版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
第3章虛擬專用網(wǎng)絡(luò)技術(shù)3.1虛擬專用網(wǎng)絡(luò)的產(chǎn)生背景3.2虛擬專用網(wǎng)絡(luò)的基本知識(shí)3.3VPN的核心技術(shù)——隧道技術(shù)3.4常用的VPN實(shí)現(xiàn)技術(shù)3.5虛擬專用網(wǎng)的實(shí)現(xiàn)2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)12023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)2學(xué)習(xí)目標(biāo)與要求了解VPN是利用公共互聯(lián)網(wǎng)絡(luò)安全、經(jīng)濟(jì)和方便地拓展企業(yè)內(nèi)部網(wǎng)絡(luò)的新方法;理解VPN的概念,基本理解VPN的工作原理和關(guān)鍵技術(shù)(隧道技術(shù))的實(shí)現(xiàn);掌握VPN的三種不同應(yīng)用:用于連接分支機(jī)構(gòu)的IntranetVPN,用于連接合作伙伴的ExtranetVPN,用于連接遠(yuǎn)程個(gè)人用戶的AccessVPN。了解虛擬專用網(wǎng)的實(shí)現(xiàn)過(guò)程3.1虛擬專用網(wǎng)絡(luò)的產(chǎn)生背景一個(gè)網(wǎng)絡(luò)連接通常包括三個(gè)部分:客戶機(jī)、傳輸介質(zhì)和服務(wù)器。建立網(wǎng)絡(luò)連接的傳輸介質(zhì)可以是傳統(tǒng)的撥號(hào)電信網(wǎng)絡(luò)線路,可以是電信部門(mén)提供的DDN專線或固定虛擬線路(PermanentVirtualCircuit,PVC),例如幀中繼(FrameRelay,F(xiàn)R)、異步傳輸模式(AsynchronousTransferMode,ATM)等數(shù)據(jù)網(wǎng)絡(luò),也可以是Internet或其他公共互聯(lián)網(wǎng)絡(luò),還可以是虛擬專用網(wǎng)絡(luò)。不同的網(wǎng)絡(luò)連接方法,效果明顯不同。下面對(duì)目前常用的網(wǎng)絡(luò)接入方法作一介紹。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)33.1.1專用通路接入的網(wǎng)絡(luò)連接1.常用方法(1)個(gè)人系統(tǒng)經(jīng)由Modem通過(guò)長(zhǎng)途電話撥號(hào),直接接入企業(yè)計(jì)算中心Modem池,再連入企業(yè)內(nèi)部網(wǎng)絡(luò)。(2)用戶還可以向電信部門(mén)租用DDN專線或固定虛擬線路來(lái)實(shí)現(xiàn)從企業(yè)分支機(jī)構(gòu)網(wǎng)絡(luò)接入中央信息系統(tǒng)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)42、優(yōu)缺點(diǎn)優(yōu)點(diǎn):電話撥號(hào)、DDN專線、幀中繼、異步傳輸模式等可以建立從客戶機(jī)到服務(wù)器的固定專用通路,當(dāng)然比較容易實(shí)現(xiàn)良好的安全性、保密性、可靠性等。缺點(diǎn):運(yùn)行成本高,可擴(kuò)展性受到諸多制約,已不能滿足瞬息萬(wàn)變的電子商務(wù)的需求。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)53.1.2通過(guò)公共互聯(lián)網(wǎng)絡(luò)接入的網(wǎng)絡(luò)連接1、通過(guò)Internet接入的必要性與面臨的威脅2.具體連接原理企業(yè)利用Internet連接的端到端的數(shù)據(jù)通路大致由撥入段、外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)三段組成。撥入段:一個(gè)到ISP的撥入連接外部網(wǎng)絡(luò):公共互聯(lián)網(wǎng)絡(luò)Internet內(nèi)部網(wǎng)絡(luò):企業(yè)內(nèi)部網(wǎng)絡(luò)Intranet2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)63.1.3通過(guò)VPN接入的網(wǎng)絡(luò)連接當(dāng)采用專用通路接入實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部目標(biāo)的網(wǎng)絡(luò)連接時(shí),比較容易控制網(wǎng)絡(luò)的可靠性和安全性,但是網(wǎng)絡(luò)的可擴(kuò)展性受到限制;當(dāng)通過(guò)公共互聯(lián)網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)具有較好的可擴(kuò)展性,但是容易受到不同方式的攻擊,網(wǎng)絡(luò)的安全可靠性面臨威脅。由此,彌補(bǔ)了上述缺陷的VPN便應(yīng)運(yùn)而生。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)73.2虛擬專用網(wǎng)絡(luò)的基本知識(shí)3.2.1
VPN的概念虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)技術(shù),是一種網(wǎng)絡(luò)連接新技術(shù)。所謂“虛擬”是指用戶不需要擁有實(shí)際的的數(shù)據(jù)線路,而是使用Internet公共數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂“專用網(wǎng)絡(luò)”,是指用戶可以制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。虛擬專用網(wǎng)不是真正的專用網(wǎng)絡(luò),卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)83.2.2
VPN網(wǎng)絡(luò)的安全技術(shù)目前VPN主要采用4項(xiàng)技術(shù)來(lái)保證安全,這4項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)數(shù)據(jù)加解密技術(shù)(Encryption&Decryption)密鑰管理技術(shù)(KeyManagement)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)93.3VPN的核心技術(shù)——隧道技術(shù)3.3.1隧道技術(shù)的基本原理3.3.2隧道協(xié)議隧道是由隧道協(xié)議形成的,目前常用的VPN隧道協(xié)議有如下4種。PPTP協(xié)議、L2TP協(xié)議、IPSec協(xié)議和SSTP協(xié)議。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)101、PPTP協(xié)議PPTP(PointtoPointTunnelingProtocol,第二層點(diǎn)到點(diǎn)隧道協(xié)議)。提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信。PPTP客戶機(jī)是指運(yùn)行了該協(xié)議的PC,如啟動(dòng)該協(xié)議的WindowsXP。PPTP可看作是PPP協(xié)議的一種擴(kuò)展,它允許對(duì)IP、IPX或NetBEUI等不同的數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公用互聯(lián)網(wǎng)絡(luò)發(fā)送。遠(yuǎn)端用戶能夠透過(guò)任何支持PPTP的ISP服務(wù)訪問(wèn)企業(yè)的專用網(wǎng)絡(luò)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)112、L2TP協(xié)議L2TP協(xié)議(Layer2TunnelingProtocol,第二層隧道協(xié)議),是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議,功能大致和PPTP協(xié)議類似。L2TP協(xié)議可以讓用戶從客戶端或訪問(wèn)服務(wù)器端發(fā)起連接。L2TP是把鏈路層PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施,如IP、ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b。L2TP還解決了多個(gè)PPP鏈路的捆綁問(wèn)題,PPP鏈路捆綁要求其成員均指向同一個(gè)NAS,L2TP可以使物理上連接到不同NAS的PPP鏈路,在邏輯上的終結(jié)點(diǎn)為同一個(gè)物理設(shè)備,L2TP擴(kuò)展了PPP連接。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)123、IPSec協(xié)議IPSec協(xié)議(IPSecurity)是IETF制定的一系列協(xié)議,以保證在Internet上傳送數(shù)據(jù)的安全保密性。IPSec協(xié)議主要功能是為IP通信提供加密和認(rèn)證,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性IPSEC,是第三層的協(xié)議標(biāo)準(zhǔn),支持IP網(wǎng)絡(luò)上的數(shù)據(jù)的安全傳輸。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)13IPSec有兩種工作模式:一種是隧道模式,另一種是傳輸模式。傳輸模式只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證,此時(shí)繼續(xù)使用原始IP頭部。傳輸模式對(duì)IP包的路由支持較好。隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)14IPSec隧道模式有以下局限。(1)只能支持IP數(shù)據(jù)流(2)工作在IP棧(IPstack
)的底層,因此應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。(3)由一個(gè)安全策略(一整套過(guò)濾機(jī)制)進(jìn)行控制。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)154、SSTP協(xié)議SSTP(SecureSocketTunnelingProtocol)協(xié)議是一種新的隧道協(xié)議,在TCP端口443上使用HTTPS協(xié)議,使通信可以通過(guò)可能阻止PPTP通信和L2TP/IPSec通信的防火墻和Web代理。SSTP提供了一種機(jī)制,用于封裝通過(guò)HTTPS協(xié)議的安全套接字層(SSL)通道傳輸?shù)腜PP通信。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)165、隧道協(xié)議的選擇在PPTP、L2TP/IPSec和SSTP遠(yuǎn)程訪問(wèn)VPN解決方案之間進(jìn)行選擇時(shí),需要考慮以下事項(xiàng)。1)PPTP可以用于各種Microsoft客戶端,包括Windows2000、WindowsXP、WindowsVista和WindowsServer2008。與L2TP/IPSec不同,PPTP不要求使用公鑰結(jié)構(gòu)(PKI)?;赑PTP的VPN連接不提供數(shù)據(jù)完整性(保證數(shù)據(jù)在傳輸中未更改)和數(shù)據(jù)源身份驗(yàn)證(保證數(shù)據(jù)由經(jīng)過(guò)授權(quán)的用戶發(fā)送)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)172)L2TP只能用于運(yùn)行Windows2000、WindowsXP和WindowsVista的客戶端計(jì)算機(jī)。L2TP支持將計(jì)算機(jī)證書(shū)或預(yù)共享密鑰作為IPSec的身份驗(yàn)證方法。計(jì)算機(jī)證書(shū)身份驗(yàn)證是建議的身份驗(yàn)證方法,要求使用PKI向VPN服務(wù)器和所有VPN客戶端頒發(fā)計(jì)算機(jī)證書(shū)。L2TP/IPSecVPN連接使用IPSec來(lái)提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)身份驗(yàn)證。與PPTP和SSTP不同,L2TP/IPSec啟用IPSec層的計(jì)算機(jī)身份驗(yàn)證和PPP層的用戶級(jí)身份驗(yàn)證。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)183)SSTP只能用于WindowsVistaServicePack1(SP1)、Windows7或WindowsServer2008的客戶端計(jì)算機(jī)。SSTPVPN連接使用SSL來(lái)提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)身份驗(yàn)證。4)3種隧道類型均在網(wǎng)絡(luò)協(xié)議堆棧頂部傳送PPP幀。因此,三種隧道類型的PPP常用功能、如身份驗(yàn)證方案、Internet協(xié)議第4版(IPV4)協(xié)商和Internet協(xié)議第6版(IPv)協(xié)商以及網(wǎng)絡(luò)訪問(wèn)保護(hù)(NAP),保持相同。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)193.4常用的VPN實(shí)現(xiàn)技術(shù)用戶可以根據(jù)自己的情況選擇VPN實(shí)現(xiàn)技術(shù),如:遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(AccessVPN)、企業(yè)內(nèi)部虛擬網(wǎng)(IntranetVPN)和企業(yè)擴(kuò)展虛擬網(wǎng)(ExtranetVPN)。這3種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)203.4.1用于連接分支機(jī)構(gòu)的VPN(IntranetVPN)利用Internet線路保證網(wǎng)絡(luò)互聯(lián)性,而利用隧道、加密等VPN特性可以保證信息在整個(gè)IntranetVPN上安全傳輸。IntranetVPN通過(guò)使用專用連接共享基礎(chǔ)設(shè)施,連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)有與專用網(wǎng)絡(luò)相同政策,包括安全服務(wù)、質(zhì)量(QualityofService,QoS)、可管理性和可靠性。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)21兩種實(shí)現(xiàn)IntranetVPN的方式:(1)專線入網(wǎng)實(shí)現(xiàn)IntranetVPN。采用這種方法其實(shí)不需要使用價(jià)格昂貴的長(zhǎng)距離專線,分支機(jī)構(gòu)和公司總部的路由器可以各自使用本地的專線通過(guò)本地的ISP接入Internet。VPN軟件使用與本地ISP建立的連接和Internet網(wǎng)絡(luò)在分支機(jī)構(gòu)和企業(yè)總部的路由器之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)。(2)撥號(hào)入網(wǎng)實(shí)現(xiàn)IntranetVPN。不同于傳統(tǒng)的使用連接分支機(jī)構(gòu)路由器的撥打長(zhǎng)途電話連接企業(yè)NAS的方式,分支機(jī)構(gòu)端的路由器可以通過(guò)撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立的連接在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越Internet的虛擬專用網(wǎng)絡(luò)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)22IntranetVPN技術(shù)對(duì)用戶的吸引力在于如下方面。(1)減少WAN帶寬的費(fèi)用。(2)能使用靈活的拓?fù)浣Y(jié)構(gòu),包括全網(wǎng)絡(luò)連接。(3)新的站點(diǎn)能更快、更容易地被連接。(4)通過(guò)設(shè)備供應(yīng)商WAN的連接冗余,可以延長(zhǎng)網(wǎng)絡(luò)的可用時(shí)間。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)233.4.2用于連接業(yè)務(wù)伙伴或供應(yīng)商的VPN(ExtranetVPN)與IntranetVPN不同,ExtranetVPN是兩個(gè)互不信任的網(wǎng)絡(luò)的連接。利用VPN技術(shù)可以組建安全的Extranet,既可以向客戶、合作伙伴提供有效的信息服務(wù),又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。ExtranetVPN中,實(shí)際的數(shù)據(jù)傳送是雙方各自通過(guò)本地ISP接入Internet,數(shù)據(jù)從本企業(yè)網(wǎng)絡(luò)經(jīng)由ISP再通過(guò)Internet傳到對(duì)方網(wǎng)絡(luò)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)24ExtranetVPN連接時(shí),根據(jù)不同的安全策略,客戶方不但要向保護(hù)制造商內(nèi)部網(wǎng)絡(luò)的防火墻(路由器)認(rèn)證其身份,而且需向連接的服務(wù)器認(rèn)證自己的身份。完成了身份認(rèn)證后,就可以建立一個(gè)安全的通道,雙方可以進(jìn)行加密通信。加密和解密工作在認(rèn)證設(shè)備(如服務(wù)器)和被認(rèn)證設(shè)備(客戶機(jī))上完成,而不像IntranetVPN那樣在防火墻(路由器)上完成。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)25總之,ExtranetVPN通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施,將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策,包括安全服務(wù)、質(zhì)量、可管理性和可靠性。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)263.4.3用于遠(yuǎn)程訪問(wèn)的VPN(AccessVPN)如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要,或者商家要提供B2C的安全訪問(wèn)服務(wù),就可以考慮使用AccessVPN。這里所說(shuō)的移動(dòng)用戶是指出差在外的不固定地址的員工。VPN允許身處異地及海外的企業(yè)員工的個(gè)人計(jì)算機(jī)系統(tǒng)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施,以安全的方式與位于企業(yè)內(nèi)部網(wǎng)的服務(wù)器建立連接,即AccessVPN。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)27AccessVPN通過(guò)一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施,提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)。AccessVPN能使用戶隨時(shí)隨地以其所需的方式訪問(wèn)企業(yè)資源。AccessVPN包括模擬、撥號(hào)、ISDN、數(shù)據(jù)用戶線路(xDSL)、移動(dòng)IP和電纜技術(shù),能夠安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)28AccessVPN有下列特點(diǎn):(1)動(dòng)態(tài)特性。(2)訪問(wèn)權(quán)限。(3)加密和認(rèn)證。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)29AccessVPN對(duì)用戶的吸引力在于如下方面(1)減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用,簡(jiǎn)化網(wǎng)絡(luò)。(2)實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來(lái)取代遠(yuǎn)距離接入或800電話接入,這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用。(3)極大的可擴(kuò)展性,簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。(4)遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn),基于策略功能的安全服務(wù)。(5)將工作重心從管理和保留動(dòng)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來(lái)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)303.4.4內(nèi)部網(wǎng)絡(luò)中的VPN在一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)中,可能有一些敏感部門(mén)的計(jì)算機(jī)或局域網(wǎng)絡(luò)需要實(shí)現(xiàn)特殊的保護(hù)。例如,企業(yè)的財(cái)務(wù)部門(mén)與審計(jì)部門(mén)之間的通信不能讓其他部門(mén)介入,并且財(cái)務(wù)部門(mén)與審計(jì)部門(mén)的網(wǎng)絡(luò)連接也必定是受限的。這種應(yīng)用其實(shí)沒(méi)有涉及新的技術(shù),可以把這兩個(gè)部門(mén)的網(wǎng)絡(luò)連接看作是兩個(gè)協(xié)作企業(yè)網(wǎng)絡(luò)之間的連接,即一個(gè)特殊的ExtranetVPN,只是原來(lái)所說(shuō)的兩個(gè)企業(yè)的內(nèi)部網(wǎng)絡(luò)現(xiàn)在改為部門(mén)的局域網(wǎng)絡(luò),連接這兩個(gè)部門(mén)局域網(wǎng)絡(luò)的是企業(yè)的骨干網(wǎng)絡(luò)。因?yàn)橥瑯有枰谕ㄐ烹p方之間建立VPN隧道實(shí)現(xiàn)保密的通信,所以這時(shí)就是在內(nèi)部網(wǎng)絡(luò)中實(shí)現(xiàn)隧道技術(shù)、用戶認(rèn)證、加密通信、密鑰管理等。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)313.5虛擬專用網(wǎng)的實(shí)現(xiàn)VPN可以通過(guò)支持VPN功能的路由器或交換機(jī)實(shí)現(xiàn),WindowsServer2000或WindowsServer2003或更高版本都提供了VPN功能。本節(jié)討論如何通過(guò)安裝了WindowsServer2003的主機(jī)實(shí)現(xiàn)VPN功能。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)323.5.1準(zhǔn)備工作要實(shí)現(xiàn)VPN連接,內(nèi)部網(wǎng)絡(luò)中必須有一臺(tái)基于WindowsServer2003以上或WindowsServer2000的VPN服務(wù)器,VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò),另一方面要連接到Internet,這就要求VPN服務(wù)器必須擁有一個(gè)公共的IP地址。當(dāng)客戶機(jī)通過(guò)VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí),先由ISP將所有的數(shù)據(jù)傳送到VPN服務(wù)器,然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。在WindowsServer2003中支持兩種類型的VPN技術(shù)。點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)帶有IP協(xié)議安全(IPSec)的第二隧道協(xié)議(L2TP)2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)333.5.2配置VPN服務(wù)器下面以一個(gè)遠(yuǎn)程客戶端與一個(gè)公司總部VPN服務(wù)器之間的連接為例,介紹VPN的安裝設(shè)置步驟首先,需要公司總部的計(jì)算機(jī)(以下稱為“VPN服務(wù)器”)和分公司的計(jì)算機(jī)(以下稱為“VPN客戶機(jī)”)均應(yīng)能訪問(wèn)Internet,并且VPN服務(wù)器擁有一個(gè)Internet上合法的IP地址(即公網(wǎng)IP)。然后,當(dāng)VPN客戶機(jī)通過(guò)虛擬撥號(hào)和VPN服務(wù)器連接成功,VPN客戶機(jī)就成了VPN服務(wù)器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi),任意一臺(tái)計(jì)算機(jī)均可以根據(jù)權(quán)限訪問(wèn)其他計(jì)算機(jī)上的軟硬件共享資源,操作方法和普通局域網(wǎng)完全一樣。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)34(1)依次單擊【開(kāi)始】->【程序】->【管理工具】->【路由和遠(yuǎn)程訪問(wèn)】,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái),如圖3-6所示2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)35圖3-6路由和遠(yuǎn)程訪問(wèn)控制臺(tái)(2)在左邊“路由和遠(yuǎn)程訪問(wèn)”欄中右擊“X3650(本地)”,選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)安裝向?qū)А贝翱?,在“歡迎使用路由和遠(yuǎn)程訪問(wèn)安裝向?qū)А敝袥](méi)有可以設(shè)置的選項(xiàng),直接單擊“下一步”按鈕,出現(xiàn)“配置”對(duì)話框,如圖3-7所示。(3)在圖3-7中選擇“虛擬專用網(wǎng)絡(luò)(VPN)訪問(wèn)和NAT”,然后單擊“下一步按鈕。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)362023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)37圖3-7選擇虛擬專用網(wǎng)絡(luò)(VPN)訪問(wèn)和NAT(4)在“路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А钡摹癡PN連接”中選擇與Internet相連的接口,本例為“本地連接”。然后單擊“下一步”按鈕。5)在出現(xiàn)的對(duì)話框“IP地址指定”對(duì)話框中需要選擇為遠(yuǎn)程VPN客戶端指定IP地址的方法。如果本機(jī)配置了DHCP服務(wù)器,可以選為“自動(dòng)”,由本機(jī)給客戶機(jī)分配IP地址;若本機(jī)沒(méi)有配置DHCP服務(wù)器,則選為“來(lái)自一個(gè)指定的地址范圍”,本例選擇“來(lái)自一個(gè)指定的地址范圍”,如圖3-8,然后單擊“下一步”按鈕。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)382023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)39圖3-8選擇如何給客戶端配置IP地址(6)在“地址范圍指定”對(duì)話框中可以為VPN客戶機(jī)指定所分配的IP地址范圍。例如,打算分配的IP地址范圍為“0~9”,則單擊“新建”按鈕打開(kāi)“新建地址范圍”窗口,輸入IP地址范圍后單擊“確定”按鈕,如圖3-9所示,然后單擊“下一步”按鈕。為了確保連接后的VPN網(wǎng)絡(luò)能同VPN服務(wù)器原有局域網(wǎng)正常通信,它們必須同VPN服務(wù)器的IP地址處在同一個(gè)網(wǎng)段中。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)402023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)41圖3-9輸入IP地址范圍圖3-10管理多個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器(7)在“管理多個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器”對(duì)話框中設(shè)置是否集中管理多個(gè)VPN服務(wù)器。選擇“否,使用路由和遠(yuǎn)程訪問(wèn)來(lái)對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證”,如圖3-10所示,然后單擊“下一步”按鈕。(8)出現(xiàn)“正在完成路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)印焙?,單擊“完成”按鈕結(jié)束VPN服務(wù)器配置。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)423.5.3賦予用戶撥入權(quán)限在默認(rèn)狀態(tài)下,VPN服務(wù)器拒絕包括Administrator用戶在內(nèi)的所有用戶撥入,因此需要為相應(yīng)用戶賦予撥入權(quán)限。(1)右擊“我的電腦”,在快捷菜單中選擇“管理”,打開(kāi)“計(jì)算機(jī)管理”控制臺(tái),如圖3-11所示。2023/2/5圖3-11計(jì)算機(jī)管理窗口43(2)創(chuàng)建用戶,在圖3-11中左側(cè)“本地用戶和組”中右擊“用戶”,在快捷菜單中選擇“新建用戶”,出現(xiàn)“新用戶”對(duì)話框。(3)在
“用戶名”、“全名”、“密碼”和“確認(rèn)密碼”文本框內(nèi)分別輸入相應(yīng)信息,單擊“創(chuàng)建”按鈕,然后單擊“關(guān)閉”按鈕。(4)依次展開(kāi)“本地用戶和組”|“用戶”,在右邊窗格中右擊“shenyuan”,快捷菜單中選擇“屬性”,打開(kāi)“shenyuan屬性”對(duì)話框,如圖3-12所示。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)44(5)單擊“撥入”標(biāo)簽,在“遠(yuǎn)程訪問(wèn)權(quán)限(撥入或VPN)”下選擇“允許訪問(wèn)”,然后單擊“確定”按鈕,返回“計(jì)算機(jī)管理”控制臺(tái),即結(jié)束了賦予“shenyuan”用戶撥入權(quán)限的工作。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)45圖3-12用戶屬性對(duì)話框3.5.4配置VPN客戶機(jī)客戶機(jī)系統(tǒng)以Windows2003為例,用戶可在自己機(jī)器上配置VPN客戶機(jī)(1)右擊“網(wǎng)上鄰居”,選擇“屬性”,打開(kāi)“網(wǎng)絡(luò)和撥號(hào)連接”窗口。(2)雙擊“網(wǎng)絡(luò)連接”窗口中“新建連接向?qū)?/p>
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 深圳住宅買(mǎi)賣合同定制
- 獸藥營(yíng)銷團(tuán)隊(duì)聘用合同范本
- 城市供水設(shè)施消火栓安裝協(xié)議
- 外貿(mào)托管轉(zhuǎn)讓合同范例
- 財(cái)產(chǎn)協(xié)議書(shū)(2篇)
- 拖拉機(jī)駕駛員用工合同
- 工商局建設(shè)工程設(shè)計(jì)合同范本
- 保安承包煤礦合同范例
- 工程建設(shè)合資合同范例
- 個(gè)人紅酒購(gòu)銷合同范例
- 河北省健康體檢主檢醫(yī)師題庫(kù)2024年12月
- 國(guó)家開(kāi)放大學(xué)《管理信息系統(tǒng)》大作業(yè)參考答案
- 2024年秋新蘇教版三年級(jí)上冊(cè)科學(xué)全冊(cè)復(fù)習(xí)資料
- 養(yǎng)殖場(chǎng)采購(gòu)協(xié)議書(shū)
- 2023-2024部編版小學(xué)六年級(jí)《道德與法治》上冊(cè)全冊(cè)教案
- 2024年山東省高中會(huì)考數(shù)學(xué)題學(xué)業(yè)水平考試(有答案)
- GB/T 13912-2020金屬覆蓋層鋼鐵制件熱浸鍍鋅層技術(shù)要求及試驗(yàn)方法
- 應(yīng)急預(yù)案評(píng)審要素表
- 九年級(jí)上冊(cè)數(shù)學(xué)知識(shí)點(diǎn)考點(diǎn)
- 研究開(kāi)發(fā)費(fèi)用加計(jì)扣除的鑒證報(bào)告記錄要求
- 《藥用植物學(xué)》課程標(biāo)準(zhǔn)
評(píng)論
0/150
提交評(píng)論