项目3 管理与维护VPN服务器.ppt

Linux网络服务器配置管理项目实训教程杨云等编著中国水利水电出版社 1.项目课题引入 2.VPN的工作原理 3.VPN服务器的配置与管理 4.VPN客户端配置 5.现场演示案例课题引入项目背景lVPN服务器有eth0和eth1两个网络接口。其中eth0用于连接内网，IP地址为192.168.1.2；eth1用于连接外网，IP地址为222.206.160.1。VPN客户端通过Internet网络与VPN服务器连接后，可访问局域网内部的服务器。建立VPN连接后，分配给VPN服务器的IP地址为192.168.1.100，分配给VPN客户端的IP地址池为192.168.1.200-192.168.1.220，192.168.1.230-192.168.1.240。客户端可以以用户名king、密码123456和VPN服务器建立连接，建立连接后获得的IP地址为192.168.1.221。拓扑图如下：课题引入项目分析l完成本项目需要解决的问题：1、什么是VPN服务器,其工作原理是什么2、VPN服务器的安装、启动与运行方法3、VPN服务器的配置方法4、VPN客户端的配置方法课题引入教学目标l学习本课需要实现的教学目标：掌握VPN的概念和工作原理掌握VPN服务器的启动与停止方法掌握VPN服务器配置文件的修改方法掌握VPN服务器的配置方法掌握VPN客户端的配置方法课题引入应达到的职业能力l学生学习本课后应该具有的职业能力：熟练掌握VPN服务器的配置能力熟练掌握VPN客户端的配置能力能够为企业的局域网设计VPN服务器方案具有较好的团队合作能力项目问题一VPN概述lVPN（VirtualPrivateNetwork，虚拟专用网络）是专用网络的延伸，它模拟点对点专用连接的方式通过Internet或Intranet在两台计算机之间传送数据，是“线路中的线路”，具有良好的保密性和抗干扰能力。本章重点介绍VPN工作原理、Linux下VPN服务器的配置与使用方法、VPN客户端的配置。VPN工作原理VPN 服务器服务器Internet 适配器适配器Intranet 适配器适配器公司公司内部网络内部网络VPN 远程访问客户机远程访问客户机InternetInternet隧道隧道隧道隧道VPN的特点与应用VPN的特点：（1）费用低廉（2）安全性高（3）支持最常用的网络协议（4）有利于IP地址安全（5）管理方便灵活（6）完全控制主动权VPN的应用：（1）总公司的网络已经连接到Internet，用户在远程拨号连接到Internet网络后，就可以通过Internet来与总公司的VPN服务器建立PPTP或L2TP的VPN连接，并通过VPN安全地传输数据。（2）两个物理上分离的局域网的VPN服务器都连接到Internet网络，并且通过Internet建立PPTP或L2TP的VPN连接，就可以实现两个局域网之间的安全数据传输。VPN协议VPN服务用到的隧道协议主要有第2层和第3层协议。第2层隧道协议使用帧作为数据交换单位。PPTP、L2TP都属于第2层隧道协议，它们都是将数据封装在点对点协议（PPP）帧中通过互联网发送的。第3层隧道协议使用包作为数据交换单位。IPoverIP和IPSec隧道模式都属于第3层隧道协议，它们都是将IP包封装在附加的IP包头中通过IP网络传送。VPN协议PPTP协议：协议：PPTP（Point-to-PointTunnelingProtocol，点对点隧道协议）是PPP（点对点）协议的扩展，并协调使用PPP的身份验证、压缩和加密机制。它允许对IP、IPX或NETBEUI数据流进行加密，然后封装在IP包头中通过诸如Internet这样的公共网络发送，从而实现多功能通信。L2TP协议：协议：L2TP（LayerTwoTunnelingProtocol，第二层隧道协议）是基于RFC的隧道协议，该协议依赖于加密服务的Internet安全性（IPSec）。它允许客户通过其间的网络建立隧道，L2TP还支持信道认证，但它没有规定信道保护的方法。IPSec协议：协议：IPSec是由IETF（InternetEngineeringTaskForce）定义的一套在网络层提供IP安全性的协议。主要用于确保网络层之间的安全通信。它使用IPSec协议集保护IP网和非IP网上的L2TP业务。在IPSec协议中，一旦IPSec通道建立，在通信双方网络层之上的所有协议（如TCP、UDP、SNMP、HTTP、POP等）就要经过加密，而不管这些通道构建时所采用的安全和加密方法如何。项目问题二VPN服务的安装 所需的软件包：所需的软件包：dkms-2.0.10-1.noarch.rpm：DKMS（DynamicKernelModuleSupport）是Dell公司开发的一个动态模组支持包。旨在创建一个内核相关模块源可驻留的框架，以便在升级内核时可以很容易地重建模块。kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm：该软件包使Linux系统内核版本2.6的操作系统下的PPTP协议支持MPPE加密。ppp-2.4.3-5.rhel4.i386.rpm：升级PPP到2.4.3版本，使其支持MPPE加密。pptpd-1.3.3-1.rhel4.i386.rpm：PPTP点对点隧道协议的RPM安装包。VPN服务的安装 安装软件包：安装软件包：查看系统是否支持查看系统是否支持MPPE加密：加密：项目问题三VPN服务器的配置VPN服务器的配置要点：（1）VPN服务器需要配置2个以上的网络接口。（2）修改相应的配置文件。（3）启动Linux的路由转发功能。（4）启动VPN服务。（5）设置VPN服务可以穿透Linux防火墙。VPN服务的主要配置文件配置VPN服务器，需要修改/etc/pptpd.conf、/etc/ppp/chap-secrets和/etc/ppp/options.pptpd三个文件。/etc/pptpd.conf文件是VPN服务器的主配置文件，在该文件中需要设置VPN服务器的本地地址和分配给客户端的地址段。/etc/ppp/chap-secrets是VPN用户帐号文件，该帐号文件保存VPN客户端拨入时所需要的验证信息。/etc/ppp/options.pptpd用于设置在建立连接时的加密、身份验证方式和其他的一些参数设置。/etc/pptpd.conf文件要使VPN服务器能正常工作需要设置localip和remoteip两个参数的值。localip:用于设置在建立VPN连接后，VPN服务器本地的地址。VPN客户端在拨号后VPN服务器会自动建立一个ppp0网络接口供客户使用，这里定义的是ppp0的IP地址。remoteip:用于设置在建立VPN连接后，VPN服务器分配给VPN客户端的可用地址段，当VPN客户端拨号到VPN服务器后，服务器会从这个地址段中分配一个IP地址给VPN客户端，以便VPN客户端能访问内部网络。可以使用“-”符号表示连续的地址，使用“,”符号隔开不连续的地址。/etc/ppp/chap-secrets文件/etc/ppp/chap-secrets帐号文件保存了VPN客户端拨入时所使用的用户名、密码和分配给该用户的IP地址，该文件中每个用户的信息为一行。格式如下：用户名用户名 服务服务 密码密码 分配给该用户的分配给该用户的IP地址地址配置文件中的用户名、密码、分配给该用户的IP地址要用双引号括起来，“服务”一般是pptpd。例如：kingpptpd123456192.168.1.221/etc/ppp/options.pptpd文件该文件各项参数及具体含义如下所示：项目问题四Windows2000VPN客户端的配置（1）在桌面上右击【网上邻居】并从弹出的快捷菜单中点击【属性】，接着在弹出的窗口中点击【新建连接】，打开【网络连接向导】对话框，如图所示。Windows2000VPN客户端的配置（2）单击“下一步”，在该对话框中选择网络的连接类型为“通过Internet连接到专用网络”，如图所示。Windows2000VPN客户端的配置（3）单击“下一步”，选择VPN客户端接入Internet网络的连接方式。在此选择“不拨初始连接”，如图所示。Windows2000VPN客户端的配置（4）单击“下一步”，设置VPN服务器的地址，在此输入VPN服务器的IP地址或主机名，然后单击“下一步”，如图所示。Windows2000VPN客户端的配置（5）单击“下一步”，设置是否允许所有用户使用此连接，在此我们选择“所有用户使用此连接”，如图所示。Windows2000VPN客户端的配置（6）单击“下一步”，打开“完成网络连接向导”在此设置此虚拟连接的名称，在此输入“jnrp-vpn”，如图所示。单击完成按钮，即可完成。Windows2000VPN客户端的配置（7）在下图所示的对话框中输入登录VPN服务器的用户名和密码，单击“连接按钮”，这时客户端就开始与VPN服务器建立连接，完成用户名和密码的核对，网络注册等工作。Windows2000VPN客户端的配置（8）在连接成功之后在VPN客户端利用ipconfig命令可以看到多了一个ppp连接，如图1所示。在VPN服务器端利用ifconfig命令可以看到多了一个ppp0连接，如图2所示。图1图2VPN服务器配置实例网络环境：VPN服务器有eth0和eth1两个网络接口。其中eth0用于连接内网，IP地址为192.168.1.2；eth1用于连接外网，IP地址为222.206.160.1。VPN客户端通过Internet网络与VPN服务器连接后，可访问局域网内部的服务器。建立VPN连接后，分配给VPN服务器的IP地址为192.168.1.100，分配给VPN客户端的IP地址池为192.168.1.200-192.168.1.220，192.168.1.230-192.168.1.240。客户端可以以用户名king、密码123456和VPN服务器建立连接，建立连接后获得的IP地址为192.168.1.221。拓扑图如下：解决方案服务器端的配置（1）修改相应的配置文件：对/etc/pptpd.conf文件做如下修改：在/etc/ppp/chap-secrets文件添加红线部分所示的行：解决方案服务器端的配置（2）启动Linux的路由转发功能：（3）启动VPN服务：（4）设置VPN服务可以穿透Linux防火墙：作业l架设一台VPN服务器,根据题目要求,写出相应的配置方案:lVPN服务器的IP地址是192.168.203.1,分配给VPN客户端的地址段为:192.168.203.60-192.168.203.150l建立一个名为user1,口令为123456的VPN拨号账号l配置一个客户端,VPN进行连接