第17章 配置与管理VPN服务器课件.ppt

《第17章 配置与管理VPN服务器课件.ppt》由会员分享，可在线阅读，更多相关《第17章 配置与管理VPN服务器课件.ppt（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、LinuxLinux操作系统与实训操作系统与实训( (第四版第四版）杨云杨云 编著编著中国铁道出版社中国铁道出版社国家精品课程国家精品课程/国家精品资源共享课程国家精品资源共享课程配套教材配套教材第17章 配置与管理VPN服务器第17章 配置与管理VPN服务器本章重点介绍VPN工作原理、Linux下VPN服务器的配置与使用方法、VPN客户端的配置。学习要点：VPN工作原理。Linux下VPN服务器的配置。17.1 VPN概述概述 17.3 安装安装VPN服务器服务器17.5 配置VPN客户端17.6 项目实录第17章 配置与管理 VPN服务器17.2 项目设计与准备 17.4 配置配置VPN服

2、务器服务器17.1 相关知识17.1.1 VPN工作原理 VPN（Virtual Private Network，虚拟专用网络）是专用网络的延伸，它模拟点对点专用连接的方式通过Internet或Intranet在两台计算机之间传送数据，是“线路中的线路”，具有良好的保密性和抗干扰能力。虚拟专用网提供了通过公用网络安全地对企业内部专用网络远程访问的连接方式。虚拟专用网是对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可靠的安全连接，并保证数据安全传输。 虚拟专用网是使用Internet或其他公共网络来连接分散在各个不同地理位置的本地网络，在效果上和

3、真正的专用网一样。如图所示，说明了如何通过隧道技术实现VPN。 17.1.2 VPN的特点和应用 1VPN的特点VPN具有以下特点。 （1）费用低廉。 （2）安全性高。 （3）支持最常用的网络协议。 （4）有利于IP地址安全。 （5）管理方便灵活。 （6）完全控制主动权。17.1.2 VPN的特点和应用 2VPN的应用场合 一般来说，VPN使用在以下两种场合。 （1）远程客户端通过VPN连接到局域网。 （2）两个局域网通过VPN互连。 除了使用软件方式实现外，VPN的实现需要建立在交换机、路由器等硬件设备上。目前，在VPN技术和产品方面，最具有代表性的当数Cisco和华为3Com。17.1.3

4、 VPN协议 17.1.3 VPN协议 17.1.3 VPN协议 17.2 项目设计及准备 17.2.1 项目设计 在进行VPN网络构建之前，我们有必要进行VPN网络拓扑规划。图所示是一个小型的VPN实验网络环境（可以通过VMWare虚拟机实现该网络环境）。17.2.2 项目准备部署远程访问VPN服务之前，应做如下准备。（1）PPTP服务、Mail服务、Web服务和iptables防火墙服务均部署在一台安装有Red Hat Enterprise Linux 6操作系统的服务器上，服务器名为vpn，该服务器通过路由器接入Internet。（2）VPN服务器至少要有两个网络连接。分别为eth0和e

5、thl，其中eth0连接到内部局域网网段，IP地址为；ethl连接到公用网络网段，IP地址为。在虚拟机设置中eth0使用VMnet0，eth1使用VMnet1。（3）内部网客户主机Web中，为了实验方便，设置一个共享目录share，在其下随便建立几个文件，供测试用。其网卡使用VMnet0。（4）VPN客户端client的配置信息如图11-2所示。其网卡使用VMnet1。（5）合理规划分配给VPN客户端的IP地址。VPN客户端在请求建立VPN连接时，VPN服务器需要为其分配内部网络的IP地址。配置的IP地址也必须是内部网络中不使用的IP地址，地址的数量根据同时建立VPN连接的客户端数量来确定。在

6、本任务中部署远程访问VPN时，使用静态IP地址池为远程访问客户端分配IP地址，地址范围采用，。（6）客户端在请求VPN连接时，服务器要对其进行身份验证，因此应合理规划需要建立VPN连接的用户账户。17.3 安装VPN服务器Linux环境下的VPN由VPN服务器模块（Point-to-Point Tunneling Protocol Daemon，PPTPD）和VPN客户端模块（Point-to-Point Tunneling Protocol，PPTP）共同构成。PPTPD和PPTP都是通过PPP（Point to Point Protoco1）来实现VPN功能的。而MPPE（Microsof

7、t点对点加密）模块是用来支持Linux与Windows之间连接的。如果不需要Windows计算机参与连接，则不需要安装MPPE模块。PPTPD、PPTP和MPPE Module一起统称Poptop，即PPTP服务器。安装PPTP服务器需要内核支持MPPE（Microsoft点对点加密）（在需要与Windows客户端连接的情况下需要）和及以上版本模块。而Red Hat Enterprise Linux 6默认已安装了版本的PPP，而内核也已经集成了MPPE，因此只需再安装PPTP软件包即可。1下载所需要的安装包文件 读者可直接从出版社资源网站下载pptpd软件包，或者向作者索要。并将该文件复制到

8、/vpn-rpm下。17.3 安装VPN服务器2在VPN服务器RHEL7-1上安装已下载的安装包文件，执行如下命令。rootRHEL7-1 # cd /vpn-rpmrootRHEL7-1 vpn-rpm# rpm -ivh pptpd-1.4.0-2.el7.x86_64.rpm warning: pptpd-1.4.0-2.el7.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 352c64e5: NOKEYPreparing. # 100%Updating / installing. 1:pptpd-1.4.0-2.el7 # 100

9、%rootRHEL7-1 vpn-rpm# rpm -qa |grep pptppptpd-1.4.0-2.el7.x86_64 3安装完成之后可以使用下面的命令查看系统的ppp是否支持MPPE加密rootRHEL7-1 # strings /usr/sbin/pppd|grep -i mppe|wc -lines43如果以上命令输出为“0”则表示不支持；输出为“30”或更大的数字就表示支持。17.4 配置VPN服务器1网络环境配置 为了能够正常监听VPN客户端的连接请求，VPN服务器需要配置两个网络接口。一个和内网连接，另外一个和外网连接。在此我们为VPN服务器配置了eth0和eth1两个网

10、络接口。其中eth0接口用于连接内网，IP地址为；eth1接口用于连接外网，IP地址为。17.4 配置VPN服务器rootRHEL7-1 vpn-rpm# rootRHEL7-1 vpn-rpm# rootRHEL7-1 vpn-rpm# ifconfig17.4 配置VPN服务器 同理在web上配置IP地址为，在client上配置IP地址为。 特别提示：如果希望IP地址重启后仍生效，请使用配置文件修改IP地址。在RHEL7-1上测试这3台计算机的连通性。rootRHEL7-1 vpn-rpm# ping 192.168.10.20 -c 2PING 192.168.10.20 (192.16

11、8.10.20) 56(84) bytes of data.64 bytes from 192.168.10.20: icmp_seq=1 ttl=64 time=0.335 ms64 bytes from 192.168.10.20: icmp_seq=2 ttl=64 time=0.364 ms - 192.168.10.20 ping statistics -2 packets transmitted, 2 received, 0% packet loss, time 1000msrtt min/avg/max/mdev = 0.335/0.349/0.364/0.023 msrootR

12、HEL7-1 vpn-rpm# ping 200.200.200.2 -c 2PING 200.200.200.2 (200.200.200.2) 56(84) bytes of data.64 bytes from 200.200.200.2: icmp_seq=1 ttl=128 time=1.20 ms64 bytes from 200.200.200.2: icmp_seq=2 ttl=128 time=0.262 ms - 200.200.200.2 ping statistics -2 packets transmitted, 2 received, 0% packet loss,

13、 time 1000msrtt min/avg/max/mdev = 0.262/0.731/1.201/0.470 ms 17.4 配置VPN服务器 2修改主配置文件 PPTP服务的主配置文件“/etc/pptpd.conf”有如下两项参数的设置工作非常重要，只有在正确合理地设置这两项参数的前提下，VPN服务器才能够正常启动。17.4 配置VPN服务器17.4 配置VPN服务器3配置账号文件 账户文件“/etc/ppp/chap-secrets”保存了VPN客户机拨入时所使用的账户名、口令和分配的lP地址，该文件中每个账户的信息为独立的一行，格式如下。账户名服务口令分配给该账户的IP地址本例

14、中文件内容如下所示。 本例中分配给long账户的IP地址参数值为“*”，表示VPN客户机的IP地址由PPTP服务随机在地址段中选择，这种配置适合多人共同使用的公共账户。17.4 配置VPN服务器4/etc/ppp/options-pptpd该文件各项参数及具体含义如下所示。17.4 配置VPN服务器5打开Linux内核路由功能 为了能让VPN客户端与内网互连，还应打开Linux系统的路由转发功能，否则VPN客户端只能访问VPN服务器的内部网卡eth0。执行下面的命令可以打开Linux路由转发功能。rootRHEL7-1 # vim /etc/sysctl.conf net.ipv4.ip_fo

15、rward = 1 /数值改为数值改为“1”rootRHEL7-1 # sysctl -p/启用转发功能启用转发功能net.ipv4.ip_forward = 1 17.4 配置VPN服务器6让SELinux放行rootRHEL7-1 vpn-rpm# setenforce 07启动VPN服务（1）可以使用下面的命令启动VPN服务，并加入开机自动启动。rootRHEL7-1 vpn-rpm# systemctl start pptpdrootRHEL7-1 vpn-rpm# systemctl enable pptpd（2）可以使用下面的命令停止VPN服务。rootRHEL7-1 # syst

16、emctl stop pptpd（3）可以使用下面的命令重新启动VPN服务。rootRHEL7-1 # systemctl restart pptpd 17.4 配置VPN服务器8设置VPN服务可以穿透Linux防火墙 VPN服务使用TCP的1723端口和编号为47的IP（GRE常规路由封装）。如果Linux服务器开启了防火墙功能，就需关闭防火墙功能或设置允许TCP的1723端口和编号为47的IP通过。可以使用下面的命令开放TCP的1723端口和编号为47的IP。rootRHEL7-1 # systemctl stop firewalldrootRHEL7-1 # iptables -A IN

17、PUT -p tcp -dport 1723 -j ACCEPTrootRHEL7-1 # iptables -A INPUT -p gre -j ACCEPT17.5 配置VPN客户端1建立VPN连接 保证client的IP地址设置为了，并且与VPN服务器的通信是畅通的。如图17-3所示。17.5 配置VPN客户端1建立VPN连接 右键单击桌面上的“网络”“属性”，或者单击右下角网络图标，选中“打开网络和共享”，打开“网络和共享中心”对话框。如图17-4所示。17.5 配置VPN客户端 .单击“设置新的连接或网络”，出现如图17-5所示的“设置连接和网络”对话框。 选择“连接到工作区”，单击

18、“下一步”按钮，出现如图17-5所示的对话框。17.5 配置VPN客户端 单击“使用我的Internet连接（VPN）”，出现如图11-6所示的输入连接的Internet地址的对话框。 在“Internet 地址（I）”填上VPN提供的IP地址，本例：，在目标名称处起个名称，如VPN连接。单击“下一步”按钮，出现如图11-7所示的键入用户名和密码的对话框。在这里填入VPN的用户名和密码，本例用户名填入smile，密码填入123456。然后单击“连接”按钮，最后单击“关闭”按钮，完成VPN客户端的设置。 17.5 配置VPN客户端 回到图桌面右键再次单击“网络”“属性”，如图11-8所示。单击左

19、边的“更改适配器设置”，出现“网络连接”对话框。如图17-9所示。找到我们刚才建好的“VPN 连接”双击打开。 17.5 配置VPN客户端 出现17-10所示的对话框，填上VPN服务器提供的VPN用户名和密码，“域”可以不用填写。 17.5 配置VPN客户端 出现17-10所示的对话框，填上VPN服务器提供的VPN用户名和密码，“域”可以不用填写。 17.5 配置VPN客户端 2连接VPN服务器并测试 接着上面客户端的设置，继续连接VPN服务器，步骤如下。 在图17-10中，输入正确的VPN服务账号和密码，然后单击“连接”按钮，此时客户端便开始与VPN服务器进行连接，并核对账号和密码。如果连接

20、成功，就会在任务栏的右下角增加一个网络连接图标，双击该网络连接图标，然后在打开的对话框中选择“详细信息”选项卡可以查看VPN边接的详细信息。 在客户端以smile用户登录，在连接成功之后在VPN客户端利用ipconfig命令可以看到多了一个ppp连接，如图17-11所示。在VPN服务器端利用ifconfig命令可以看到多了一个ppp0连接，且ppp0的地址就是前面我们设置的“localip”地址：。如图17-12所示。17.5 配置VPN客户端17.5 配置VPN客户端 访问内网的共享资源，以测试VPN服务器。在客户端使用UNC路径“192.168.0.100”访问共享资源。输入用户名和密码凭

21、证后将获得相应访问权限，如图11-13所示。17.5 配置VPN客户端3不同网段IP地址小结 在VPN服务器的配置过程中，我们用到了几个网段，下面逐一分析。（1）VPN服务器有两个网络接口：eth0、eth1。eth0接内部网络，IP是，eth1接入Internet，IP是。（2）内部局域网的网段为，其中内部网的一台用作测试的计算机的IP是。（3）VPN客户端是Internet上的一台主机，IP是。实际上客户端和VPN服务器通过Internet连接，为了实验方便省略了其间的路由，这一点请读者要注意。14.5 配置VPN客户端3不同网段IP地址小结 （4）主配置文件“/etc/pptpd.con

22、f”的配置项“localip 192.168.1.100”定义了VPN服务器连接后的ppp0连接的IP地址。读者可能已经注意，这个IP地址不在上面所述的几个网段中，是单独的一个。其实，这个地址与已有的网段没有关系，它仅是VPN服务器连接后，分配给ppp0的地址，为了安全考虑，建议不要配置成已有的局域网的网段中的IP地址。（5）主配置文件“/etc/pptpd.conf”的配置项“remoteip 192.168.0.11-20,192.168.0.101-180”是VPN客户端连接VPN服务器后获得IP地址的范围。17.7 项目实录 1录像位置 随书光盘中随书项目实录VPN服务器配置与管理.e

23、xe.2项目背景 某企业需要搭建一台VPN服务器。使公司的分支机构以及SOHO员工可以从Internet访问内部网络资源（访问时间：09:00-17:00）。 3深度思考 在观看录像时思考以下几个问题。 （1）VPN服务器、内部局域的主机、远程VPN客户端的IP地址情况是怎样的？ （2）本次录像中主配置文件的配置与我们课上讲得有区别吗？（从网段上分析） （3）如课客户端能访问，但却不能访问，可能的原因是什么？ （4）为何需要启用路由转发功能？如何设置？ （5）如何设置VPN服务穿透Linux防火墙器？ （6）eth0、eth1、ppp0都是VPN服务器的网络连接，在本次实验中，他们的IP地址分别是多少？客户端获取的IP地址是多少？ （7）在配置账号文件时，如果需要客户端在地址池中随机取得IP地址，该如何操作？其他需要说明的信息其他需要说明的信息本项目后的实训视频、其他文件请详见随书光盘。本教材电子教案、试卷等全套资源提供群： 414901724作者QQ：68433059教材教材ISBN：9787113270643