網(wǎng)絡(luò)服務(wù)器搭建(項(xiàng)目十)楊云

網(wǎng)絡(luò)服務(wù)器搭建、配置與管理——Linux版主編：楊云、馬立新人民郵電出版社項(xiàng)目十、配置與管理VPN服務(wù)器

項(xiàng)目描述：某高校組建了校園網(wǎng)，并且已經(jīng)架設(shè)了Web、FTP、DNS、DHCP、Mail等功能的服務(wù)器來(lái)為校園網(wǎng)用戶(hù)提供服務(wù)，現(xiàn)有下面問(wèn)題需要解決。只要能夠訪問(wèn)互聯(lián)網(wǎng)，不論是在家中還是出差在外，都可以輕松訪問(wèn)未對(duì)外開(kāi)放的校園網(wǎng)內(nèi)部資源（文件和打印共享、Web服務(wù)、FTP服務(wù)、OA系統(tǒng)等）。要解決這個(gè)問(wèn)題則需要開(kāi)通校園網(wǎng)遠(yuǎn)程訪問(wèn)功能。即在Linux服務(wù)器上安裝與配置VPN服務(wù)器。

項(xiàng)目目標(biāo)：●理解遠(yuǎn)程訪問(wèn)VPN的構(gòu)成和連接過(guò)程●掌握配置并測(cè)試遠(yuǎn)程訪問(wèn)VPN的方法10.1

相關(guān)知識(shí)10.3項(xiàng)目實(shí)施10.5

練習(xí)題10.6

超級(jí)鏈接項(xiàng)目十、配置與管理VPN服務(wù)器10.2項(xiàng)目設(shè)計(jì)與準(zhǔn)備10.4

項(xiàng)目實(shí)錄

10.1

相關(guān)知識(shí)10.1.1VPN工作原理VPN（VirtualPrivateNetwork，虛擬專(zhuān)用網(wǎng)絡(luò)）是專(zhuān)用網(wǎng)絡(luò)的延伸，它模擬點(diǎn)對(duì)點(diǎn)專(zhuān)用連接的方式通過(guò)Internet或Intranet在兩臺(tái)計(jì)算機(jī)之間傳送數(shù)據(jù)，是“線路中的線路”，具有良好的保密性和抗干擾能力。虛擬專(zhuān)用網(wǎng)提供了通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)的連接方式。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可靠的安全連接，并保證數(shù)據(jù)安全傳輸。虛擬專(zhuān)用網(wǎng)是使用Internet或其他公共網(wǎng)絡(luò)來(lái)連接分散在各個(gè)不同地理位置的本地網(wǎng)絡(luò)，在效果上和真正的專(zhuān)用網(wǎng)一樣。如圖所示，說(shuō)明了如何通過(guò)隧道技術(shù)實(shí)現(xiàn)VPN。10.1.2VPN的特點(diǎn)和應(yīng)用1．VPN的特點(diǎn)VPN具有以下特點(diǎn)。（1）費(fèi)用低廉。（2）安全性高。（3）支持最常用的網(wǎng)絡(luò)協(xié)議。（4）有利于IP地址安全。（5）管理方便靈活。（6）完全控制主動(dòng)權(quán)。10.1.2VPN的特點(diǎn)和應(yīng)用2．VPN的應(yīng)用場(chǎng)合一般來(lái)說(shuō)，VPN使用在以下兩種場(chǎng)合。（1）遠(yuǎn)程客戶(hù)端通過(guò)VPN連接到局域網(wǎng)。（2）兩個(gè)局域網(wǎng)通過(guò)VPN互連。除了使用軟件方式實(shí)現(xiàn)外，VPN的實(shí)現(xiàn)需要建立在交換機(jī)、路由器等硬件設(shè)備上。目前，在VPN技術(shù)和產(chǎn)品方面，最具有代表性的當(dāng)數(shù)Cisco和華為3Com。10.1.3VPN協(xié)議

10.1.3VPN協(xié)議

10.1.3VPN協(xié)議

10.2項(xiàng)目設(shè)計(jì)及準(zhǔn)備

10.2.1項(xiàng)目設(shè)計(jì)在進(jìn)行VPN網(wǎng)絡(luò)構(gòu)建之前，我們有必要進(jìn)行VPN網(wǎng)絡(luò)拓?fù)湟?guī)劃。圖所示是一個(gè)小型的VPN實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境（可以通過(guò)VMWare虛擬機(jī)實(shí)現(xiàn)該網(wǎng)絡(luò)環(huán)境）。10.2.2項(xiàng)目準(zhǔn)備10.3項(xiàng)目實(shí)施10.3.1任務(wù)1安裝VPN服務(wù)器10.3.1任務(wù)1安裝VPN服務(wù)器1．下載所需要的安裝包文件●dkms--1.noarch.rpm●kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm●ppp-2.4.4-14.1.rhel5.i386.rpm●pptpd-1.3.4-2.rhel5.i386.rpm10.3.1任務(wù)1安裝VPN服務(wù)器執(zhí)行如下命令（也可以直接登錄/yum/stable/packages/網(wǎng)站，根據(jù)目錄列表下載相關(guān)的軟件包）。[root@vpn～]#wget/yum/stable/packages/

dkms--1.noarch.rpm[root@vpn～]#wget/yum/stable/packages/

kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm[root@vpn～]#wget/yum/stable/packages/

ppp-2.4.4-14.1.rhel5.i386.rpm[root@vpn～]#wget/yum/stable/packages/

pptpd-1.3.4-2.rhel5.i386.rpm

10.3.1任務(wù)1安裝VPN服務(wù)器2．依次安裝已下載的安裝包文件，執(zhí)行如下命令10.3.1任務(wù)1安裝VPN服務(wù)器10.3.2任務(wù)2配置VPN服務(wù)器1．網(wǎng)絡(luò)環(huán)境配置為了能夠正常監(jiān)聽(tīng)VPN客戶(hù)端的連接請(qǐng)求，VPN服務(wù)器需要配置兩個(gè)網(wǎng)絡(luò)接口。一個(gè)和內(nèi)網(wǎng)連接，另外一個(gè)和外網(wǎng)連接。在此我們?yōu)閂PN服務(wù)器配置了eth0和eth1兩個(gè)網(wǎng)絡(luò)接口。其中eth0接口用于連接內(nèi)網(wǎng)，IP地址為；eth1接口用于連接外網(wǎng)，IP地址為。10.3.2任務(wù)2配置VPN服務(wù)器2．修改主配置文件PPTP服務(wù)的主配置文件“/etc/pptpd.conf”有如下兩項(xiàng)參數(shù)的設(shè)置工作非常重要，只有在正確合理地設(shè)置這兩項(xiàng)參數(shù)的前提下，VPN服務(wù)器才能夠正常啟動(dòng)。10.3.2任務(wù)2配置VPN服務(wù)器10.3.2任務(wù)2配置VPN服務(wù)器3．配置賬號(hào)文件賬戶(hù)文件“/etc/ppp/chap-secrets”保存了VPN客戶(hù)機(jī)撥入時(shí)所使用的賬戶(hù)名、口令和分配的lP地址，該文件中每個(gè)賬戶(hù)的信息為獨(dú)立的一行，格式如下。賬戶(hù)名 服務(wù) 口令 分配給該賬戶(hù)的IP地址本例中文件內(nèi)容如下所示。本例中分配給long賬戶(hù)的IP地址參數(shù)值為“*”，表示VPN客戶(hù)機(jī)的IP地址由PPTP服務(wù)隨機(jī)在地址段中選擇，這種配置適合多人共同使用的公共賬戶(hù)。10.3.2任務(wù)2配置VPN服務(wù)器4．/etc/ppp/options-pptpd該文件各項(xiàng)參數(shù)及具體含義如下所示。可以根據(jù)自己網(wǎng)絡(luò)的具體環(huán)境設(shè)置該文件。至此，我們安裝并配置的VPN服務(wù)器已經(jīng)可以連接了。10.3.2任務(wù)2配置VPN服務(wù)器10.3.2任務(wù)2配置VPN服務(wù)器10.3.2任務(wù)2配置VPN服務(wù)器10.3.2任務(wù)2配置VPN服務(wù)器（4）自動(dòng)啟動(dòng)VPN服務(wù)。需要注意的是，上面介紹的啟動(dòng)VPN服務(wù)的方法只能運(yùn)行到計(jì)算機(jī)關(guān)機(jī)之前，下一次系統(tǒng)重新啟動(dòng)后就又需要重新啟動(dòng)它了。能不能讓它隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行呢？答案是肯定的，而且操作起來(lái)還很簡(jiǎn)單。在桌面上單擊右鍵，選擇“打開(kāi)終端”，在打開(kāi)的“終端”窗口輸入“ntsysv”就打開(kāi)了RedHatEnterpriseLinux5下的“服務(wù)”配置小程序，找到“pptpd”服務(wù)，并在它前面按空格鍵加個(gè)“*”號(hào)。這樣，VPN服務(wù)就會(huì)隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行了。10.3.2任務(wù)2配置VPN服務(wù)器10.3.3任務(wù)3配置VPN客戶(hù)端1．建立VPN連接建立VPN連接的具體步驟如下。（1）用鼠標(biāo)右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo)，在彈出的快捷菜單中選擇“屬性”選項(xiàng)，打開(kāi)“網(wǎng)絡(luò)連接”窗口。（2）雙擊“新建連接向?qū)А眻D標(biāo)，會(huì)打開(kāi)“新建連接向?qū)А睂?duì)話(huà)框。（3）單擊“下一步”按鈕，打開(kāi)“網(wǎng)絡(luò)連接類(lèi)型”設(shè)置對(duì)話(huà)框，我們選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”選項(xiàng)，如圖

（4）單擊“下一步”按鈕，打開(kāi)“網(wǎng)絡(luò)連接”設(shè)置對(duì)話(huà)框，我們選擇“虛擬專(zhuān)用網(wǎng)絡(luò)連接”選項(xiàng)，如圖

10.3.3任務(wù)3配置VPN客戶(hù)端（5）單擊“下一步”，設(shè)置是否允許所有用戶(hù)使用此連接，在此我們選擇“所有用戶(hù)使用此連接”。（6）單擊“下一步”按鈕，打開(kāi)“連接名”對(duì)話(huà)框，這里設(shè)置公司名為“jn-VPN”，如圖

（7）單擊“下一步”按鈕，選擇VPN客戶(hù)端接入Internet網(wǎng)絡(luò)的連接方式。在此選擇“不撥初始連接”。（8）單擊“下一步”按鈕，打開(kāi)“VPN服務(wù)器選擇”對(duì)話(huà)框，我們?cè)O(shè)置VPN服務(wù)器的IP地址為“”，如圖

10.3.3任務(wù)3配置VPN客戶(hù)端10.3.3任務(wù)3配置VPN客戶(hù)端（4）在客戶(hù)端以smile用戶(hù)登錄，在連接成功之后在VPN客戶(hù)端利用ipconfig命令可以看到多了一個(gè)ppp連接，如圖所示。在VPN服務(wù)器端利用ifconfig命令可以看到多了一個(gè)ppp0連接，如圖

10.3.3任務(wù)3配置VPN客戶(hù)端10.3.3任務(wù)3配置VPN客戶(hù)端

（1）VPN服務(wù)器有兩個(gè)網(wǎng)絡(luò)接口：eth0、eth1。eth0接內(nèi)部網(wǎng)絡(luò)，IP是/24，eth1接入Internet，IP是/24。

（2）內(nèi)部局域網(wǎng)的網(wǎng)段為/24，其中內(nèi)部網(wǎng)的一臺(tái)用作測(cè)試的計(jì)算機(jī)的IP是00/24。（3）VPN客戶(hù)端是Internet上的一臺(tái)主機(jī)，IP是/24。實(shí)際上客戶(hù)端和VPN服務(wù)器通過(guò)Internet連接，為了實(shí)驗(yàn)方便省略了其間的路由，這一點(diǎn)請(qǐng)讀者要注意。

3．不同網(wǎng)段IP地址小結(jié)10.3.3任務(wù)3配置VPN客戶(hù)端（4）主配置文件“/etc/pptpd.conf”的配置項(xiàng)“l(fā)ocalip00”定義了VPN服務(wù)器連接后的ppp0連接的IP地址。讀者可能已經(jīng)注意，這個(gè)IP地址不在上面所述的幾個(gè)網(wǎng)段中，是單獨(dú)的一個(gè)。其實(shí)，這個(gè)地址與已有的網(wǎng)段沒(méi)有關(guān)系，它僅是VPN服務(wù)器連接后，分配給ppp0的地址，為了安全考慮，建議不要配置成已有的局域網(wǎng)的網(wǎng)段中的IP地址。（5）主配置文件“/etc/pptpd.conf”的配置項(xiàng)“remoteip1-20,01-180”是VPN客戶(hù)端連接VPN服務(wù)器后獲得IP地址的范圍。3．不同網(wǎng)段IP地址小結(jié)10.4

項(xiàng)目實(shí)錄

1．錄像位置隨書(shū)光盤(pán)中\(zhòng)隨書(shū)項(xiàng)目實(shí)錄\VPN服務(wù)器配置與管理.flv.2．項(xiàng)目背景某企業(yè)需要搭建一臺(tái)VPN服務(wù)器。使公司的分支機(jī)構(gòu)以及SOHO員工可以從Internet訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源（訪問(wèn)時(shí)間：09:00-17:00）。

3．深度思考在觀看錄像時(shí)思考以下幾個(gè)問(wèn)題。（1）VPN服務(wù)器、內(nèi)部局域的主機(jī)、遠(yuǎn)程VPN客戶(hù)端的IP地址情況是怎樣的？（2）本次錄像中主配置文件的配置與我們課上講得有區(qū)別嗎？