Unit 10

Unit 10 虚拟私有专用网(VPN) • 实验目的 • 了解VPN的工作原理 • 实验内容 • 了解VPN的工作原理并在Win2003下实现上海师范大学数理信息学院

Internet 分支机构远程局域网络总部 VPN Gateway 总部网络 VPN Gateway ISP Modems 什么是 VPN? • VPN的定义：使用基于IP的网络基础设施(包括公共 Internet 专有的IP骨干网)来仿真专有的广域网 • VPN (Virtual Private Network) 是通过 internet 公共网络在局域网络之间或单点之间安全地传递数据的技术单个用户上海师范大学数理信息学院

VPN结构图 上海师范大学数理信息学院

VPN(虚拟私有专用网) • 虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是通过技术手段模拟出来，它在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，用户数据在逻辑链路中传输 • 在隧道的发起端（即服务端），用户的私有数据通过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端 • 能在非安全的互联网上安全地传送私有数据来实现基于internet的联网操作，具有良好的保密和不受干扰性上海师范大学数理信息学院

Internet VPN的基本概念：隧道，加密以及认证 • 隧道 • 隧道是在公网上传递私有数据的一种方式 • Tunnels employ a technique called “encapsulation” • 安全隧道是指在公网上几方之间进行数据传输中，保证数据安全及完整的技术 • 加密 • 保证数据传输过程中的安全 • 认证 • 保证 VPN 通讯方的身份确认及合法上海师范大学数理信息学院

VPN 为用户带来的好处 • 节省资金 • 免去长途费用 • 降低建立私有专网的费用 • 提供安全性 • 强大的用户认证机制 • 数据的私有性以及完整性得以保障 • 不必改变现有的应用程序、网络架构以及用户计算环境 • 网络现有的 Routers 不用作任何修改 • 现有的网络应用完全可以正常运行 • 对于最终用户来说完全感觉不到任何变化上海师范大学数理信息学院

VPN的类型 • 远程访问（Access VPN） • 移动用户在任何地方、时间采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或秘密信道，实现访问连接 • 组建内联网（Intranet VPN） • 应用在政府、企事业单位与分支机构内部联网 • 组建外联网（Extranet VPN） • 商业合作伙伴之间的网络互联上海师范大学数理信息学院

实现VPN主要技术 • 在链路层 • L2TP、PPTP等 • 在网络层 • IPsec等 • 在传输层 • SSL、TLS、SOCKS等上海师范大学数理信息学院

思考 • VPN服务装在哪块网卡上？ • 如何实现让外部合法IP与内部保留IP互联？ • 对于拨入虚拟私有网的帐号要做如何设置？上海师范大学数理信息学院

思考答案 • VPN服务装在哪块网卡上？ VPN是对外部主机而言的。 • 如何实现让外部合法IP与内部保留IP互联？通过DHCP为每个外部IP分配一个内部IP • 对于拨入虚拟私有网的帐号要做如何设置？允许VPN拨入。上海师范大学数理信息学院

Windows VPN服务端安装配置 • 开始管理工具路由和远程访问上海师范大学数理信息学院

如果你服务器有两块网卡，则可有针对性的选择第一项或第三项如果你服务器有两块网卡，则可有针对性的选择第一项或第三项 Windows VPN服务端安装配置如果服务器只有一块网卡，那只能选择“自定义配置” 上海师范大学数理信息学院

Windows VPN服务端安装配置 上海师范大学数理信息学院

Windows VPN服务端安装配置 连接到Internet的网卡上海师范大学数理信息学院

如果你的internet为宽带路由接入即DHCP方式，采用DHCP动态IP的网络速度相对较慢如果你的internet为宽带路由接入即DHCP方式，采用DHCP动态IP的网络速度相对较慢 Windows VPN服务端安装配置使用静态IP可减少IP地址解析时间，提升网络速度，其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段，也可自行定义，比如常见的局域网段“192.168.0.X” 上海师范大学数理信息学院

Windows VPN服务端安装配置 一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问；而如果是家庭用户采用的 ADSL宽带接入的话，那一般是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。可用常用的动态域名解析软件为：花生壳，在www.oray.net可下载上海师范大学数理信息学院

Windows VPN客户端配置 • 只需建立一个到VPN服务端的专用连接 • 右击“网上邻居” 属性上海师范大学数理信息学院

Windows VPN客户端配置 上海师范大学数理信息学院

Windows VPN客户端配置 输入公司名,自己看的上海师范大学数理信息学院

Windows VPN客户端配置 输入的是VPN服务器的主机名或IP地址上海师范大学数理信息学院

Windows VPN客户端配置 上海师范大学数理信息学院

Windows VPN客户端配置 提示用户名、密码和证书 VPN服务器为域控制器或域成员服务器上海师范大学数理信息学院

Windows VPN客户端配置 "用户名+密码"的方式来验证用户端身份 VPN客户端使用智能卡证书上海师范大学数理信息学院

VPN服务端赋予用户拨入的权限 上海师范大学数理信息学院

Windows VPN客户端登录 上海师范大学数理信息学院

智能卡证书 • EPass身份认证锁不仅可以实现强双因子认证，以达到服务器认证用户端的单向身份认证，而且与基于数字证书采用公钥体制（PKI）体系的数字证书结合，可以完成服务器端与用户端之间的双向身份认证 • 信息除发送方和接收方外不被其它人窃取 • 信息在传输过程中不被篡改 • 发送方能够通过数字证书来确认接收方的身份 • 发送方对于自己的信息不能抵赖上海师范大学数理信息学院

VPN客户端使用智能卡证书 上海师范大学数理信息学院

VPN客户端使用智能卡证书 在服务器上可以看到登录上来的用户我们就可以象内部网一样访问远程计算机了，但所有的通讯都是基于加密的方式来进行的上海师范大学数理信息学院

练习一 私有网交叉线 202.121.1.9 VPN客户机此机共享一个文件夹 VPN服务器 202.121.1.7 192.168.1.1 此机能访问私有网内共享的文件夹 192.168.1.3 实践一下：安装VPN服务器前后，VPN客户机与VPN服务器能否Ping通？私用网内计算机能否ping通？上海师范大学数理信息学院

Unit 10

Unit 10

Presentation Transcript

Unit “ 10 “

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

Unit 10

UNIT 10

Unit 10