实用gfwlist清单。用于ss的PAC自动分流。&i class=&icon-external&&&/i&&/a&&br&这个shadowsocks的gfwlist还是比较不错的，用ss可以不用那个臃肿的Omega插件。直接放在shadowsocks.exe所在目录就可以。&br&他还有好几个分支，client 分支下面有最新的客户端；surge分支下有surge的最新conf。科学上网的同学可以看看, 我现在在用 感觉还可以&br&&br&建议使用pac模式来自动判断走代理，这个repo下面的pac.txt就是pac脚本，如果有的网站没有走代理，可以自己修改gfwlist脚本，添加该网址即可～
这个shadowsocks的gfwlist还是比较不错的，用ss可以不用那个臃肿的Omega插件。直接放在shadowsocks.exe所在目录就可以。他还有好几个分支，client 分支下面…
chrome有个简单的代理设置，而使用Proxy SwitchySharp会屏蔽chrome自身的代理设置。所以chrome会有提醒。
chrome有个简单的代理设置，而使用Proxy SwitchySharp会屏蔽chrome自身的代理设置。所以chrome会有提醒。
我也想知道，但我觉得可能没有，因为我觉得这个可能需要一个简单、稳定不容易出错的环境。&br&&br&&a href=&///?target=https%3A//web.archive.org/web/29/http%3A///eng/mozilla/2.0/relnotes/demo/proxy-live.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&web.archive.org/web/200&/span&&span class=&invisible&&//eng/mozilla/2.0/relnotes/demo/proxy-live.html&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&
我也想知道，但我觉得可能没有，因为我觉得这个可能需要一个简单、稳定不容易出错的环境。
可以了解下&br&NAT64 、DNS64 &br&&p&我没有IPv6环境，所以不懂，只是查了下&/p&
可以了解下NAT64 、DNS64 我没有IPv6环境，所以不懂，只是查了下
不能，VPN最主要的作用不是用来翻墙，而是用来组建一个跨区域的虚拟的局域网。&br&&b&Virtual Private Network（虚拟专用网）&/b&&br&&br&VPN跟代理服务器的性质不一样，虽然他们都能起到更改网络出口的作用&br&&br&&br&对于公司来说，要通过防火墙来管理内部网络的，而通过VPN链接的，通常也认为是接入了内网。&br&&br&因此实现起来就是全局的，所以没法像你想的那样有的网站走VPN，有的直连。
不能，VPN最主要的作用不是用来翻墙，而是用来组建一个跨区域的虚拟的局域网。Virtual Private Network（虚拟专用网）VPN跟代理服务器的性质不一样，虽然他们都能起到更改网络出口的作用对于公司来说，要通过防火墙来管理内部网络的，而通过VPN链接的，通常…
&a href=&///?target=https%3A///post/code/www/liu-lan-qi-xiu-tan& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&浏览器嗅探&i class=&icon-external&&&/i&&/a&&br&IE的话，是可以看到系统默认语言以及系统设置语言的&br&&br&还有就是发包，浏览器发包&br&&br&(Request-Line)
GET / HTTP/1.1&br&Host
&a href=&& class=&internal&&/&/a&&br&User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:49.0) Gecko/ Firefox/49.0&br&Accept
text/html,application/xhtml+xml,application/q=0.9,*/*;q=0.8&br&&b&Accept-Language
zh-CN,q=0.8,en-US;q=0.5,q=0.3&/b&&br&Accept-Encoding
gzip, deflate&br&&br&但就我来看，可能你的代理没设置好，这个网页应该是通过出口IP判断来进行跳转的
IE的话，是可以看到系统默认语言以及系统设置语言的还有就是发包，浏览器发包(Request-Line) GET / HTTP/1.1Host User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:49.0) Gecko/ Firefox/49.0Accept text/…
呃，说明一下，Shadowsock只要在运行，就会提供代理，至于是否开启PAC或者全局代理。&br&这都是作用在IE的代理设置里的（你可以在IE的代理设置里看到相关设置被改动），设置了之后，不仅仅是IE，包括你所有的软件流量都会通过PAC或者全局的话就是全局代理。这是由于微软的IE的特殊地位造成的。&br&&br&而Proxy SwitchySharp则是只作用于Chrome&br&&br&我再举个Firefox的例子好了，就算你用Shadowsock开了PAC或者全局模式。&br&但Firefox里设置不使用代理，那他就是直连，不走代理。&br&FF就是这么任性&br&&br&于是FF用的话就是只运行Shadowsock就可以，可以不用开PAC模式或者全局，只要在FF里设置代理就好
呃，说明一下，Shadowsock只要在运行，就会提供代理，至于是否开启PAC或者全局代理。这都是作用在IE的代理设置里的（你可以在IE的代理设置里看到相关设置被改动），设置了之后，不仅仅是IE，包括你所有的软件流量都会通过PAC或者全局的话就是全局代理。这是…
楼主这个问题该怎么解决 我也是这样
楼主这个问题该怎么解决 我也是这样
我只能说原理，每个连接理论上是可以用不同ip的，但同一个连接不能使用多个ip&br&打开一个网页（或其他传输方式），里面包含若干个连接：网页本身、外部css、外部js、图片等等，根据上面所说，理论上也可以每个连接单独用一个ip&br&目前的工具可以针对特定的域名走不同的路径，例如知乎的页面除了&a href=&& class=&internal&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&/a&本身，也含有&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&，可以两者走向不同（当然逆操作就相当于拦截了）&br&至于什么工具，再说下去就触发关键字了，去addons上面搜就是了
我只能说原理，每个连接理论上是可以用不同ip的，但同一个连接不能使用多个ip打开一个网页（或其他传输方式），里面包含若干个连接：网页本身、外部css、外部js、图片等等，根据上面所说，理论上也可以每个连接单独用一个ip目前的工具可以针对特定的域名走…
http 协议里面有一个选项，是你的浏览器基本信息，里面包括了操作系统版本，还有时区国家等信息。
http 协议里面有一个选项，是你的浏览器基本信息，里面包括了操作系统版本，还有时区国家等信息。
卖梯子比较靠谱
卖梯子比较靠谱
最简单的是通过邮箱了，而且Python内置了相应的库。在Python手册中可以找到相应的范例，打开手册搜索email找到email：Examples。
最简单的是通过邮箱了，而且Python内置了相应的库。在Python手册中可以找到相应的范例，打开手册搜索email找到email：Examples。
可能的原因：&br&1（大多数情况）.这个网站没有被墙，而且你使用PAC模式，没有走代理，解决方法：在PAC中添加此域名，或者全局代理。&br&2（仅支持GPS的笔记本、平板、手机）.该网站通过定位进行判断，解决：伪装位置信息。&br&3（仅手机，如Google now和Google play）通过Sim卡运营商判断，解决：模拟运营商&br&4（极少数）通过语言进行判断，解决：设置系统语言，Linux可以卸载浏览器的语言包，安卓可以通过app settings分应用设置
可能的原因：1（大多数情况）.这个网站没有被墙，而且你使用PAC模式，没有走代理，解决方法：在PAC中添加此域名，或者全局代理。2（仅支持GPS的笔记本、平板、手机）.该网站通过定位进行判断，解决：伪装位置信息。3（仅手机，如Google now和Google play）…
说一下我个人的使用体验，我用的是Mac版本的shadowsocksX客户端，配置也是正确的，但是chrome老是上不了谷歌，一直以为是客户端有问题，突然有一天我发现我的chrome插件swich omega一直在运行，虽然处于直接连接状态，后来我尝试把这个插件给禁用了，才能让chrome打开谷歌，结论是shadowsksX和swich omega插件不能同时使用！&br&&br&shadowsoksX客户端是socks代理，支持全局和pac两种模式，建议使用pac模式来自动判断走代理，如果有的网站没有走代理，可以自己修改gfwlist脚本，添加该网址即可～&br&端口都是可以自定义的，个人更喜欢socks代理，不喜欢http代理，一些软件要升级的时候就知道socks代理有多爽了～
说一下我个人的使用体验，我用的是Mac版本的shadowsocksX客户端，配置也是正确的，但是chrome老是上不了谷歌，一直以为是客户端有问题，突然有一天我发现我的chrome插件swich omega一直在运行，虽然处于直接连接状态，后来我尝试把这个插件给禁用了，才能让…
运行环境需求&br&Windows XP / VISTA / 7 需要安装 &a href=&///?target=http%3A///zh-cn/download/details.aspx%3Fid%3D17718& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Microsoft .NET Framework 4&i class=&icon-external&&&/i&&/a& 和 &a href=&///?target=http%3A///zh-cn/download/details.aspx%3Fid%3D29& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Microsoft Visual C++ 2008 Redistributable Package (x86)&i class=&icon-external&&&/i&&/a&(没错即使64位操作系统也需要装x86的C++ 2008运行库)&br&Windows 8 / 8.1 / 10 直接运行即可&br&&br&Linux / Mac OS X 需要安装 &a href=&///?target=http%3A//www./download/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Mono&i class=&icon-external&&&/i&&/a&，并将下面的文件之一解压到岛风GO目录下，双击解压出来的run_*文件即可运行(初次启动可能要很久才出界面)&br&Mac OS X 下载 &a href=&///?target=http%3A//unlockacgweb.galstars.net/download/run_mac.tar.gz& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&run_mac.tar.gz&i class=&icon-external&&&/i&&/a&&br&其他Linux系统下载 &a href=&///?target=http%3A//unlockacgweb.galstars.net/download/run_unix.tar.gz& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&run_unix.tar.gz&i class=&icon-external&&&/i&&/a&&br&因为 Linux / Mac OS X 系统下无法复制粘贴，所以在登录界面加入了导入卡密按钮，支持的文件格式为第一行卡号第二行密码，或是自助提卡系统的『卡号：XXXXXX 密码：XXXXX』这种格式&br&&br&一看就知道 至少.net 参与了。 至于有没有易语言参与 未知 大项目有多种语言参与 不奇怪
运行环境需求Windows XP / VISTA / 7 需要安装
和 (没错即使64位操作系统也需要装x86的C++ 2008运行库)Windows 8 / 8.1 / 10 直接运行即可Linux / Mac OS X 需要安装
已有帐号？
无法登录？
社交帐号登录有好多新手老问我vpn是什么 简单说下---_爱游加速器吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：2贴子：
有好多新手老问我vpn是什么 简单说下---
VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。上面这段话，太专业，可能好多孩子看不懂，其实你不用都看懂，你就知道VPN是一个虚拟的专用的网络，跟你上网用的网络不一样，上网用的网络是公用的，大家都在用这个网络在上网，而VPN，是专用的网络，通过各种加密技术，你在用此专用网络进行上网的时候，就相当于你自己独享一个网络空间，所以会更安全、更专业、更自由。
贴吧热议榜
使用签名档&&
保存至快速回贴Neutron 了解（10）：虚拟专用网（VPN）虚拟化 [How Neutron implements VPN Virtualization] - 云计算当前位置:& &&&Neutron 了解（10）：虚拟专用网（VPN）虚拟化 [HowNeutron 了解（10）：虚拟专用网（VPN）虚拟化 [How Neutron implements VPN Virtualization]&&网友分享于：&&浏览：0次Neutron 理解（10）：虚拟专用网（VPN）虚拟化 [How Neutron implements VPN Virtualization]学习 Neutron 系列文章：
1. 基础知识
1.1 虚拟专用网 （Virtual Private Network，VPN）&&
& 每家公司都有自己的内部网络，但是这个网络是封闭的、有边界的。当一家公司拥有多个分布于不同地方的内部网络时，就需要一种方案将这些孤岛式的内部网络连接起来。一种解决方案是采用租用线路来将这些内部网络连接起来，但是这个方案成本高昂；另一种方案就是本文来谈到的 VPN 即虚拟专用网。我们可以把 VPN 理解成是虚拟出来的企业内部专线，它是一种建立在实际网络（或物理网络）基础上的功能性网络。对它的要求如下：
连通性：它通过实际网络（或物理网络）比如 Internet 将内部网络连在一起（site-to-site VPN），或者将 PC 和内部网络连在一起 （Client-to-site VPN）。
保密性：在 VPN 网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。
成本低：它利用低成本的公共网络做为企业骨干网，并不需要真正的去铺设光缆之类的物理线路。
透明性：对于用户来讲，VPN 的工作方式必须是完全透明的。
& 目前，实现 VPN 的方法有多种。按照&VPN 所使用的隧道协议，VPN 主要可以分为三种，PPTP、L2TP 和 IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。而 OpenStack 社区 Neutron 项目提供的是基于 IPSec 技术的一种参考实现。
1.2 IPSec VPN
1.2.1 概念
& & IPSec（Internet Protocol Security）是 IETF 制定的为保证在 Internet 上传送数据的安全保密性能的三层隧道加密协议。IPSec 在 IP 层对 IP 报文提供安全服务。IPSec 协议本身定义了如何在 IP 数据包中增加字段来保证 IP 包的完整性、私有性和真实性，以及如何加密数据包。使用 IPsec，数据就可以安全地在公网上传输。简单地说，IPsec 提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。
IPSec 协议：IPSec 包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议。AH 可提供数据源验证和数据完整性校验功能；ESP 除可提供数据验证和完整性校验功能外，还提供对IP报文的加密功能。
AH 协议（IP协议号为51，使用较少）提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。MD5算法的计算速度比SHA-1算法快，而SHA-1算法的安全强度比MD5算法高。
ESP 协议（IP协议号为50，使用较广）提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。这三个加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。对于普通的安全要求，DES算法就可以满足需要。
IPSec 还支持 IKE 协议：
IKE 协议（Internet Key Exchange ，RFC2409）：IKE 使两个地点能够建立安全的连接，方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书，后者是一种进行公钥登记的内部或外购服务。通过使用签名数字ID来确认端点的身份，IKE能够将VPN的规模扩展到数以千计的端点。 为确保安全的数据加密，Cisco在路由器和PIX上对IPSec的实施过程中既支持数据加密标准(DES) ，也支持三重DES算法。详情请参见 。
IPSec 和 IKE 的关系：
IKE是 UDP 之上的一个应用层协议，是 IPSEC 的信令协议。&
IKE为 IPSEC 协商建立安全联盟，并把建立的参数及生成的密钥交给 IPSEC。&IPSEC 使用 IKE 建立的安全联盟对 IP 报文加密或验证处理。&
IPSEC 处理做为 IP 层的一部分，在 IP 层对报文进行处理。AH 协议和 ESP 协议有自己的协议号，分别是51和50。
IPSec 传输模式：隧道（tunnel）和传送（transport）两种工作方式。
在隧道方式中，用户的整个 IP 数据包被用来计算AH或ESP头，且被加密。AH 或 ESP 头和加密用户数据被封装在一个新的IP数据包中；
在传送方式中，只是传输层数据被用来计算AH或ESP头，AH或ESP头和被加密的传输层数据被放置在原IP包头后面。
& & & & & & &
而 IPSec VPN 即指采用 IPSec 协议来实现远程接入的一种 VPN 技术。
1.2.2 IPSec 连接
& IPsec 的两个端点被称为是 IPsec 对等体，要在两个对等体之间实现数据的安全传输就要在两者之间建立安全关联（Security Association，SA）。SA 是 IPsec 的基础，也是 IPsec 的本质。SA 是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。SA 是单向的，在两个对等体之间的双向通信，最少需要两个 SA 来分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。SA是具有生存周期的，且只对通过IKE协商建立的SA有效，手工方式建立的SA永不老化。&&
& IPSec 两种传输模式的区别：
传输模式在 AH、ESP 处理前后IP头部保持不变，主要用于 End-to-End 的应用场景。
隧道模式则在 AH、ESP 处理之后再封装了一个外网 IP 头，主要用于 Site-to-Site 的应用场景。
1.2.3 IPSec 的优点
支持IKE（Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能，减少了密钥协商的开销。可以通过IKE建立和维护安全关联（Security Association，SA）的服务，简化了IPsec的使用和管理。
所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，由于IPSec工作在OSI的第3层，低于应用程序直接涉及的层级，所以对于应用程序来讲，利用IPSec VPN所建立起来的隧道是完全透明的，无需修改既有的应用程序，并且，现有应用程序的安全解决方法也不会受到任何影响。
对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。
以上内容都引用自互联网，主要来自：
&2. Neutron IPSec VPNaas
& & Neutron IPSec VPN 向用户提供 RESETS API， CLI 和 Horizon GUI 去操作 IPSec 所使用的各种协议和对象。
2.1 受 VPNaas 管理 IPSec 对象
2.1.1 IKE Policy
VPNaas 提供 vpn-ikepolicy-create CLI 来创建 IKE Policy。创建时可以指定各种参数：
VPNaas 支持值
auth-algorithm
Authentication algorithm. 验证算法
&IKE 认证算法。
encryption-algorithm
Encryption algorithm 加密算法
{aes-128,aes-256,aes-192}
&IKE 加密算法。
phase1-negotiation-mode
IKE Phase1 negotiation mode （Phase 1 交互模式）
在IKE 第一阶段，VPN 网关或者客户端互相认证，通过确认对方的网关使用的是一个被认可的&Pre-Shared Key，&certificates 或者 public key encryption。Pre-Shared Key 是用得最多的。该模式包括&Main 和aggressive。在 IKE 第二阶段，双方确定 IPSec 连接的参数。
ike-version
IKE version （版本）
&IKE版本，包括 V1 和 V2.
Perfect Forward Secrecy
{group2,group5,group14}
Diffie-Hellman 键的计算方法。详细可参考&。
lifetime units=UNITS,value=VALUE
IKE lifetime attributes. 'units'-seconds。'value'-non
negative integer
units 默认值 为seconds
value 默认值为 3600 & & & & & & & & &&
&IKE negociation 的时间间隔，一般来说，越短越安全，但是成本也越高。详细可参考&。
2.1.2 IPSec Policy
VPNaas 提供 REST API 和 CL 来操作 IPSec Policy：
vpn-ipsecpolicy-create Create an IPsec policy.
vpn-ipsecpolicy-delete Delete a given IPsec policy.
vpn-ipsecpolicy-list List ipsecpolicies that belongs to a given tenant connection.
vpn-ipsecpolicy-show Show information of a given IPsec policy.
vpn-ipsecpolicy-update Update a given IPsec policy.
VPNaas 支持的值&
&transform-protocol
&Transform protocol in lowercase
&{esp,ah,ah-esp}
&IPSec 协议，见上面的基础知识部分。
&auth-algorithm
&Authentication algorithm in lowercase
&AH 认证头摘要或者 ESP 摘要的计算方法，包括 sha1 和 md5。见上面的基础知识部分。
&encryption-algorithm
&Encryption algorithm in lowercase,
&{3des，aes-128，aes-256，aes-192}
&ESP 对传输的数据的加密算法。见上面的基础知识部分。
&encapsulation-mode
&&Encapsulation mode
&{tunnel,transport}
&IPSec 传输模式。见上面的基础知识部分。
Perfect Forward Secrecy
{group2,group5,group14}
详细可参考&。
lifetime units=UNITS,value=VALUE
IPsec lifetime attributes. 'units'-seconds，
'value'-non negative integer
units 默认值 seconds
value 默认值 3600
一个IPSec 连接的有效时间长度。可以设置&时间长度(seconds) 和传输的数据量 (kilobytes)。超过该 lifetime 后，IPSec 重走 加密和认证过程。
2.1.3 VPN Service
VPN Service 的操作包括：
vpn-service-create Create a VPN service.
vpn-service-delete Delete a given VPN service.
vpn-service-list List VPN service configurations that belong to a given tenant.
vpn-service-show Show information of a given VPN service.
vpn-service-update Update a given VPN service.
Router unique identifier for the VPN service
&VPN 隧道在本地的终端 Router
Subnet unique identifier for the VPN service
deployment.
VPN 服务所面向的子网。该子网内的虚机可以使用 VPN 服务。&
一般来说，VPN 是向两个子网（site-to-site）提供的，因此 VPN 的两头是 Router 或者 Gateway。 VPNaas 使用 Router 作为一个端点，还需要使用一个 subnet 指定可以使用该 VPN Connection 的目标虚机网段。
2.1.4 IPSec Site Connection
IPSec Site Connection 操作包括：
ipsec-site-connection-create Create an IPsec site connection.
ipsec-site-connection-delete
Delete a given IPsec site connection.
ipsec-site-connection-list
List IPsec site connections that belong to a given tenant.
ipsec-site-connection-show
Show information of a given IPsec site connection.
ipsec-site-connection-update
Update a given IPsec site connection.
vpnservice-id
VPN service instance ID associated with this
connection
ikepolicy-id
IKE policy ID associated with this connection.
指定待使用的 IKE policy&
ipsecpolicy-id
IPsec policy ID associated with this connection
指定待使用的 IPSec Policy
peer-address
Peer gateway public IPv4/IPv6 address or FQDN
指定对方 Router的 公网IP 地址
Peer router identity for authentication. Can be
IPv4/IPv6 address, e-mail address, key id, or FQDN
用于验证的对方 router 的 ID，可以同 peer-address。
Remote subnet(s) in CIDR format.
对端的 subnet
Pre-shared key string
用于IKE 第一阶段双方的认证
一个例子：
host 1 ------ NEURON SERVER
（-- INTERNET GATEWAY --） &--- IPSEC
---& （INTERNET GATEWAY） --Neutron Server---- host 2
192.168.64.0/24 10.10.20.2/1.2.3.10 1.2.3.9
4.3.2.10/10.10.20.10
192.168.63.0/24左边的环境中，VPN Service 和 IPSec site connection 的配置为：
ROUTER = router 1 （运行在 10.10.20.2 上的名为 &router1& 的 Router 的 UUID 或者 name。对于 IPSec tunnel 来说，本环境中的端点地址为 router 的 external port 的 IP 即 1.2.3.10）
SUBNET = subnet1 （192.168.64.0/24 的 subnet UUID 后者 name）
peer-cidr = 192.168.63.0/24
peer-id = 4.3.2.10
peer-address = 4.3.2.10
右边的环境中，VPN Service 和 IPSec site connection 的配置为：
ROUTER = router 1 （运行在 10.10.20.10 上的名为 &router1& 的 Router 的 UUID 或者 name。对于 IPSec tunnel 来说，本环境中的端点地址为 router 的 external port 的 IP 即 4.3.2.10）
SUBNET = subnet1 （192.168.63.0/24 的 subnet UUID 后者 name）
peer-cidr = 192.168.64.0/24
peer-id =&1.2.3.10
peer-address = 1.2.3.10
两边的 IPSec Site Connection 需要使用同样的 IKE Policy 和 IPSec Policy。这样，两个 Router 之间的IPSec 隧道就可以建立起来了，192.168.63.0/24 和&192.168.64.0/24 两个网段内的虚机就可以直接通信了。
2.1.5 这些对象之间的关系
2.2 IPSec VPNaas：基于&OpenSwan （IPSec在Linux下的实现）的实现
2.2.1 OpenSwan
& & OpenSwan 是 IPSec 在 Linux 上的开源实现。因此，要使用 IPSec VPNaas，你需要在 L3 Agent 节点上安装它。它的配置保存在&/etc/ipsec.conf 中。 详细阐述了使用 OpenSwan 构造 VPN 的方法。
2.2.2 IPSec VPNaas 的实现
& & 同 LBaas 的实现方式一样，VPNaas 主要是实现了一个让用户通过 REST API 操作 OpenSwan 的框架：
Extention 提供 REST API
Plugin 实现了 DB 操作，以及通过 RPC 调用 VPNaas 的 OpenSwan driver。
Driver 层实现了具体的功能
& & 通过这些代码，Neutron 就能够通过配置 OpenSwan&为在指定 Router 上的指定子网提供 VPN 服务。
& & & &&（）
Driver 的实现代码主要在&neutron/services/vpn/device_drivers/ipsec.py 中。其start方法调用 ipsec 命令来配置 IPSec，包括：
（1）初始化，其中包括在 router 的 iptables nat 表中添加一条规则，来使得目的为 ipsec 隧道的网络包不会做 DNAT：
-A POSTROUTING -s &local_cidr& -d &peer_cidr& -m policy --dir out --pol ipsec -j ACCEPT
（2）Neutron Server 在 VPN Server 有变化时，通过 RPC 通知该 VPN Service 的 Router 的 L3 Agent 上的 VPNaas Agent。当有新的 VPN Server 被创建时，它执行以下操作：
（2.1）通过 RPC 获取新建的 VPN Service，并通过&_make_vpnservice_dict 函数将其配置转化为 IPSec 配置文件中的配置项，并初始化待启动的 IPSec 进程的配置。
（2.2）启动一个&&pluto IKE keying daemon
self._execute([self.binary, 'pluto', '--ctlbase', self.pid_path, '--ipsecdir', self.etc_dir, '--use-netkey', '--uniqueids', '--nat_traversal','--secretsfile', self.secrets_file, '--virtual_private', virtual_private ])
（2.3）添加已配置的 IPSec 连接
for ipsec_site_conn in self.vpnservice['ipsec_site_connections']:
nexthop = self._get_nexthop(ipsec_site_conn['peer_address'])
self._execute([self.binary, 'addconn', '--ctlbase', '%s.ctl' % self.pid_path, '--defaultroutenexthop', nexthop, '--config', self.config_file,
ipsec_site_conn['id']])
（2.4）初始化 IPSec 连接
for ipsec_site_conn in self.vpnservice['ipsec_site_connections']:
if not ipsec_site_conn['initiator'] == 'start':
#initiate ipsec connection
self._execute([self.binary, 'whack', '--ctlbase', self.pid_path,'--name', ipsec_site_conn['id'],'--asynchronous', '--initiate'])
而这些命令的指定都是在用于 VPN Service 的那个 router 的 namespace 中执行的：
def _execute(self, cmd, check_exit_code=True):
"""Execute command on namespace."""
ip_wrapper = ip_lib.IPWrapper(self.root_helper, self.namespace) #self.namespace 是 Router 的 namespace
return ip_wrapper.netns.execute(cmd, check_exit_code=check_exit_code)
3. 其它 Neutron VPNaas 实现
阐述了各种不同的 &VPN 实现技术。目前，Neutron 项目中有几个不同的 blueprint 在实现基于不同技术的 VPNaas。
3.1 MPLS VPNaas
& & 这个 实现了 MPLS VPN。其出发点主要是 &QoS 支持，以及目前 MPLS 已经在骨干网络中已经很普及了。根据 ，MPLS VPN 是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。
3.2 PPTP VPNaas
& & 这个 致力于实现 PPTP VPNaas。根据 ，点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
（引用自 ）
3.3 其它 VPNaas
BGP VPNaas：
VPN 相关的 blueprint：
其它参考文档：
12345678910
12345678910
12345678910 上一篇：下一篇：文章评论相关解决方案 12345678910 Copyright & &&版权所有}