第14章 VPN服务器配置ppt课件.ppt

《第14章 VPN服务器配置ppt课件.ppt》由会员分享，可在线阅读，更多相关《第14章 VPN服务器配置ppt课件.ppt（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、在此输入您的封面副标题第14章 VPN服务器配置LinuxLinux操作系统与实训操作系统与实训( (第三版第三版）杨云杨云 编著编著中国铁道出版社中国铁道出版社国家精品课程国家精品课程/国家精品资源共享课程国家精品资源共享课程配套教材配套教材第14章 VPNN服务器配置 项目描述：某高校组建了校园网，并且已经架设了Web、FTP、DNS、DHCP、Mail等功能的服务器来为校园网用户提供服务，现有下面问题需要解决。 只要能够访问互联网，不论是在家中还是出差在外，都可以轻松访问未对外开放的校园网内部资源（文件和打印共享、Web服务、FTP服务、OA系统等）。 要解决这个问题则需要开通校园网远程

2、访问功能。即在Linux服务器上安装与配置VPN服务器。 项目目标 ：理解远程访问VPN的构成和连接过程 掌握配置并测试远程访问VPN的方法14.1 相关知识 14.3 项目实施 14.5 练习题 14.6 超级链接 第14章 VPNN服务器配置14.2 项目设计与准备 14.4 项目实录 14.1 相关知识14.1.1 VPN工作原理 VPN（Virtual Private Network，虚拟专用网络）是专用网络的延伸，它模拟点对点专用连接的方式通过Internet或Intranet在两台计算机之间传送数据，是“线路中的线路”，具有良好的保密性和抗干扰能力。虚拟专用网提供了通过公用网络安全

3、地对企业内部专用网络远程访问的连接方式。虚拟专用网是对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可靠的安全连接，并保证数据安全传输。 虚拟专用网是使用Internet或其他公共网络来连接分散在各个不同地理位置的本地网络，在效果上和真正的专用网一样。如图所示，说明了如何通过隧道技术实现VPN。 14.1.2 VPN的特点和应用 1VPN的特点VPN具有以下特点。 （1）费用低廉。 （2）安全性高。 （3）支持最常用的网络协议。 （4）有利于IP地址安全。 （5）管理方便灵活。 （6）完全控制主动权。14.1.2 VPN的特点和应用 2VPN的应

4、用场合 一般来说，VPN使用在以下两种场合。 （1）远程客户端通过VPN连接到局域网。 （2）两个局域网通过VPN互连。 除了使用软件方式实现外，VPN的实现需要建立在交换机、路由器等硬件设备上。目前，在VPN技术和产品方面，最具有代表性的当数Cisco和华为3Com。14.1.3 VPN协议 14.1.3 VPN协议 14.1.3 VPN协议 14.2 项目设计及准备 14.2.1 项目设计 在进行VPN网络构建之前，我们有必要进行VPN网络拓扑规划。图所示是一个小型的VPN实验网络环境（可以通过VMWare虚拟机实现该网络环境）。14.2.2 项目准备部署远程访问VPN服务之前，应做如下准

5、备。（1）PPTP服务、Mail服务、Web服务和iptables防火墙服务均部署在一台安装有Red Hat Enterprise Linux 6操作系统的服务器上，服务器名为vpn，该服务器通过路由器接入Internet。（2）VPN服务器至少要有两个网络连接。分别为eth0和ethl，其中eth0连接到内部局域网网段，IP地址为；ethl连接到公用网络网段，IP地址为。在虚拟机设置中eth0使用VMnet0，eth1使用VMnet1。（3）内部网客户主机Web中，为了实验方便，设置一个共享目录share，在其下随便建立几个文件，供测试用。其网卡使用VMnet0。（4）VPN客户端clien

6、t的配置信息如图11-2所示。其网卡使用VMnet1。（5）合理规划分配给VPN客户端的IP地址。VPN客户端在请求建立VPN连接时，VPN服务器需要为其分配内部网络的IP地址。配置的IP地址也必须是内部网络中不使用的IP地址，地址的数量根据同时建立VPN连接的客户端数量来确定。在本任务中部署远程访问VPN时，使用静态IP地址池为远程访问客户端分配IP地址，地址范围采用，。（6）客户端在请求VPN连接时，服务器要对其进行身份验证，因此应合理规划需要建立VPN连接的用户账户。14.3 安装VPN服务器Linux环境下的VPN由VPN服务器模块（Point-to-Point Tunneling P

7、rotocol Daemon，PPTPD）和VPN客户端模块（Point-to-Point Tunneling Protocol，PPTP）共同构成。PPTPD和PPTP都是通过PPP（Point to Point Protoco1）来实现VPN功能的。而MPPE（Microsoft点对点加密）模块是用来支持Linux与Windows之间连接的。如果不需要Windows计算机参与连接，则不需要安装MPPE模块。PPTPD、PPTP和MPPE Module一起统称Poptop，即PPTP服务器。安装PPTP服务器需要内核支持MPPE（Microsoft点对点加密）（在需要与Windows客户端连

8、接的情况下需要）和及以上版本模块。而Red Hat Enterprise Linux 6默认已安装了版本的PPP，而内核也已经集成了MPPE，因此只需再安装PPTP软件包即可。1下载所需要的安装包文件读者可直接从人民邮电出版社教学资源网上下载pptpd软件包，也可以从互联网上下载。并将该文件复制到/vpn-rpm下。14.3 安装VPN服务器2安装已下载的安装包文件，执行如下命令rootRHEL6 桌面# cd /vpn-rpmrootRHEL6 vpn-rpm# rpm -ivh pptpd-1.3.4-2.el6.x86_64.rpm warning: pptpd-1.3.4-2.el6.

9、x86_64.rpm: Header V3 DSA/SHA1 Signature, key ID 862acc42: NOKEYPreparing. # 100% 1:pptpd # 100%rootRHEL6 vpn-rpm# rpm -qa |grep pptp3安装完成之后可以使用下面的命令查看系统的ppp是否支持MPPE加密rootRHEL6 # strings /usr/sbin/pppd|grep -i mppe|wc -lines42如果以上命令输出为“0”则表示不支持；输出为“30”或更大的数字就表示支持。14.4 配置VPN服务器1网络环境配置 为了能够正常监听VPN客户端的

10、连接请求，VPN服务器需要配置两个网络接口。一个和内网连接，另外一个和外网连接。在此我们为VPN服务器配置了eth0和eth1两个网络接口。其中eth0接口用于连接内网，IP地址为；eth1接口用于连接外网，IP地址为。14.4 配置VPN服务器rootRHEL6 vpn-rpm# ifconfig14.4 配置VPN服务器 同理在web上配置IP地址为，在client上配置IP地址为。 特别提示：如果希望IP地址重启后仍生效，请使用配置文件修改IP地址。在RHEL6上测试这3台计算机的连通性。rootRHEL6 vpn-rpm# ping 192.168.0.100 -c 2 PING 19

11、2.168.0.100 (192.168.0.100) 56(84) bytes of data.64 bytes from 192.168.0.100: icmp_seq=1 ttl=64 time=1.10 ms64 bytes from 192.168.0.100: icmp_seq=2 ttl=64 time=0.259 ms - 192.168.0.100 ping statistics -2 packets transmitted, 2 received, 0% packet loss, time 1002msrtt min/avg/max/mdev = 0.259/0.681/1

12、.103/0.422 msrootRHEL6 vpn-rpm# ping 200.200.200.2 -c 2 PING 200.200.200.2 (200.200.200.2) 56(84) bytes of data.14.4 配置VPN服务器 提示：极有可能，与client（）无法连通。原因可能是防火墙，将client的防火墙停掉即可。14.4 配置VPN服务器 2修改主配置文件 PPTP服务的主配置文件“/etc/pptpd.conf”有如下两项参数的设置工作非常重要，只有在正确合理地设置这两项参数的前提下，VPN服务器才能够正常启动。14.4 配置VPN服务器14.4 配置VPN服

13、务器3配置账号文件 账户文件“/etc/ppp/chap-secrets”保存了VPN客户机拨入时所使用的账户名、口令和分配的lP地址，该文件中每个账户的信息为独立的一行，格式如下。账户名服务口令分配给该账户的IP地址本例中文件内容如下所示。 本例中分配给long账户的IP地址参数值为“*”，表示VPN客户机的IP地址由PPTP服务随机在地址段中选择，这种配置适合多人共同使用的公共账户。14.4 配置VPN服务器4/etc/ppp/options-pptpd该文件各项参数及具体含义如下所示。rootRHEL6 # grep -v # /etc/ppp/options.pptpd |grep -

14、v $ /正则表达式的含义录像中有说明name pptpd /相当于身份验证时的域，一定要和/etc/ppp/chap-secrets中的内容对应refuse-pap /拒绝pap身份验证refuse-chap /拒绝chap身份验证refuse-mschap /拒绝mschap身份验证require-mschap-v2 /采用mschap-v2身份验证方式require-mppe-128 /在采用mschap-v2身份验证方式时要使用MPPE进行加密ms-dns 192.168.0.9 /给客户端分配DNS服务器地址ms-wins 192.168.0.202 /给客户端分配WINS服务器地址

15、proxyarp /启动ARP代理debug/开启调试模式，相关信息同样记录在 /var/logs/message 中。lock/锁定客户端 PTY 设备文件。nobsdcomp/禁用 BSD 压缩模式。novjnovjccomp/禁用 Van Jacobson 压缩模式。nologfd/禁止将错误信息记录到标准错误输出设备(stderr)14.4 配置VPN服务器5打开Linux内核路由功能 为了能让VPN客户端与内网互连，还应打开Linux系统的路由转发功能，否则VPN客户端只能访问VPN服务器的内部网卡eth0。执行下面的命令可以打开Linux路由转发功能。rootRHEL6 # vim

16、 /etc/sysctl.conf net.ipv4.ip_forward = 1 /数值改为“1”rootRHEL6 etc# sysctl p/启用转发功能net.ipv4.ip_forward = 1net.ipv4.conf.default.rp_filter = 1 （后面略）14.4 配置VPN服务器6关闭SELinux7启动VPN服务（1）可以使用下面的命令启动VPN服务。rootRHEL6 # service pptpd start（2）可以使用下面的命令停止VPN服务。rootRHEL6 # service pptpd stop（3）可以使用下面的命令重新启动VPN服务。ro

17、otRHEL6 # service pptpd restartShutting down pptpd: 确定 Starting pptpd: 确定 Warning: a pptpd restart does not terminate existing connections, so new connections may be assigned the same IP address and cause unexpected results. Use restart-kill to destroy existing connections during a restart.14.4 配置VP

18、N服务器rootRHEL6 vpn-rpm# service pptpd restart-killShutting down pptpd: 确定已终止rootRHEL6 vpn-rpm# service pptpd startStarting pptpd: 确定14.4 配置VPN服务器（4）自动启动VPN服务。 需要注意的是，上面介绍的启动VPN服务的方法只能运行到计算机关机之前，下一次系统重新启动后就又需要重新启动它了。能不能让它随系统启动而自动运行呢？答案是肯定的，而且操作起来还很简单。 在桌面上单击右键，选择“打开终端”，在打开的“终端”窗口输入“ntsysv”就打开了Red Hat

19、Enterprise Linux 6下的“服务”配置小程序，找到“pptpd”服务，并在它前面按空格键加个“*”号。这样，VPN服务就会随系统启动而自动运行了。14.4 配置VPN服务器8设置VPN服务可以穿透Linux防火墙 VPN服务使用TCP的1723端口和编号为47的IP（GRE常规路由封装）。如果Linux服务器开启了防火墙功能，就需关闭防火墙功能或设置允许TCP的1723端口和编号为47的IP通过。可以使用下面的命令开放TCP的1723端口和编号为47的IP。rootRHEL6 # iptables -A INPUT -p tcp -dport 1723 -j ACCEPTroot

20、RHEL6 # iptables -A INPUT -p gre -j ACCEPT14.5 配置VPN客户端1建立VPN连接 保证client的IP地址设置为了，并且与VPN服务器的通信是畅通的。如图11-3所示。14.5 配置VPN客户端1建立VPN连接 右键单击桌面上的“网络”“属性”，或者单击右下角网络图标，选中“打开网络和共享”，打开“网络和共享中心”对话框。如图11-4所示。14.5 配置VPN客户端 .单击“设置新的连接或网络”，出现如图11-5所示的“设置连接和网络”对话框。 选择“连接到工作区”，单击“下一步”按钮，出现如图11-5所示的对话框。14.5 配置VPN客户端 单

21、击“使用我的Internet连接（VPN）”，出现如图11-6所示的输入连接的Internet地址的对话框。 在“Internet 地址（I）”填上VPN提供的IP地址，本例：，在目标名称处起个名称，如VPN连接。单击“下一步”按钮，出现如图11-7所示的键入用户名和密码的对话框。在这里填入VPN的用户名和密码，本例用户名填入smile，密码填入123456。然后单击“连接”按钮，最后单击“关闭”按钮，完成VPN客户端的设置。 14.5 配置VPN客户端 回到图桌面右键再次单击“网络”“属性”，如图11-8所示。单击左边的“更改适配器设置”，出现“网络连接”对话框。如图11-9所示。找到我们刚

22、才建好的“VPN 连接”双击打开。 14.5 配置VPN客户端 出现11-10所示的对话框，填上VPN服务器提供的VPN用户名和密码，“域”可以不用填写。 14.5 配置VPN客户端 出现11-10所示的对话框，填上VPN服务器提供的VPN用户名和密码，“域”可以不用填写。 14.5 配置VPN客户端 2连接VPN服务器并测试 接着上面客户端的设置，继续连接VPN服务器，步骤如下。 在图11-10中，输入正确的VPN服务账号和密码，然后单击“连接”按钮，此时客户端便开始与VPN服务器进行连接，并核对账号和密码。如果连接成功，就会在任务栏的右下角增加一个网络连接图标，双击该网络连接图标，然后在打

23、开的对话框中选择“详细信息”选项卡可以查看VPN边接的详细信息。 在客户端以smile用户登录，在连接成功之后在VPN客户端利用ipconfig命令可以看到多了一个ppp连接，如图11-11所示。在VPN服务器端利用ifconfig命令可以看到多了一个ppp0连接，且ppp0的地址就是前面我们设置的“localip”地址：。如图11-12所示。14.5 配置VPN客户端14.5 配置VPN客户端 访问内网的共享资源，以测试VPN服务器。在客户端使用UNC路径“192.168.0.100”访问共享资源。输入用户名和密码凭证后将获得相应访问权限，如图11-13所示。14.5 配置VPN客户端3不同

24、网段IP地址小结 在VPN服务器的配置过程中，我们用到了几个网段，下面逐一分析。（1）VPN服务器有两个网络接口：eth0、eth1。eth0接内部网络，IP是，eth1接入Internet，IP是。（2）内部局域网的网段为，其中内部网的一台用作测试的计算机的IP是。（3）VPN客户端是Internet上的一台主机，IP是。实际上客户端和VPN服务器通过Internet连接，为了实验方便省略了其间的路由，这一点请读者要注意。14.5 配置VPN客户端3不同网段IP地址小结 （4）主配置文件“/etc/pptpd.conf”的配置项“localip 192.168.1.100”定义了VPN服务器

25、连接后的ppp0连接的IP地址。读者可能已经注意，这个IP地址不在上面所述的几个网段中，是单独的一个。其实，这个地址与已有的网段没有关系，它仅是VPN服务器连接后，分配给ppp0的地址，为了安全考虑，建议不要配置成已有的局域网的网段中的IP地址。（5）主配置文件“/etc/pptpd.conf”的配置项“remoteip 192.168.0.11-20,192.168.0.101-180”是VPN客户端连接VPN服务器后获得IP地址的范围。14.7 项目实录 1录像位置 随书光盘中随书项目实录VPN服务器配置与管理.exe.2项目背景 某企业需要搭建一台VPN服务器。使公司的分支机构以及SOH

26、O员工可以从Internet访问内部网络资源（访问时间：09:00-17:00）。 3深度思考 在观看录像时思考以下几个问题。 （1）VPN服务器、内部局域的主机、远程VPN客户端的IP地址情况是怎样的？ （2）本次录像中主配置文件的配置与我们课上讲得有区别吗？（从网段上分析） （3）如课客户端能访问，但却不能访问，可能的原因是什么？ （4）为何需要启用路由转发功能？如何设置？ （5）如何设置VPN服务穿透Linux防火墙器？ （6）eth0、eth1、ppp0都是VPN服务器的网络连接，在本次实验中，他们的IP地址分别是多少？客户端获取的IP地址是多少？ （7）在配置账号文件时，如果需要客户端在地址池中随机取得IP地址，该如何操作？项目实录：项目实录：配置与管理配置与管理VPNVPN服务器服务器其他需要说明的信息其他需要说明的信息本项目后的实训视频、其他文件请详见随书光盘。习题答案、PPT等见教材地址：本教材电子教案、试卷等全套资源提供群： 414901724作者QQ：68433059教材教材ISBN：9787113218362