虚拟专用网配置.docx

虚拟专用网配置.docx

《虚拟专用网配置.docx》由会员分享，可在线阅读，更多相关《虚拟专用网配置.docx（25页珍藏版）》请在冰豆网上搜索。

虚拟专用网配置

贵州大学实验报告（小三号，加黑）

学院：

计算机科学与技术专业：

信息安全班级：

121

姓名

饶永明

学号

1208060066

实验组

实验时间

6.3

指导教师

蒋朝惠

成绩

实验项目名称

虚拟专用网

实验目的

（1）掌握VPN的概念与工作原理；

（2）掌握在windows环境下配置PPTPVPN的方法；

（3）掌握在Windows环境下配置IPSecVPN的方法。

实验原理

1．VPN的概念

虚拟专用网（virtualprivatenetwork,VPV），是指物理上分布咋不同地点的专用网络，通

过不可信任的公用网络构造成逻辑上信用的虚拟子网，进行安全通信。

之所以被冠以“虚拟”，是因为它使用的是建立在物理连接基础上的逻辑连接，客户端应用程序并不会意识到实际的物理连接，而且在穿越Internet进行路由时，与在专用网络中进行路由的安全性不同。

VPN是从专用网发展而来，是用以替代专用网的一种广域网技术。

在共享使用网络资

源的同时，可保证用户网络的安全性,可靠性和可管理性。

VPN业务并不限制网络的使用，它既可构建于Internet或ISP的IP网络之上，也可以构建于帧中继或异步传输模式等网络之上。

VPN系统地构成包括VPN服务器，VPN客户机和隧道。

是于使用Internet进行传输

相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Internet既安全又经济的传输私有的机密信息成为可能。

2．VPN的分类及特点

从应用的角度看，VPN有以下3种类型：

1　远程访问VPN（accesssVPN）。

这种方式下远端用户不再像传统的远程网络访问那样，通过长途电话拨号到公司远程接入端口，而是拨号接入用户本地的ISP，利用VPN系统在公用网上建立一个客户端到VPN网关的安全传输隧道，如图所示。

远程访问VPN适合于在外地需要流动办公的情况。

它不仅保证连接的安全，通行费用也大大降低。

2　内联VPN（IntranetVPN）。

利用VPN特性可以在Internet上组建世界范围内的InranetVPN。

利用Internet的线路保证网络的互联性，利用隧道，加密等VPN特性，可以保证信息在整个intranetVPN上安全传输。

IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部，远程办事处或分支机构，如同所示。

内联VPN适合在外地有固定分支机构的情形。

这时，驻外分支机构通过ISP与本部进行VPN安全连接。

3　外联VPN（extranetVPN）。

extranetVPN主要是将InternetVPN在范围上向外扩展。

这种类型与上一种类型没有本质上的区别。

但是不同公司的网络相互通信，要更多地考虑设备的互联，地址上的协调，隧道起止，安全策略的协商等问题。

利用VPN技术组建安全的外联网，既可向客户，合作伙伴提供有效的信息服务，又可保证自身内联网络的安全。

如图所示。

外联VPN适合于业务伙伴之间通信的连接。

这时，往往需要通过专线连接公共基础设施，并借助电子商务软件等于本部进行VPN连接。

3．隧道技术

简单地说，隧道技术是利用一种协议来传输另一种协议的技术。

其传输过程可以分为以下3步：

1　将要传输的数据包（帧）按照隧道协议进行封装，被封装的数据（说负载）可以是不同协议的数据帧或包。

2　新的包头提供了路由信息，从而使封装的负载数据能通过Internet来传递。

所谓“隧道”就是指被封装的数据包在网络上传递时所经过的逻辑路径。

3　被封装的数据包一旦到达网络终点，数据包将解包并送达主机。

所以，隧道技术是指包括数据封装，传输和解包在内的全过程。

隧道可以分为以下两种类型。

自愿隧道。

客户端计算机通过发送VPN请求配置并创建一条自愿隧道。

此时，用户端计算机作为隧道客户方成为隧道的一个端点。

这是最普遍使用的隧道类型。

强制隧道。

由支持VPN的网络接入服务器（NAS）配置并创建一条强制隧道。

用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的NAS作为隧道客户端，成为隧道的一个端点。

4．隧道协议

下面简单介绍几种典型的隧道协议。

1　点到点隧道协议（pointtopointtunnelingprotocol,PPTP）是由微软，Ascend，3Ccom等公司支持的一种封装协议，用于在PPTP客户端和PPTP服务器之间安全通信。

由于微软的服务器操作系统占有很大的市场份额，且它将PPTP作为一项VPN基本技术，所以PPTP就成为隧道技术中最常用的协议。

PPTP工作在数据链路层，允许对IP,IPX或NetBEUI数据流进行加密，然后封装在IP包中通过企业IP网络或公共互联网络发送。

它先对数据链层帧进行PPTP封装，形成PPP帧。

然后，进一步添加GRE包头，形成GRE报文，使任何链路层数据都可以在IP网络中传输。

之后，加上源和目的IP地址的IP头。

PPTP封装后的数据包格式如图所示。

2　IP安全协议（IPSec）。

为了在IP网上获得安全通信保证，IETFIPSec组织制定了一套保护IP通信安全的协议族。

它工作在IP层，为IP层及以上的协议提供保护。

IPSec提供访问控制，无连接数据的完整性，数据来源认证，保密等安全服务。

IPSec包括网络安全协议和秘钥协商协议两部分。

网络安全协议包括：

AH（认证协议头）

协议和ESP（安全负荷封装）协议。

密钥协商协议包括IKE（Internet秘钥交换）协议。

ESP和AH协议进行IPSec数据封装的过程中，用到了加密算法，秘钥等多种安全参数。

采用IPSec连接的两台计算机或网关必须使用相同的参数，才能在一端进行封装，另一端进行解封。

为此两端必须进行协商。

在IPSec中，安全参数SA（安全联盟）加以描述。

3　通用路由封装协议（GRE）。

GRE协议是一种任意类型的网络层数据封装进另一种网络层数据包的封装协议。

原始数据包首先被封装进GRE数据包，然后呗封装为一个新的协议，从而实现对任意类型网络层数据的封装，如图。

4　第二层隧道协议（L2TP）。

L2TP定义了利用包交换方式的公用网络基础设施（如IP网络，ATM和帧中继网络）封装链路层PPP帧的方法。

L2TP结合；PPTP与L2F（二层转发协议）的优点，允许对IP,IPX,或NetBEUI的数据流进行加密，然后通过支持点对点数据传递的任意网络发送。

L2TP最适合用于远程访问VPN。

实验仪器

（1）硬件条件：

个人计算机。

（2）软件条件：

Windows2003/XP。

实验数据及步骤

一、在windows中配置pptpvpn

（1）vpn服务器的配置

先建一块网卡：

【开始】–【控制面板】—【添加硬件】—【下一步】—在添加硬件向导里选择是—【添加新的硬件设备】—【安装我手动从列表中选择的硬件】—【网络适配器】在服务里关掉防火墙的功能，属性里禁用

在windowsserver2003中，双击管理工具中的【路由和远程访问】打开【服务器名】--右击，选择【配置并启用路由和远程访问】选择【VPN或拨号】如下图：

查看启动情况：

下面对VPN端口配置。

选择【开始】-->【所有程序】-->【管理工具】-->【路由和远程访问】命令，选择窗口左侧的【端口】端口都是不活动状态：

单击确定，完成配置。

由于默认任何用户被拒绝接入服务器，所以要给一个用户赋予拨入到此服务器的权限，打开【管理工具/计算机管理】窗口，在【本地用户和组】中选择所需要的用户，在其上右击，在弹出的快捷菜单中选择【属性】命令，修改用户权限：

（2）配置VPN客户端

1、双击【控制面板】中的【网卡连接】图标，从打开的窗口中打开进入【新建连接向导】界面。

在弹出的【网络连接类型】界面中，选择【连接到我的工作场所的网络】单选按钮，单击下一步

2、选择【虚拟专用网络连接】

3、输入连接名字：

4、输入VPN服务器端的IP地址：

5、在接下来的界面里，要设置是否预拨初始连接，以确认公认网络是否连接好。

选择【不拨初始连接】单选按钮，单击【下一步】按钮。

在新的界面中要求输入VPN服务器端的IP地址或主机名：

打开上面创建好的新连接client,在打开的窗口里输入用户名和密码即可发起VPN连接：

二、在windows中配置IPSecVPN

（1）配置windows内置的IPsec安全策略

1、打开本地安全设置

2、指派【安全服务器】

3.选中如下选项框

在【刷选器中进行如下操作】：

设置共享密钥:

对【所有IP通讯】安全规则做同样的配置：

4、同时在另一台计算机上做同样配置

（2）配置专用的IPSec安全策略

1.新建安全策略

3、配置【安全规则向导】

4、配置IP筛选器

在弹出的界面里单击【下一步】按钮，会弹出如下的界面，选择【我的IP地址】选项作为源地址

单击【下一步】按钮，弹出设置IP通信目标的界面，如下，选择【任何IP地址】选项

单击【下一步】按钮，弹出定义IP筛选器所过滤的协议界面，选择【任意】选项，表示不针对专有协议

5、单击【下一步】按钮，在弹出的界面中【编辑属性】复选框，单击【完成】，】在依次单击【确定】按钮，完成IP筛选器编辑。

⑤在如下图里对话框选择【新IP筛选器列表】单击按钮。

单击【下一步】，编辑这个筛选器操作

在打开如下的对话框单击【添加】按钮，添加一条筛选器操作。

在出现的筛选器操作向导中，连续单击【下一步】按钮，知道弹出筛选器操作常规选项界面，如下图：

选择【协商安全】，让其进行IPsec安全协商，单击【下一步】按钮。

接着的几面里选择【不与不支持IPSec的计算机通讯】单击选项，单击【下一步】

出现如下的界面里，决定通信过程是否加密和完整性检验，为了更加清楚这其中的采用的协议，选择【自定义】单击按钮，然后单击【设置】按钮。

在打开的【自定义安全措施设置】对话框中，可以看到AH和ESP协议的不同功能，相关算法也可以选择，如下界面，单击【确定】按钮，返回到IP通信安全措施界面连续单击【下一步】按钮完成IP筛选器操作向导。

6、在下图可以看到上面创建的筛选器操作名称，选择它，单击【下一步】。

在出现的身份认证界面中，选择【使用此字符串保护密钥交换】单击按钮，并设置共享密钥为“123”如下图：

单击【下一步】完成了新IP安全规则向导的设置，此时会看到新增加的安全规则。

如下：

7、单击【确定】按钮，即可以看到下面所示窗口中出现新增加的一条IP安全策略，在IPSec通讯的两端进行相关设置，增加自定义的IP安全策略，即可实现IPSec安全加密通信

实验总结

总结：

通过这次的实验，让我知道了什么是VPN，它的工作原理，以及它在windows2003下的配制方法。

同时，我通过本次试验也让我掌握了Windows2003环境下是如何配置IPSecVPN的,虽然在此实验中遇到了许多问题，比如权限问题，在经过了一序列差错和查找资料后我知道了是因为系统防火墙没关。

还有其他的一些问题，不过最终都一一解决。

感觉收益颇多。

指导教师意见

签名：

年月日

注：

各学院可根据教学需要对以上栏目进行增减。

表格内容可根据内容扩充。