前言
为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至CSDN中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正!
一、实验目的
1.掌握 Virtual Private Network 的概念与工作原理;
2.掌握在 Windows 环境下配置 PPTP Virtual Private Network 的方法;
3.掌握在 Windows 环境下配置 IPSec Virtual Private Network 的方法。
二、实验原理
1.Virtual Private Network 的概念
虚拟专用网,是指将物理上分布在不同地点的专用网络,通过不可信任的公共网络构造成逻辑上信任的虚拟子网,进行安全通信。之所以被冠以“虚拟”,是因为它使用的是建立在物理连接基础上的逻辑连接,客户端应用程序并不会意识到实际的物理连接,而且在穿越 Internet 进行路由时,与在专用网络中进行路由的安全性相同。
Virtual Private Network 是从专用网发展而来,是用以替代专用网的一种广域网技术。在共享使用网络资源的同时,可保证用户网络的安全性、可靠性和可管理性。Virtual Private Network 业务并不限制网络的使用,它既可构建于 Internet 或 ISP 的 IP 网络之上,也可构建于帧中继或异步传输模式等网络之上。
Virtual Private Network 系统的构成包括 Virtual Private Network 服务器,Virtual Private Network 客户机和隧道。由于使用 Internet 进行传输相对于租用专线来说,费用极为低廉,所以 Virtual Private Network 的出现使企业通过 Internet 既安全又经济的传输私有的机密信息成为可能。
2.Virtual Private Network 的分类及特点
从应用的角度看,Virtual Private Network 有以下三种类型:
(1)远程访问 Virtual Private Network(Access Virtual Private Network)。这种方式下远端用户不再像传统的远程网络访问那样,通过长途电话拨号到公司远程接入端口,而是拨号接入到用户本地的 ISP,利用 Virtual Private Network 系统在公用网上建立一个客户端到 Virtual Private Network 网关的安全传输隧道。如图 3.52 所示。
图 3.52 远程访问 Virtual Private Network
远程访问 Virtual Private Network 适合于在外地需要流动办公的情况。它不仅保证连接的安全,通信费用也大大降低。
(2)内联Virtual Private Network(Intranet Virtual Private Network)。利用Virtual Private Network特性可以在Internet上组建世界范围内的Intranet Virtual Private Network。利用 Internet 的线路保证网络的互联性,而利用隧道、加密等 Virtual Private Network 特性,可以保证信息在整个 Intranet Virtual Private Network 上安全传输。Intranet Virtual Private Network 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处或分支机构。如图 3.53 所示。
图 3.53 Intranet Virtual Private Network
内联 Virtual Private Network 适合在外地有固定分支机构的情形。这时,驻外分支机构通过 ISP 与本部进行Virtual Private Network 安全连接。
(3)外联 Virtual Private Network(Extranet Virtual Private Network)。Extranet Virtual Private Network 主要是将 Intranet Virtual Private Network 在范围上向外扩展。这种类型与上一种类型没有本质的区别。但不同公司的网络相互通信,要更多地考虑设备的互联、地址的协调、隧道起止、安全策略的协商等问题。利用 Virtual Private Network 技术组建安全的外联网,既可向客户、合作伙伴提供有效的信息服务,又可保证自身内部网络的安全。如图 3.54 所示。
图 3.54 Extranet Virtual Private Network
外联 Virtual Private Network 适合于与业务伙伴之间通信的连接。这时,往往需要通过专线连接公共基础设施,并借助电子商务软件等与本部进行 Virtual Private Network 连接。
3.隧道技术
简单地说,隧道是利用一种协议来传输另外一种协议的技术。其传输过程可以分为以下3 步:
①将要传输的数据包(帧)按照隧道协议进行封装,被封装的数据(或负载)可以是不同协议的数据帧或包。
②新的包头提供了路由信息,从而使封装的负载数据能够通过 Internet 来传递。所谓“隧道”就是指被封装的数据包在公共网络上传递时所经过的逻辑路径。
③被封装的数据包一旦到达网络终点,数据将被解包并送达主机。
所以,隧道技术是指包括数据封装、传输和解包在内的全过程。
隧道可以分为以下两种类型。
自愿隧道。客户端计算机通过发送 Virtual Private Network 请求配置并创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。这时最普遍使用的隧道类型。
强制隧道。由支持 Virtual Private Network 的网络接入服务器(NAS)配置和创建一条强制隧道。用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的 NAS 作为隧道客户端,成为隧道的一个端点。
4.隧道协议
下面简单介绍几种典型的隧道协议。
(1)点对点隧道协议(PPTP)。PPTP(point to point tunneling protocol)是由微软、Ascend、3Com 等公司支持的一种封装协议,用于在 PPTP 客户端和 PPTP 服务器之间安全通信。由于微软的服务器操作系统占有很大的市场份额,且它将PPTP作为一项Virtual Private Network基本技术,所以PPTP就成为隧道技术中最常用的协议。
PPTP 工作在数据链路层,允许对 IP,IPX 或 NetBEUI 数据流进行加密,然后封装在 IP包头中通过企业 IP 网络或公共互联网络发送。它先对数据链路层帧进行 PPP 封装,形成 PPP帧。然后,进一步添加 GRE 包头,形成 GRE 报文,使任何链路层数据都可以在 IP 网络中传输。之后,加上有源和目的 IP 地址的 IP 头。PPTP 封装后的数据包格式如图 3.55 所示。
图 3.55
(2)安全 IP 协议(IPSec)。为了在 IP 网上获得安全通信保证,IETF IPSec 组织制定了一套保护 IP 通信安全的协议族。它工作在 IP 层,为 IP 层及以上层的协议提供保护。IPSec 提供访问控制、无连接数据的完整性、数据来源认证、保密性等安全服务。
IPSec 包括网络安全协议和密钥协商协议两部分。网络安全协议包括:AH(认证协议头)协议和 ESP(安全负荷封装)协议。密钥协商协议包括 IKE(Internet 密钥交换)协议。
ESP 和 AH 协议在进行 IPSec 数据封装的过程中,用到了加密算法、密钥等多种安全参数。采用 IPsec 连接的两台计算机或网关必须使用相同的参数,才能在一端进行封装,另一端进行解封。为此两端必须进行协商。在 IPSec 中,安全参数用 SA(安全联盟)加以描述。
(3)通用路由封装协议(GRE)。GRE 是一种将任意类型的网络层数据封装进另一种网络层数据包的封装协议。原始数据包首先被封装进 GRE 数据包,然后被封装为一个新的协议,从而实现了对任意类型网络层数据的封装。如图 3.56 所示。
图 3.56 GRE 处理示意
(4)第二层隧道协议(L2TP)。L2TP 定义了利用包交换方式的公用网络基础设施(如IP 网络、ATM 和帧中继网络)封装链路层 PPP 帧的方法。L2TP 结合了 PPTP 与 L2F(二层转发协议)的优点,允许对 IP,IPX 或 NetBEUI 数据流进行加密,然后通过支持点对点数据传递的任意网络发送。L2TP 最适合用于远程访问 Virtual Private Network。
三、实验环境
(1)安装有 Windows Server 2003 操作系统的 PC 一台,安装有 Windows 2000/XP/2003Server 操作系统的 PC 2 台。
(2)将安装有 Windows 2003 Server 操作系统的 PC(PC1)用做 Virtual Private Network 服务器,这台 PC应安装有两块以太网卡,一块与互联网相连,另一块与局域网相连;PC4 通过互联网访问Virtual Private Network 服务器。PC1 和 PC4 可以直接与互联网相连,可以用局域网代替互联网进行实验(实验环境参见图 3.57)。
图 3.57 实验环境
四、实验内容
1.在 Windows 中配置 PPTP Virtual Private Network
(1)Virtual Private Network 服务器的配置
要想让 Windows 2003 Server 计算机能够接受客户机的 Virtual Private Network 接入,必须首先配置 Virtual Private Network 服务器。
①在 Windows 2003 Server 中,打开管理工具中的“路由和远程访问”,在弹出的界面中选中左边窗口中的 SERVER(服务器名),在其上右击,选择“配置并启用路由和远程访问”。如图 3.58 所示。
图 3.58 路由和远程访问界面
②进行上述操作后,即弹出“路由和远程访问服务器安装向导”,如图 3.59 所示。选择“远程访问(拨号或 Virtual Private Network)”,单击“下一步”按钮,在如图 3.60 的页面上选择“Virtual Private Network”,以便让用户能够通过公共网络来访问此服务器。
图 3.59 路由和远程访问服务安装向导
图 3.60 选择远程访问类型
③单击“下一步”按钮,进入如图 3.61 的页面,按照系统提示选择一个该服务器所使用的 Internet 连接。
图 3.61 选择 Internet 连接
④单击“下一步”按钮,进入如图 3.62 的页面,按照系统提示为Virtual Private Network客户端指定想要使用的网络。
图 3.62 为 Virtual Private Network 客户端指定想要使用的网络
⑤单击“下一步”按钮,在为远程客户端指定 IP 地址的界面中,进行选择。如果已在服务器端安装好了 DHCP 服务器,可以选“自动”;否则选择“来自一个指定的地址范围”。如图 3.63 所示。
图 3. 63 选定 IP 地址指定方法
⑥单击“下一步”按钮,进入如图 3.64 所示的页面,选择是否使用 RADIUS 服务器管理所有远程访问服务器,选择默认的“否,使用路由和远程访问来对连接请求进行身份认证”,即可完成最后的设置。
图 3.64 是否使用 RADIUS 服务器管理多个远程访问服务器
打开“管理工具”中的“服务”,即可看到“Routing and Remote Access”项自动处于“已启动”状态了。
⑦下面对Virtual Private Network服务器端的Virtual Private Network端口进行配置。打开“管理工具”中的“路由和远程访问”,选择左侧窗口中的“端口”,会显示出配置过的端口,如图 3.65 所示,此时由于未建立 PPTP 的Virtual Private Network连接,所以端口状态都是“不活动”。
图 3.65 路由和远程访问界面
右击“端口”,选择“属性”,可以配置端口使用的Virtual Private Network协议,如图 3.66 所示。
图 3.66Virtual Private Network端口属性
⑧选择“WAN 微型接口(PPTP)”,单击“配置”按钮。在弹出的窗口中选中“远程访问连接”和“请求拨号路由选择连接”,在“最多端口数”中可以写入Virtual Private Network连接同时打开的连接数,如图 3.67 所示。单击“确定”按钮,就完成了Virtual Private Network端口配置。
图 3.67Virtual Private Network端口属性
⑨由于默认代表任何用户均被拒绝接入到服务器上,所以要给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器。打开““管理工具|计算机管理”,在“本地用户和组”中选中所需要的用户,在其上右击,选择“属性”,这里我们选择用户 Administrator,如图 3.68 所示。然后在该用户属性窗口中选择“拨入”选项卡,选中“允许访问”,以允许客户端以 Administrator 的身份拨入Virtual Private Network服务器,如图 3.69 所示。单击“确定”按钮,即可完成赋予该用户拨入权限的工作。
图 3.68 打开用户的属性
图 3.69 设置允许拨入的权限
(2)配置Virtual Private Network客户端
①打开客户端的“控制面板”中的“网络连接”,进入“新建连接向导”界面。在创建的“网络连接类型”界面中,选择“连接到我的工作场所的网络”,如图 3.70 所示。单击“下一步”按钮。
图 3.70 选择网络连接类型
②在创建的网络连接界面中,选择“虚拟专用网络连接”,如图 3.71 所示。单击“下一步”按钮。
图 3.71 网络连接界面
③在弹出的连接名界面中,输入为此连接起的名字,如图 3.72 所示。单击“下一步”按钮。
图 3.72 连接名界面
④在接下来弹出的界面中,要设置是否预拨初始连接,以确认公用网络是否连接好,我们选择“不拨初始连接”,单击“下一步”按钮。在新的界面中要求输入Virtual Private Network服务器端的IP 地址或主机名,如图 3.73 所示。
图 3.73Virtual Private Network服务器端的设置
按照后面的提示即可完成连接的创建。
⑤打开上面创建好的新连接 client,在弹出的窗口中输入用户名和密码即可发起Virtual Private Network连接,如图 3.74 所示。
图 3.74 连接界面
在连接界面中单击“属性”按钮,在弹出的属性配置窗口中,选中“安全”页面,如图 3.75 所示。
图 3.75 属性配置窗口
可选中“高级”,单击“设置”按钮,进一步配置Virtual Private Network采用的加密方式和身份认证协议,如图 3.76 所示。
图 3.76 高级安全属性的设置
2.在 Windows 中配置 IPSec Virtual Private Network
(1)配置 Windows 内置的 IPSec 安全策略
这里我们以 Windows 2003 为例进行介绍。
①打开“管理工具”中的“本地安全策略”,如图 3.77 所示。在右侧窗口中,可以看到默认情况下 Windows 内置的“安全服务器”、“服务器”、“客户端”3 个安全选项。
图 3.77 Windows 的内置安全策略
②右击“安全服务器”项,选择“指派”,则图 3.77 中右侧“策略已指派”中的选项将由“否”变为“是”,这样将此计算机设置为“安全服务器”。双击“安全服务器”,在弹出的窗口中显示了 3 条 IP 安全规则,分别是“所有 IP 通讯”、“所有 ICMP 通讯”和“动态”,如图 3.78 所示。
图 3.78 安全服务器属性窗口
每一条 IP 安全规则中由“IP 筛选器列表”、“筛选器操作”、“身份验证方法”、“隧道设置”和“连接类型”5 项构成。
③选中“所有 ICMP 通讯”,单击“编辑”按钮,就弹出如图 3.79 所示的窗口,就可以对该安全规则进行编辑。
图 3.79 编辑规则窗口
选中“筛选器操作”页面,选择“需要安全”,如图 3.80 所示。就将“所有 ICMP通讯”这个安全规则设置为必须建立安全的连接。
图 3.80 编辑筛选器操作
选中“身份认证方法”页面,单击“添加”按钮,则弹出一个窗口。在这个窗口中指定了 3 种身份认证方法,这里选择“预共享密钥”的方法,设置共享密钥“123”,如图 3.81所示。单击“确定”按钮。
图 3.81 确定身份验证方法
对图 3.78 中的“所有 IP 通讯”做同样的配置。
④同时,在另外一台 Windows 2003 Server 计算机中也做上面同样的配置,然后从一台计算机 ping 命令测试两者之间的连接,记录结果并做分析。
(2)配置专用的 IPSec 安全策略
①除了利用 Windows 内置的 IPSec 安全策略外,我们还可以自己订制专用的 IPSec 安全策略。右击图 3.78 中“IP 安全策略,在本地计算机”,选择“创建 IP 安全策略”,在弹出的IP 安全策略向导界面中,单击“下一步”按钮。再接着出现的界面中输入新 IP 安全策略的名称和描述,如图 3.82 所示。
图 3.82 为新 IPSec 策略命名
单击“下一步”按钮,弹出安全通讯请求界面,选择“激活默认响应规则”,如图 3.83所示。
图 3.83 安全通讯请求
单击“下一步”按钮,弹出选择默认安全规则身份验证方法界面,选择“此字符串用来保护密钥交换”,并设置共享密钥为“123”,如图 3.84 所示。
图 3.84 确定默认身份验证方法
单击“下一步”按钮,在弹出的界面中选择“编辑属性”后单击“完成”按钮,即可完成新 IP 规则的创建。
②在出现的属性编辑窗口中,单击“添加”按钮,如图 3.85 所示。
图 3.85 新 IP 安全策略的属性窗口
③在出现的创建 IP 安全规则向导窗口中,单击“下一步”,会依次设置:隧道方式,如图 3.85 所示;网络类型,如图 3.86 所示。
图 3.86 隧道方式
图 3.87 网络类型
④在紧接着进入的 IP 筛选器列表的界面中,将设置哪些地址和网络协议的数据包使用IPSec 安全连接,如图 3.88 所示。
图 3.88 IP 筛选器列表设置
单击“添加”按钮,以设置一个新的 IP 筛选器列表。在弹出的 IP 筛选器列表窗口中,单击“添加”按钮,以设置一个新的 IP 筛选器,如图 3.89 所示。
图 3.89 IP 筛选器列表窗口
在紧接着出现的界面中单击“下一步”,直到出现如图 3.90 所示的设置 IP 通信源的界面。选择“我的 IP 地址”作为源地址。
图 3.90 源地址设置
单击“下一步”按钮,出现设置 IP 通信目标的界面,如图 3.91 所示。选择“任何 IP 地址”。
图 3.91 目标地址设置
单击“下一步”按钮,进入定义 IP 筛选器所过滤的协议的界面,如图 3.92 所示。选择“任意”,表示不针对专有协议。
图 3.92 筛选协议的设置
单击“下一步”按钮,在出现的界面中选中“编辑属性”,单击“完成”按钮,则完成IP 筛选器编辑。
⑤在如图 3.93 所示的界面中,选中“新 IP 筛选器列表”项,单击“下一步”按钮,编辑这个筛选器列表的操作,“筛选器列表的操作”是指当有 IP 数据包符合筛选器中定义的条件时,IPSec 对符合条件的数据包如何处理,如何操作。
图 3.93 选择 IP 筛选器列表
在弹出的窗口中单击“添加”按钮,添加一条筛选器操作,如图 3.94 所示。
图 3.94 添加一条筛选器操作
在出现的筛选器操作向导中,单击“下一步”按钮,直到出现筛选器操作常规选项界面,如图 3.95 所示。选中“协商安全”,让其进行 IPSec 安全协商,单击“下一步”。
图 3.95 筛选器操作常规选项
在紧接着弹出的界面中选中“不与不支持 IPSec 的计算机通讯”,如图 3.96 所示。以要求必须在 IPSec 基础上进行连接,单击“下一步”按钮。
图 3.96 与不支持 IPSec 的计算机通讯
如图 3.97 所示,决定进行通信过程中是否加密和完整性检验,为了更加清楚这其中采用的协议,选择“自定义”然后单击“设置”按钮。
图 3.97 IP 通信安全措施
在弹出的自定义安全措施设置对话框中,我们可以看到 AH 和 ESP 协议的不同功能,相关算法也都可以选择,如图 3.98 所示。单击“确定”按钮,即完成了 IP 筛选器操作向导。
图 3.98 自定义安全措施设置
⑥在如图 3.99 所示的窗口中,我们可以看到上面新建立的筛选器操作名称,选中它,单击“下一步”按钮。
图 3.99 新建立的筛选器操作
在弹出的身份验证界面中,选择“此字符串用来保护密钥交换”,并设置共享密钥为“123”,如图 3.100 所示。
图 3.100 身份验证方法
单击“下一步”按钮,即完成了新增 IP 安全规则向导的设置,我们会看到新增加的安全规则,如图 3.101 所示。
图 3.101 完成新增 IP 安全规则
⑦单击“确定”按钮,即可看到图 3.102 中新增加的一条 IP 安全策略。在 IPSec 通信的两端进行相关设置,增加自定义的 IP 安全策略,即可实现 IPSec 安全加密通信。
图 3.102 新增加的一条 IP 安全策略
五、思考题
1.用协议分析软件分析 PPTP,IPSec 隧道的建立、数据传输及隧道释放过程。了解协议的封装格式。
答:
PPP:
GRE:
2.试比较 SSL Virtual Private Network、IPSec Virtual Private Network 和 MPLS Virtual Private Network 各自的特点与用途。
答:SSL Virtual Private Network产品所能提供的终端网络功能已经与传统的IPSec Virtual Private Network产品几乎一样强大,SSL Virtual Private Network接入方式是点对网Virtual Private Network接入的最佳选择,IPSec Virtual Private Network技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。许多世界500强的企业已经把Virtual Private Network作为远端分支和移动用户连接的主要手段,构建企业虚拟业务网,而国内大量企业也已开始考虑现在这种方式,并逐渐开始实施。跨省可以考虑MPLS Virtual Private Network;如果是跨国,一般建议考虑MPLS Virtual Private Network,在多点组网方面,优先考虑MPLS Virtual Private Network,FULL mesh的网络架构,安全性也更强,另外有COS保证,也可提供QOS服务,扩容资源灵活方便,是企业的首选。