基于虚拟机的VPN实验环境设计与实现.docx
《基于虚拟机的VPN实验环境设计与实现.docx》由会员分享,可在线阅读,更多相关《基于虚拟机的VPN实验环境设计与实现.docx(22页珍藏版)》请在冰豆网上搜索。
基于虚拟机的VPN实验环境设计与实现
基于虚拟机的VPN实验环境设计
1引言
在如今开放式交流日益增多的社会,Internet成为主要的交流媒介,随着Internet和信息技术的快速发展,越来越多的企业职工需要将便携式计算机随时随地连接到企业的网络,越来越多的企业建立跨国分公司或分支机构,越来越多的企业依靠网络维护来加强他们与合作伙伴或客户之间的动态联系。
所有这些都增加了远程连接成本、网络复杂性,带来了网络的管理和安全性问题。
VPN(虚拟专用网,VirtualPrivateNetwork)技术就是在这种形势下应运而生的,它使企业、学校、行政部门能够在公共网络上创建自己的专用网络。
于是,各个部门的网络想连接到哪里都可以,保密性、安全性、可管理性的问题也容易解决了,而且还可以降低网络的使用成本。
为此,本文将首先VPN做一个全面的介绍,然后对与VPN技术相关的理论知识给予介绍,接着对VPN技术进行了较详细的论述,基于虚拟机软件的一机多系统运行功能,建立有服务器一种实现方案,有着重要的实际推广价值和理论研究意义。
2主要技术
2.1虚拟机技术
虚拟机是指一台在物理计算机上虚拟出来的独立的逻辑计算机,虚拟机可以通过虚拟机软件进行创建。
虚拟机技术的出现及虚拟机软件强大的虚拟功能,使得利用有限的实验设备开展以前无法开展的实验成为可能。
虚拟技术可以方便地在一个主系统上建立多个同构或者异构的虚拟计算机系统,而且这些系统可以同时运行和来回切换而无需重新启动系统。
还可以将这些计算机相互连接起来形成网络。
能够利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障,因此,采用计算机虚拟技术可以构建起一个虚拟的实验环境,大部分计算机的实践活动都可以在这样的虚拟环境中完成。
2.2VPN技术
2.2.1VPN概念
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2.2VPN功能和特点
VPN可以提供的功能:
防火墙功能、认证、加密、隧道化。
VPN可以通过特殊加密的通讯协议连接到Internet上,在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,在交换机,防火墙设备或Windows2003等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
VPN主要采用的四项安全保证技术:
VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
从用户角度和运营商角度应可方便地进行管理、维护。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
2.2.3VPN需求
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络的设计和管理,加速连接新的用户和网站。
另外,虚拟专用网还可以保护现有的网络投资。
随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:
分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:
公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。
现在很多公司通过使用IPSecVPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
2.2.4VPN技术的可行性和必要性
VPN的目的在于,利用公共通信网络设施在某一相同的安全策略下将具有某种共同利益的网络和/或主机连接成一个可管理的“自己”的网络。
这样一种“自己专用”的网络,无需花钱投资建立和维护远程通信线路和网络设备,同时可在一定程度上对穿过公共通信区域(这是一个充满危险的互不信任的环境)的数据内容保持隐蔽性。
这就是说,可以利用VPN技术在公共通信网络基础设施中“虚拟”出一组织机构内通信的某些部分,在利用公共基础设施(带宽、中继或转发设备等)的同时,使通信的部分或全部在外部观察者看来是“不可见的”。
由此可见,相对专用网,VPN可以大大降低成本;相对因特网通信,VPN又具有很好的安全性。
因此,对于企事业单位、党政机关、金融系统等跨地域组建“自己专用”的网络提供了经济能力可承受且相对安全的技术手段。
可以预见,这将是企事业单位、党政机关、金融系统等组成内联网、外联网和实现远程接入网的基本的、主要的方法,与此同时,各种ISP也必将投入更大的力量,为各种用户提供VPN服务。
3系统软件安装
虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
虚拟机支持多系统安装和多系统运行,并且支持所有系统的安装和多网卡扩展,能节省网卡扩展成本,虚拟系统不会降低电脑的性能,启动虚拟系统不需要像启动windows系统那样耗费时间,运行程序更加方便快捷。
和更方便的操作。
3.1虚拟机安装
双击打开虚拟机安装包文件,打开后出现一些提示性息,记录此性息后点击确定按钮,然后选择继续安装虚拟机,再点击系一步。
文选用VMwareWorkstationV6.0.2Build50824,出现虚拟机安装向导。
如下图:
图3.1虚拟机安装向导
点击Next继续,为方便实验,这里选用安装地址为默认C盘,安装类型选择典型安装,弹出注册性息后输入注册码再Next直到点击Install后开始安装,等待几分钟后安装完成,点击Finish后提示重启电脑,选择是重启PC,虚拟机安装完成。
图3.2完成安装
重启系统后虚拟机就可以正常运行,这时需要在虚拟机里面安装新的系统,这里选择WindowsServer2003EnterpriseEditionSP1,打开虚拟机后,在虚拟机平台右侧点击新建虚拟机,也可以文件—新建—虚拟机创建新的虚拟机。
图3.3虚拟机
出现新建虚拟机安装向导,一直默认下一步直到虚拟机新建完成,接着安装上下载完成的WindowsServer2003EnterpriseEditionSP1.iso镜像,配置两块网卡(后面VPN建设时需要,这里先配置好,方便下面创建),然后点击左侧窗口的启动该虚拟机,开始安装系统,安装步骤和主机PC安装系统一样。
安装完成后启动系统如下图:
图3.4WindowsServer2003
这里安装系统时计算机名为VPN,用户名vpn-fwq,密码123,进入系统后便可建立VPN。
4实验环境设计
上面基于虚拟机的VPN试验环境已经顺利设计完成,下面就是VPN实例建设,以校园网VPN建设为例子建立。
4.1软硬件配置
服务器端:
WindowsServer2003系统平台且该机器需配有两块网卡。
客户端:
Windows系列的系统平台且需配有网卡或者调制解调器,能够通过ISP连接到Internet。
4.2实现步骤
实现步骤为:
1、使用WindowsServer2003服务器的RRAS服务配置VPN服务器;
2、在WindowsServer2003上配置VPN客户端。
4.3WindowsServer2003配置VPN(PPTP)服务器
WindowsServer2003路由和远程访问服务(RRAS)可用来建立使用PPTP或L2TP的VPN连接。
VPN连接可以通过两种方法建立:
1)路由器到路由器,使两个网络能够通过一个安全链接进行通信。
2)用户到远程访问服务器(RAS),使用户能够通过Interne连接到远程服务器。
两种类型的VPN连接都作为使用RAS拨号连接建立。
事实上,RRAS处理一个导入申请来建立一个VPN连接的方法类似于处理一个与远程服务器的拨号连接。
在这个例子中使用的是第二种方法,即“用户到远程访问服务器(RAS)”。
使用WindowsServer2003配置VPN(PPTP)远程访问服务器,首先可以通过向导完成VPN服务器的基本配置,然后再对其“属性”、“端口”、“接口筛选器”和“访问策略”等进行配置。
其中“接口筛选器”和“访问策略”的设置对服务器的安全以及用户的访问权限起到了关键作用。
4.4VPN远程访问服务器基本配置
首先,由程序令管理工具令路由和远程访问进入WindowsServer2003的“路由和远程访可”的微软管理控制台(MMC),如图4.1:
图4.1路由和远程访问界面
选择“配置并启用路由和远程访问”运行“路由和远程访问服务器安装向导”。
上述过程中可以完成VPN服务器的基本设置。
上图为已经安装了服务器,没有通过“路由和远程访问服务器安装向导”时就不存在VPN(本地)选项。
如选择用于和Internet连接的网卡(IP为192.168.1.104)、选择用户获取IP的方法或者指定VPN服务器为远程用户提供的地址范围(本例中使用的是静态地址段:
192.168.1.100-143)、选择是否配置目前还没有建立的RADIUS服务器。
这些设置在VPN服务器向导结束后,都是可以在RRAS的MMC中服务器的“属性”中进行更改的。
VPN服务器的基本配置完成后,界面如图4.2所示。
图4.2路由配置服务器
4.5VPN服务器属性
VPN服务器基本配置完成后,可以在服务器控制台中对其属性进行配置或更改。
在服务器“属性”中,可以从“常规”、“安全”、“IP”等方面对服务器进行配
升级会员 