Linux服务器技术项目十二.ppt

项目十二VPN服务器VPNVPN服务器的配置与管理服务器的配置与管理配置配置VPNVPN客户端客户端项目课题引入项目课题引入当出差在外地的用户或者长沙分公司与上海分公司的工作人员，要通过互联网访问企业局域网内部资源，为了保证数据在互联网中的安全性，需要在互联网与企业内部之间建立一个安全虚拟专用网络（VPN）通道。建立虚拟专用网络通道可通过VPN服务器实现，常见的有远程接入VPN和局域网之间VPN。远程接入VPN：外地用户通过ISP连上互联网后，通过互联网与总公司的VPN服务器（IP：192.168.0.252）建立VPN连接，进行安全通信。网络拓扑图如图12-1所。局域网间VPN:长沙分公司局域网和上海分公司局域网均连接到互联网，两分公司局域网间要经由Internet进行安全通信，可以在两公司间分别建立自己的VPN服务器（上海VPN服务器的IP:192.168.10.252,长沙的VPN服务器IP：192.168.20.252），对数据进行加密后在Internet上进行通信。网络拓扑图如图12-2所示。项目任务项目任务图12-1远程接入VPN图12-2局域网间VPN教学目标掌握VPN服务器工作原理。熟悉VPN服务相关协议。掌握配置VPN服务器。VPN 的工作原理的工作原理Linux下配置管理下配置管理VPN教学重点 教学难点如图12.3配置远程接入VPN服务器，VPN客户端通过Internet网络与VPN服务器连接后，可访问局域网内部的服务器。VPN 服务器服务器Internet 适配器适配器Intranet 适配器适配器公司公司内部网络内部网络VPN 远程访问客户机远程访问客户机InternetInternet隧道隧道隧道隧道如图12.3如图如图12.3VPN（VirtualPrivateNetwork，虚拟专用网络）利用因特网或其他公共互联网络的基础设施为用户创建一条专用的虚拟通道，并提供与专用网络一样的安全和功能保障。它提供了信息的机密性、数据的完整性和用户的验证。VPN在互联网中建立一条专用的隧道，实现数据的专用传输，保证数据的安全性。隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及第三层隧道协议（IPSec）。PPTP封装了PPP数据包中包含的用户信息，支持隧道交换。隧道交换可以根据用户权限，开启并分配新的隧道，将PPP数据包在网络中传输。L2TP（LayerTwoTunnelingProtocol，第二层隧道协议）是基于RFC的隧道协议，该协议依赖于加密服务的Internet安全性（IPSec）。它允许客户通过其间的网络建立隧道，L2TP还支持信道认证，但它没有规定信道保护的方法。IPSec是由IETF（InternetEngineeringTaskForce）定义的一套在网络层提供IP安全性的协议。主要用于确保网络层之间的安全通信。它使用IPSec协议集保护IP网和非IP网上的L2TP业务。在IPSec协议中，一旦IPSec通道建立，在通信双方网络层之上的所有协议（如TCP、UDP、SNMP、HTTP、POP等）就要经过加密，而不管这些通道构建时所采用的安全和加密方法如何。1、安装软件包配置VPN服务器需要安装的软件包常见的有4个。1）dkms-2.0.10-1.noarch.rpm：DKMS（DynamicKernelModuleSupport）是Dell公司开发的一个动态模组支持包。旨在创建一个内核相关模块源可驻留的框架，以便在升级内核时可以很容易地重建模块。2）kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm：使得Windows与Linux能够进行通信需安装的软件包。3）ppp-2.4.3-5.rhel4.i386.rpm：升级PPP到2.4.3版本，使其支持MPPE加密，默认系统已经安装完成。4）pptpd-1.3.3-1.rhel4.i386.rpm：PPTP点对点隧道协议的RPM安装包。1）、2）和4）需要通过网上下载后进行安装。说明kernel_ppp_mppe在安装过程中依赖于GCC包，要先安装GCC包后才能安装该包。rootlinux5#rpm-ivh/tmp/VMwareDnD/e58c2b0f/dkms-2.0.17.5-1.noarch.rpmrootlinux5#rpm-ivh/tmp/VMwareDnD/e5052a94/kernel_ppp_mppe-1.0.2-3dkms.noarch.rpmrootlinux5#rpm-ivh/tmp/VMwareDnD/e7842d1f/pptpd-1.4.0-1.rhel5.i386.rpm2.配置VPN服务器网卡设置网卡eth0的IP地址为192.168.0.252，如图12-2所示；添加网卡eth1，设置IP地址为222.222.222.20，如图12-3所示。图图12-2 设置设置eth0的的IP地址地址图图12-3设置设置eth1的的IP地址地址3.编辑VPN服务的主配置文件/etc/pptpd.conf/etc/pptpd.conf文件是VPN服务器的主配置文件，在该文件中需要设置VPN服务器的本地地址和分配给客户端的地址段。文件中localip:用于设置在建立VPN连接后，VPN服务器本地的地址。VPN客户端在拨号后VPN服务器会自动建立一个ppp0网络接口供客户使用，这里定义的是ppp0的IP地址。remoteip:用于设置在建立VPN连接后，VPN服务器分配给VPN客户端的可用地址段，当VPN客户端拨号到VPN服务器后，服务器会从这个地址段中分配一个IP地址给VPN客户端，以便VPN客户端能访问内部网络。可以使用“-”符号表示连续的地址，使用“,”符号隔开不连续的地址。编辑文件中第102和103行，将注释符#号去掉，修改为如下内容。rootlinux5#vi/etc/pptpd.conflocalip192.168.2.100remoteip192.168.1.10-2004、编辑/etc/ppp/chap-secrets文件/etc/ppp/chap-secrets是VPN用户帐号文件，该帐号文件保存VPN客户端拨入时所需要的验证信息。打开该文件添加远程登录用户名为amy，服务名为pptpd，登录密码为123456，远程用户登录时，获取的IP地址为192.168.1.150。rootlinux5#vi/etc/ppp/chap-secretsamypptpd123456192.168.1.1505、启用Linux的路由转发功能rootlinux5#echo1/proc/sys/net/ipv4/ip_forward6、设置VPN服务可以穿透Linux防火墙rootlinux5#iptables-AINPUT-ptcp-dport1723-jACCEPTrootlinux5#iptables-AINPUT-pgre7、开启VPN服务rootlinux5#servicepptpdstartStartingpptpd:确定8、Windows系列远程客户主机连接VPN服务器在“网上邻居”中新建一个连接，如图12-4所示。下一步在网络连接类型中选择“连接到我的工作场所网络”，如图12-5所示，图图12-4 新建连接新建连接图图12-5 选择网络连接类型选择网络连接类型下一步，选择网络连接为下一步，选择网络连接为“虚拟专用网络连接（虚拟专用网络连接（V）”如图如图12-6所示。选择下一步，所示。选择下一步，图图12-6 网络连接网络连接任意输入一个连接名字amy,单击下一步，在VPN服务器选择中输入VPN服务器连接互联网的IP地址222.222.222.20，如图下所示。下一步后单击“完成”按钮，弹出amy连接窗口，输入用户名连接窗口，输入用户名amy和密码和密码123456，选择，选择“连接连接”，如，如图图12-8所示。所示。图图12-8 用户远程登录用户远程登录连接上后连接上后my显示已连接上，出现如图显示已连接上，出现如图12-9所示，所示，a然后在然后在dos命令窗口中输入命令窗口中输入ipconfig命令，观察命令，观察ppp对应给的对应给的IP地址为地址为192.168.1.150，如图，如图12-10所示。所示。图图12-9 amy用户已连接用户已连接图图12-10 远程客户端主机获取的远程客户端主机获取的IP地址思考及提高 思考1 思考思考2思考思考4VPN VPN 的工作原理的工作原理VPN特点特点常用的常用的VPN VPN 协议协议什么是什么是VPN?思考思考3THANKS!谢谢观看