第18章 实现VPN服务器.

Presentation on theme: "第18章 实现VPN服务器."— Presentation transcript:

1 第18章 实现VPN服务器

2 18.1 知识准备 18.1.1 虚拟专用网的概念 18.1.2 VPN技术 18.1.3 VPN协议
18.1 知识准备 虚拟专用网的概念 VPN技术 VPN协议 VPN设置过程需要回答的问题

3 虚拟专用网的概念 VPN是Virtual Private Network的缩写，是将物理分布在不同地点的网络通过Internet连接而成的逻辑上的虚拟子网。为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性、完整性等措施，以防止信息被泄露、篡改和复制。

4 VPN主要应用于以下场合： 1．远程访问 2．连接两个异地局域网 Internet VPN服务器 隧道 VPN 内部网络

5 18.1.2 VPN技术 1．隧道技术 隧道技术是在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输，如图18-1所示。
隧道是由隧道协议形成的，分为第二、三层隧道协议。 第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。

6 VPN的客户端连接到远端VPN服务器时，必须验证用户身份，身份验证成功后用户可以通过VPN服务器来访问有权访问的资源。
2．身份认证 VPN的客户端连接到远端VPN服务器时，必须验证用户身份，身份验证成功后用户可以通过VPN服务器来访问有权访问的资源。 Windows Server 2008 R2支持以下身份验证协议。 CHAP MS-CHAP MS-CHAP v2 EAP PEAP 在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。

7 VPN协议 1．PPTP协议 PPTP协议，使用MS-CHAP v2验证方法，也可以选择安全性更好的EAP-TLS证书验证方法。身份验证完成后，之后双方所发送的数据可以利用MPPE加密法来加密，仅支持128位的RC4加密算法。 2．L2TP/IPSec协议 L2TP/IPSec支持IPSec的预共享密钥与计算机证书两种身份验证方法，计算机证书方法安全性较高，预共享密钥方法应仅作为测试时使用。身份验证完成后，之后双方所发送的数据则利用IPSec ESP的3DES或AES加密方法。

8 3．SSTP协议 SSTP采用HTTPS协议，因此可以通过SSL安全措施来确保传输安全性。而HTTPS是企业普遍采用的协议。SSTP协议支持Windows VistaSP1、Windows 2008、Windows 7、Windows 2008 R2。 4．IKEv2 IKEv2是采用IPSec信道模式的协议，是Windows Server 2008与Windows 7所支持的最新协议。利用IKEv2 MOBIKE协议所支持的功能，移动用户更方便通过VPN连接企业内部网络。在Windows Server 2008 R2与Windows 7内是通过VPN Reconnect这个新功能，来实现对IKEv2的支持。 VPN Reconnect允许网络中断后，在一段指定的时间内，VPN通道仍然保留着不会消失，一旦网络重新连接后，这个VPN通道就会自动恢复运行，用户不需重新手动连接、不要重新输入账户与密码，应用程序好像没有被中断一样继续运行。 Windows Server 2008 R2与Windows 7仅支持远程访问IKEv2 VPN，不支持站点对站点的IKEv2 VPN。IKEv2的数据加密方法是3DES或AES。

9 18.1.4 VPN设置过程需要回答的问题 1．建立基于什么协议的VPN
可以选择：PPTP协议、L2TP/IPSec协议、SSTP协议、IKEv2协议。 2．分配给客户机IP地址的方式 远程的客户机要加入本地的网络，需要有一个本地网络的IP地址，VPN服务器有两种处理方式。 自动：VPN服务器先向DHCP服务器租用IP地址，然后将其分配给客户端，这要求网络中有DHCP服务器，而且VPN服务器要但当DHCP中继代理角色。 来自一个指定的地址范围：在VPN服务器上设置一段IP地址范围，当客户端来连接时，VPN服务器会自动从此范围内挑选IP地址给客户机。 3．是否使用RADIUS认证

10 18.2 实验目的与任务 模拟场景： 公司建设了局域网，为满足远程业务人员访问公司网络的需求，决定建设一台VPN服务器，用于支持远程用户对公司局域网的安全访问。

11 实验环境

12 配置VPN服务器 1．安装“网络策略和访问服务” 2. 安装配置VPN服务器 图18-4 路由和远程访问窗口

13 图18-5 配置对话框

14 图18-6 选择VPN

15 图18-7 选择网络接口

16 图18-8 选择自动分配IP地址

17 图18-9管理多个远程访问服务器对话框

18 图18-10 完成安装对话框 图18-11 提示“指定DHCP服务器的IP地址”

19 图18-12 安装VPN后的“路由与远程访问”窗口

20 图18-13 输入DHCP服务器的IP地址

21 赋予用户远程访问权限 图18-14 Adtive Directory用户和计算机窗口 图18-15设置允许用户远程访问

22 设置VPN客户端 图18-16 网络和共享中心

23 图18-17 设置连接或网络

24 图18-18 选择连接方式

25 图18-19 选择稍后连接

26 图18-20 输入VPN服务器的IP地址

27 图18-21 输入用户名、密码和域名

28 图18-22 连接已经可以使用 图18-23 已建立的VPN连接

29 图18-24 VPN连接属性 图18-25 建立连接