管理與維護(hù)VPN服務(wù)器

22.管理與維護(hù)VPN服務(wù)器目錄4.VPN客戶端配置21.

項(xiàng)目課題引入2.

VPN的工作原理3.VPN服務(wù)器的配置與管理5.現(xiàn)場演示案例3課題引入——項(xiàng)目背景VPN服務(wù)器有eth0和eth1兩個(gè)網(wǎng)絡(luò)接口。其中eth0用于連接內(nèi)網(wǎng)，IP地址為；eth1用于連接外網(wǎng)，IP地址為。VPN客戶端通過Internet網(wǎng)絡(luò)與VPN服務(wù)器連接后，可訪問局域網(wǎng)內(nèi)部的服務(wù)器。建立VPN連接后，分配給VPN服務(wù)器的IP地址為00，分配給VPN客戶端的IP地址池為00-20，30-40。客戶端可以以用戶名king、密碼123456和VPN服務(wù)器建立連接，建立連接后獲得的IP地址為21。拓?fù)鋱D如下：4課題引入——項(xiàng)目分析完成本項(xiàng)目需要解決的問題：1、什么是VPN服務(wù)器,其工作原理是什么2、VPN服務(wù)器的安裝、啟動(dòng)與運(yùn)行方法3、VPN服務(wù)器的配置方法4、VPN客戶端的配置方法5課題引入——教學(xué)目標(biāo)學(xué)習(xí)本課需要實(shí)現(xiàn)的教學(xué)目標(biāo)：掌握VPN的概念和工作原理掌握VPN服務(wù)器的啟動(dòng)與停止方法掌握VPN服務(wù)器配置文件的修改方法掌握VPN服務(wù)器的配置方法掌握VPN客戶端的配置方法6課題引入——應(yīng)達(dá)到的職業(yè)能力學(xué)生學(xué)習(xí)本課后應(yīng)該具有的職業(yè)能力：熟練掌握VPN服務(wù)器的配置能力熟練掌握VPN客戶端的配置能力能夠?yàn)槠髽I(yè)的局域網(wǎng)設(shè)計(jì)VPN服務(wù)器方案具有較好的團(tuán)隊(duì)合作能力7項(xiàng)目問題一VPN概述VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是專用網(wǎng)絡(luò)的延伸，它模擬點(diǎn)對點(diǎn)專用連接的方式通過Internet或Intranet在兩臺(tái)計(jì)算機(jī)之間傳送數(shù)據(jù)，是“線路中的線路”，具有良好的保密性和抗干擾能力。本章重點(diǎn)介紹VPN工作原理、Linux下VPN服務(wù)器的配置與使用方法、VPN客戶端的配置。8VPN工作原理

VPN服務(wù)器Internet適配器Intranet適配器公司內(nèi)部網(wǎng)絡(luò)VPN遠(yuǎn)程訪問客戶機(jī)Internet隧道9VPN的特點(diǎn)與應(yīng)用VPN的特點(diǎn)：（1）費(fèi)用低廉（2）安全性高（3）支持最常用的網(wǎng)絡(luò)協(xié)議（4）有利于IP地址安全（5）管理方便靈活（6）完全控制主動(dòng)權(quán)VPN的應(yīng)用：（1）總公司的網(wǎng)絡(luò)已經(jīng)連接到Internet，用戶在遠(yuǎn)程撥號(hào)連接到Internet網(wǎng)絡(luò)后，就可以通過Internet來與總公司的VPN服務(wù)器建立PPTP或L2TP的VPN連接，并通過VPN安全地傳輸數(shù)據(jù)。（2）兩個(gè)物理上分離的局域網(wǎng)的VPN服務(wù)器都連接到Internet網(wǎng)絡(luò)，并且通過Internet建立PPTP或L2TP的VPN連接，就可以實(shí)現(xiàn)兩個(gè)局域網(wǎng)之間的安全數(shù)據(jù)傳輸。

10VPN協(xié)議VPN服務(wù)用到的隧道協(xié)議主要有第2層和第3層協(xié)議。第2層隧道協(xié)議使用幀作為數(shù)據(jù)交換單位。PPTP、L2TP都屬于第2層隧道協(xié)議，它們都是將數(shù)據(jù)封裝在點(diǎn)對點(diǎn)協(xié)議（PPP）幀中通過互聯(lián)網(wǎng)發(fā)送的。第3層隧道協(xié)議使用包作為數(shù)據(jù)交換單位。IPoverIP和IPSec隧道模式都屬于第3層隧道協(xié)議，它們都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。

11VPN協(xié)議PPTP協(xié)議：PPTP（Point-to-PointTunnelingProtocol，點(diǎn)對點(diǎn)隧道協(xié)議）是PPP（點(diǎn)對點(diǎn)）協(xié)議的擴(kuò)展，并協(xié)調(diào)使用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。它允許對IP、IPX或NETBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過諸如Internet這樣的公共網(wǎng)絡(luò)發(fā)送，從而實(shí)現(xiàn)多功能通信。L2TP協(xié)議：L2TP（LayerTwoTunnelingProtocol，第二層隧道協(xié)議）是基于RFC的隧道協(xié)議，該協(xié)議依賴于加密服務(wù)的Internet安全性（IPSec）。它允許客戶通過其間的網(wǎng)絡(luò)建立隧道，L2TP還支持信道認(rèn)證，但它沒有規(guī)定信道保護(hù)的方法。IPSec協(xié)議：IPSec是由IETF（InternetEngineeringTaskForce）定義的一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議。主要用于確保網(wǎng)絡(luò)層之間的安全通信。它使用IPSec協(xié)議集保護(hù)IP網(wǎng)和非IP網(wǎng)上的L2TP業(yè)務(wù)。在IPSec協(xié)議中，一旦IPSec通道建立，在通信雙方網(wǎng)絡(luò)層之上的所有協(xié)議（如TCP、UDP、SNMP、HTTP、POP等）就要經(jīng)過加密，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。

12項(xiàng)目問題二VPN服務(wù)的安裝

所需的軟件包：dkms-2.0.10-1.noarch.rpm

：DKMS（DynamicKernelModuleSupport）是

Dell公司開發(fā)的一個(gè)動(dòng)態(tài)模組支持包。旨在創(chuàng)建一個(gè)內(nèi)核相關(guān)模塊源可駐留的框架，以便在升級(jí)內(nèi)核時(shí)可以很容易地重建模塊。kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm：該軟件包使Linux系統(tǒng)內(nèi)核版本2.6的操作系統(tǒng)下的PPTP協(xié)議支持MPPE加密。ppp-2.4.3-5.rhel4.i386.rpm：升級(jí)PPP到2.4.3版本，使其支持MPPE加密。pptpd-1.3.3-1.rhel4.i386.rpm：PPTP點(diǎn)對點(diǎn)隧道協(xié)議的RPM安裝包。13VPN服務(wù)的安裝

安裝軟件包：查看系統(tǒng)是否支持MPPE加密：14項(xiàng)目問題三VPN服務(wù)器的配置VPN服務(wù)器的配置要點(diǎn)：（1）VPN服務(wù)器需要配置2個(gè)以上的網(wǎng)絡(luò)接口。（2）修改相應(yīng)的配置文件。（3）啟動(dòng)Linux的路由轉(zhuǎn)發(fā)功能。（4）啟動(dòng)VPN服務(wù)。（5）設(shè)置VPN服務(wù)可以穿透Linux防火墻。15VPN服務(wù)的主要配置文件

配置VPN服務(wù)器，需要修改/etc/pptpd.conf、/etc/ppp/chap-secrets和/etc/ppp/options.pptpd三個(gè)文件。

/etc/pptpd.conf文件是VPN服務(wù)器的主配置文件，在該文件中需要設(shè)置VPN服務(wù)器的本地地址和分配給客戶端的地址段。/etc/ppp/chap-secrets是VPN用戶帳號(hào)文件，該帳號(hào)文件保存VPN客戶端撥入時(shí)所需要的驗(yàn)證信息。/etc/ppp/options.pptpd用于設(shè)置在建立連接時(shí)的加密、身份驗(yàn)證方式和其他的一些參數(shù)設(shè)置。16/etc/pptpd.conf文件

要使VPN服務(wù)器能正常工作需要設(shè)置localip和remoteip兩個(gè)參數(shù)的值。localip:用于設(shè)置在建立VPN連接后，VPN服務(wù)器本地的地址。VPN客戶端在撥號(hào)后VPN服務(wù)器會(huì)自動(dòng)建立一個(gè)ppp0網(wǎng)絡(luò)接口供客戶使用，這里定義的是ppp0的IP地址。remoteip:用于設(shè)置在建立VPN連接后，VPN服務(wù)器分配給VPN客戶端的可用地址段，當(dāng)VPN客戶端撥號(hào)到VPN服務(wù)器后，服務(wù)器會(huì)從這個(gè)地址段中分配一個(gè)IP地址給VPN客戶端，以便VPN客戶端能訪問內(nèi)部網(wǎng)絡(luò)。可以使用“-”符號(hào)表示連續(xù)的地址，使用“,”符號(hào)隔開不連續(xù)的地址。17/etc/ppp/chap-secrets文件

/etc/ppp/chap-secrets帳號(hào)文件保存了VPN客戶端撥入時(shí)所使用的用戶名、密碼和分配給該用戶的IP地址，該文件中每個(gè)用戶的信息為一行。格式如下：用戶名服務(wù)密碼分配給該用戶的IP地址

配置文件中的用戶名、密碼、分配給該用戶的IP地址要用雙引號(hào)括起來，“服務(wù)”一般是pptpd。例如：

"king"pptpd"123456""21"

18/etc/ppp/options.pptpd文件該文件各項(xiàng)參數(shù)及具體含義如下所示：

19項(xiàng)目問題四Windows2000VPN客戶端的配置（1）在桌面上右擊【網(wǎng)上鄰居】并從彈出的快捷菜單中點(diǎn)擊【屬性】，接著在彈出的窗口中點(diǎn)擊【新建連接】，打開【網(wǎng)絡(luò)連接向?qū)А繉υ捒?，如圖所示。20Windows2000VPN客戶端的配置（2）單擊“下一步”，在該對話框中選擇網(wǎng)絡(luò)的連接類型為“通過Internet連接到專用網(wǎng)絡(luò)”，如圖所示。21Windows2000VPN客戶端的配置（3）單擊“下一步”，選擇VPN客戶端接入Internet網(wǎng)絡(luò)的連接方式。在此選擇“不撥初始連接”，如圖所示。22Windows2000VPN客戶端的配置（4）單擊“下一步”，設(shè)置VPN服務(wù)器的地址，在此輸入VPN服務(wù)器的IP地址或主機(jī)名，然后單擊“下一步”，如圖所示。23Windows2000VPN客戶端的配置（5）單擊“下一步”，設(shè)置是否允許所有用戶使用此連接，在此我們選擇“所有用戶使用此連接”，如圖所示。24Windows2000VPN客戶端的配置（6）單擊“下一步”，打開“完成網(wǎng)絡(luò)連接向?qū)А痹诖嗽O(shè)置此虛擬連接的名稱，在此輸入“jnrp-vpn”，如圖所示。單擊完成按鈕，即可完成。25Windows2000VPN客戶端的配置（7）在下圖所示的對話框中輸入登錄VPN服務(wù)器的用戶名和密碼，單擊“連接按鈕”，這時(shí)客戶端就開始與VPN服務(wù)器建立連接，完成用戶名和密碼的核對，網(wǎng)絡(luò)注冊等工作。26Windows2000VPN客戶端的配置（8）在連接成功之后在VPN客戶端利用ipconfig命令可以看到多了一個(gè)ppp連接，如圖1所示。在VPN服務(wù)器端利用ifconfig命令可以看到多了一個(gè)ppp0連接，如圖2所示。圖1圖227

VPN服務(wù)器配置實(shí)例網(wǎng)絡(luò)環(huán)境：VPN服務(wù)器有eth0和eth1兩個(gè)網(wǎng)絡(luò)接口。其中eth0用于連接內(nèi)網(wǎng)，IP地址為；eth1用于連接外網(wǎng)，IP地址為。VPN客戶端通過Internet網(wǎng)絡(luò)與VPN服務(wù)器連接后，可訪問局域網(wǎng)內(nèi)部的服務(wù)器。建立VPN連接后，分配給VPN服務(wù)器的IP地址為00，分配給VPN客戶端的IP地址池為00-20，30-40。客戶端可以以用戶名king、密碼123456和VPN服務(wù)器建立連接，建立連接后獲得的IP地址為21。拓?fù)鋱D如下：28解決方案－－服務(wù)器端的配置（1）修改相應(yīng)的配置文件：對/etc/pptpd.conf文件做如下修改：在/etc/ppp/ch