网络技术实训 第7讲：网络安全实训 许成刚 信息技术学院 2018.10.

Presentation on theme: "网络技术实训 第7讲：网络安全实训 许成刚 信息技术学院 2018.10."— Presentation transcript:

1 网络技术实训 第7讲：网络安全实训 许成刚 信息技术学院

2 一、防火墙技术及设计实现

3 1.防火墙是什么？ 设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的组合。在逻辑上，防火墙是一个分离器、一个分析器，也是一个限制器，能够有效地监控流经防火墙的数据，保证内部网络和隔离区的安全。

4 1.防火墙是什么？ 防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，其目的是保护网络不被他人侵扰。
本质上，防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的、能过滤的网络通信。 运行 / 阻止

5 1.防火墙是什么？ 防火墙最常用的应用是防止Internet（或其他外部网络）上的危险（非法访问或攻击等）传播到需要保护的内部网络。
通常防火墙就是位于内部网或Web站点与互联网之间的一个路由器或一台计算机。 防火墙在网络中的位置

6 1.防火墙是什么？ 不管什么种类的防火墙，不论其采用何种技术手段，防火墙都必须具有以下三种基本性质： 防火墙是不同网络之间信息的唯一出入口。
防火墙能根据网络安全策略控制（允许、拒绝或监测）出入网络的 信息流，且自身具有较强的抗攻击能力（采用不易攻击的专用系统 或采用纯硬件的处理器芯片）。 防火墙本身不能影响正常网络信息的流通。

7 2.防火墙能做什么？ （1）管理和控制网络流量 防火墙最基础的任务就是管理和控制网络流量访问被保护的网络或 主机。
典型情况下，防火墙通过检查报文，监控已经存在的连接，而后根 据报文检查结果和检测到的连接进行过滤以达到该目的。 ①报文检查 ②连接和状态

8 2.防火墙能做什么？ （2）认证接入 IP地址对，能否就保证通信是合法的？
防火墙可以要求输入一个用户名和密码（通常被称为扩展认证和802.1x认证）。通过802.1x认证，尝试初始化一个连接的用户在防火墙允许建立连接之前被提示需要一个用户名和密码，在连接被安全策略认证成功并授权以后，用户就不再会被要求进行认证。 通过实施认证，防火墙可以有额外的办法确保连接是否应该被允许， 即使报文从基于对状态化连接检查的角度来讲是被允许的，但如果 主机不能和防火墙之间认证成功，这个报文仍然会被丢弃。

9 2.防火墙能做什么？ （3）作为中间媒介 通常认为设备的直接连接会有很大风险，所以通常会采用中间媒介 去保护其资源，从而避免直接连接带来的风险。 基于同样的想法，防火墙可以通过配置来担当两台主机通信进程中 的媒介，这个中间媒介进程通常被认为是一个代理。 代理 （处理、重建、转发） 外网主机 内网主机

10 2.防火墙能做什么？ （4）保护资源 防火墙的一个很重要的功能就是保护资源免受威胁。
这种保护是通过使用接入访问控制规则、状态化报文检查、应用代 理或是结合以上所有方法去阻止被保护的主机被恶意访问或者被恶 意流量感染来实现的。 防火墙并非永远不会犯错（依靠策略），例如Web服务器有漏洞。

11 2.防火墙能做什么？ （5）事件记录和报告 分析一下，发生了什么事？ 一定要做好记录！
所有防火墙都需要有一种方法去记录所有的通信（特别是违背接入 访问策略），以便管理员可以查看这些记录数据去分析确定发生了 什么。 除了记录事件日志以外，防火墙也需要在一个策略被违反的时候有 一种报警功能。例如，控制台通知、短信通知、电子邮件通知。

12 3、防火墙是如何实现其功能的？ 3.1包过滤技术 防火墙技术是一种综合技术，包括包过滤技术、状态检测技术、NAT技术、代理技术等，这些技术互相配合，从而形成一套防御系统。

13 3、防火墙是如何实现其功能的？ 3.1包过滤技术 3.1 包过滤技术

14 3、防火墙是如何实现其功能的？ 包过滤技术简介 包过滤技术是最早也是最基本的访问控制技术，又称报文过滤技术。
3.1 包过滤技术 包过滤技术简介 包过滤技术是最早也是最基本的访问控制技术，又称报文过滤技术。 包过滤技术的作用是执行边界访问控制功能，即对网络通信数据进 行过滤（Filtering），也称为筛选。 过滤就是允许那些符合安全过滤规则的数据包通过，拒绝那些不符 合安全过滤规则的数据包通过，并且根据预先的定义完成记录日志 信息、发送报警信息给管理人员等操作。

15 3、防火墙是如何实现其功能的？ 包过滤的工作原理 包过滤技术的工作对象就是数据包。
3.1 包过滤技术 包过滤的工作原理 包过滤技术的工作对象就是数据包。 包过滤的核心在于ACL（访问控制列表）的定义。ACL的核心就 是一个典型的五元组（源IP地址、目的IP地址、源端口、目的端 口、协议号）。 根据五元组定义不同的ACL。

16 过滤IP头部字段

17 过滤TCP头部字段

18 3、防火墙是如何实现其功能的？ 3.1 包过滤技术

19 包过滤技术的实现过程

20 3、防火墙是如何实现其功能的？ 包过滤的优缺点 优点： 包过滤技术实现简单、快速。 包过滤技术的实现对用户是透明的。
3.1 包过滤技术 包过滤的优缺点 优点： 包过滤技术实现简单、快速。 包过滤技术的实现对用户是透明的。 包过滤技术检查操作耗时极短，执行效率非常高。 缺点： 包过滤技术过滤思想简单，对信息的处理能力有限。 过滤规则的维护非常困难。 包过滤技术控制层次较低，不能实现用户级控制。

21 3、防火墙是如何实现其功能的？ 3.2 状态检测技术

22 3、防火墙是如何实现其功能的？ 状态检测技术简介
3.2 状态检测技术 状态检测技术简介 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题， 提出了状态检测技术（Stateful Inspection）的概念。 早期的状态检测技术被称为动态包过滤（Dynamic Packet Filter） 技术，是静态包过滤技术在传输层的扩展应用。 状态检测不仅仅只是对状态进行检测，还进行包过滤检测，从而提 高了防火墙的功能。

23 3、防火墙是如何实现其功能的？ 状态检测的核心，是对象的各种状态，并且根据状态来判断数据包是否合法。 TCP及状态 UDP及状态
3.2 状态检测技术 状态检测的核心，是对象的各种状态，并且根据状态来判断数据包是否合法。 TCP及状态 UDP及状态 ICMP及状态

24 3、防火墙是如何实现其功能的？ TCP及状态
3.2 状态检测技术 TCP及状态 TCP是一个面向连接的协议，对于通信过程各个阶段的状态都有 很明确的定义，并可以通过TCP的标志位进行跟踪。 TCP共有11种状态，这些状态标识由RFC793定义。

25

26 3、防火墙是如何实现其功能的？ 状态检测工作原理
3.2状态检测技术 状态检测工作原理 状态检测技术根据连接的“状态”进行检查，当一个连接的初始数 据报文到达执行状态检测的防火墙时，需要经过3个步骤： 步骤1：当接收到数据包后，首先查看状态表，判断该包是否属于当前合法连接，若是，则接收该包让其通过，否则进入步骤2。 步骤2：在过滤规则表中遍历，如不允许该数据包通过，则直接丢弃该包，跳回步骤1处理后续数据包；若允许该数据包通过，则进入步骤3。 步骤3：在状态表中加入该新连接条目，并允许数据包通过。跳回步骤1处理后续数据包。

27 状态检测处理流程

28 3、防火墙是如何实现其功能的？ 状态检测的优缺点 优点： 缺点： 安全性比静态包过滤技术高。 与静态包过滤技术相比，提升了防火墙的性能。
3.2状态检测技术 状态检测的优缺点 优点： 安全性比静态包过滤技术高。 与静态包过滤技术相比，提升了防火墙的性能。 缺点： 主要工作在网络层，对报文的数据部分检查很少，安全性不够高。 检查内容多，对防火墙性能提出了更高的要求。

29 3、防火墙是如何实现其功能的？ 3.3 NAT技术 3.3 网络地址转换（NAT）技术

30 3、防火墙是如何实现其功能的？ NAT技术简介
网络地址转换（Network Address Translation，NAT），也称IP 地址伪装技术（IP Masquerading）。 最初设计NAT的目的是允许将私有IP地址映射到公网上（合法的因 特网IP地址），以缓解IP地址短缺的问题。 通过NAT，可以防止内部网络结构被人掌握，因此从一定程度上降 低了内部网络被攻击的可能性，提高了私有网络的安全性。正是内 部主机地址隐藏的特性，使NAT技术成为了防火墙实现中经常采用 的核心技术之一。

31 内网 外网 LAN WAN / 24 /32 NAT设备 / 24

32 内网 外网 静态NAT工作原理

33 动态NAT工作原理

34 : 9090 : 9091 : 9092 端口NAT工作原理

35 3、防火墙是如何实现其功能的？ NAT技术的报文分析

36 内网地址 外网地址

37 内网访问外部时报文的结构：

38 报文详细情况

39 经防火墙转换后报文的结构：

40 报文详细情况

41 3、防火墙是如何实现其功能的？ 3.4 代理技术

42 3、防火墙是如何实现其功能的？ 代理简介 代理（Proxy）技术与前面所述的基于包过滤技术完全不同，是基 于另一种思想的完全控制技术。
3.4 代理技术 代理简介 代理（Proxy）技术与前面所述的基于包过滤技术完全不同，是基 于另一种思想的完全控制技术。 采用代理技术的代理服务器运行在内部网络和外部网络之间，在应 用层实现安全控制功能，起到内部网络与外部网络之间应用服务的 转接作用。 代理防火墙不再围绕数据包，而着重于应用级别，分析经过它们的 应用信息，从而决定是传输还是丢弃。

43 2.防火墙的关键技术 代理技术的工作原理 在代理服务器必须要安装代理服务端及代理顾客端两个代理软件；
3.4 代理技术 代理技术的工作原理 在代理服务器必须要安装代理服务端及代理顾客端两个代理软件； 代理服务端软件是用来仿真远程真正服务端的行为，代理顾客端软 件则是用来仿真真正顾客端的行为。 当顾客端送出请求服务的要求，代理服务端软件将检查该要求是否 合法，若是合法的要求将转由代理顾客端软件送出该服务要求；同 样地当外网服务端送回服务的结果，代理顾客端软件将检查该结果 是否合法，若是则转由代理服务端软件送回该服务结果给顾客端。

44 内网 外网 代理防火墙 转送服务请求 服务请求 代理服务器端 代理客户端 转送回应 回应 客户机 服务器 基于代理技术实现防火墙的应用层控制

45 2.防火墙的关键技术 3.4 代理技术 代理技术的工作原理 应用层代理不用依靠包过滤工具来管理进出防火墙的数据流，而是 通过对每一种应用服务编制专门的代理程序，实现监视和控制应用 层信息流的作用。 防火墙可以代理HTTP、FTP、SMTP和Telnet等协议，使得内网用 户可以在安全的情况下实现浏览网页、收发邮件和远程登录的应用。

46 基于代理技术实现防火墙的应用层控制

47 3、防火墙是如何实现其功能的？ 代理技术的作用
3.4 代理技术 代理技术的作用 隐藏内部主机：外部主机无法直接连接到内部主机，只能访问到代 理服务器，从而保证内部网络中主机免受攻击。 过滤内容：在应用层检查可以扫描数据包的内容。 阻断URL：实现针对网址及服务器的阻断，以实现阻止内部用户浏 览不符合组织或机构安全策略的网站内容。 身份验证：将身份认证技术融合进安全过滤功能中能够大幅度提高 用户的安全性。

48 五、防火墙的应用与实现

49 5. 防火墙的应用与实现 5.1 家庭防火墙应用实现 5.1 使用家用路由器实现家庭防火墙

50 5. 防火墙的应用 需求分析： 解决方案： 关键实施方案： 应用优势：
5.1 家庭防火墙应用 需求分析： 采用ADSL拨号接入，这种网络完全暴露于互联网之中，对个人电脑造成巨大的危害。 解决方案： 个人电脑与接入的网络之间架构一个防火墙，并且在防火墙配置NAT技术，使家庭网络变成一个受保护的内部网络。 关键实施方案： 使用家用路由器实现上述的需求。 应用优势： 配置及结构简单，具有很高的可迁移性，设备消耗资金少。

51 家庭防火墙应用的拓扑结构

52 5. 防火墙的应用与实现 5.2 基于OPNsense实现企业级防火墙

53 5.2.基于OPNsense实现企业级防火墙 方案 可通过OPNsense实现防火墙的作用。
6.1方案 方案 可通过OPNsense实现防火墙的作用。 在该企业网络中的防火墙是透明防火墙。透明防火墙的首要特点就 是对用户是透明的，即用户意识不到防火墙的存在。

54 5.2.基于OPNsense实现企业级防火墙 防火墙透明模式的工作原理
6.1方案 防火墙透明模式的工作原理 透明防火墙的主要特点就是对用户是透明的（Transparent），使 用户意识不到防火墙的存在。实现防火墙透明模式，防火墙是在没 有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防 火墙的IP地址。 透明模式的防火墙就好像是一台网桥，网络设备和所有计算机的设 置无须改变，同时解析所有通过它的数据包，既增加了网络的安全 性，又降低了用户管理的复杂程度。

55 5.2.基于OPNsense实现企业级防火墙 OPNsense防火墙对规则的过滤过程
6.1方案 OPNsense防火墙对规则的过滤过程 OPNsense防火墙的规则是从上到下依次遍历，当一些规则的范围发 生冲突时，防火墙会以上面的规则为准进行过滤，因此在创建防火 墙规则时，若实现其实验目的，则需调整规则顺序。

56 通过OPNsense实现企业级防火墙的拓扑结构

57 5. 防火墙的应用与实现 5.3 基于OPNsense实现局域网NAT接入互联网

58 内网

59 内网 外网

60 企业网接入互联网及边界防火墙部署设计 1. 题目描述： 利用GNS3和VirtualBox进行园区网络仿真设计；
园区内共有8个部门，每个部门有100多台电脑接入园区网，园区网为三层架构； 各部门电脑分别属于不同子网，即不同VLAN； 部门1和部门2之间通过三层交换机RS1通信，部门3和部门4之间通过三层交换机RS2通信。RS1和RS2通过路由器R1通信。 部门5和部门6之间通过三层交换机RS3通信，部门7和部门8之间通过三层交换机RS4通信。RS3和RS4通过路由器R2通信。

61 企业网接入互联网及边界防火墙部署设计 1. 题目描述：
部门1～部门8电脑的IP地址，通过园区网内部的DHCP服务器获得，DHCP服务在CentOS操作系统中部署。 整个园区网通过NAT方式接入互联网，NAT设备的WAN口地址依据具体实验环境的上网地址而定。 在园区网边界，部署防火墙。 由于工作需要，部门1 的电脑，只允许以Web方式访问互联网（例如ping外网设备时，不通）； 由于工作需要，部门3的电脑，只允许在上班时间，访问互联网。

62 企业网接入互联网及边界防火墙部署设计 2. 实训要求 根据题目描述，自主设计项目实现方案，项目实现结果需要在实验室内向任课老师进行展示。
完成本实训项目的“《网络技术实训》课程综合实训项目报告”。并打印后提交任课教师。

63 二、VPN技术及设计实现

64 1.VPN概述 VPN的定义： VPN（Virtual Private Network），被称为虚拟专用网络。
通常定义为通过公用网络（如Internet）建立一个临时、安全的连接，可以认为是一条在公用网络传输的安全、稳定隧道。 使用这条隧道可以对数据进行加密，以达到安全使用Internet的目的。 VPN技术最早是路由器的重要技术之一，而目前交换机、防火墙等设备也都支持VPN功能。

65 1.VPN概述 1.1 VPN的定义 VPN的虚拟链路结构

66 1.VPN概述 1.1 VPN的定义 VPN的逻辑链路结构

67 1.VPN概述 VPN的不同分类方法： 按应用范围划分：远程接入VPN、企业内部VPN、企业扩展VPN
按隧道协议划分：第2层隧道协议、第3层隧道协议 按隧道建立方式划分：资源隧道、强制隧道

68 1.VPN概述 1.3 VPN的特点与优势 VPN的基本特点： 专用： 对于VPN用户，使用VPN与使用传统专网没有区别。一方面，VPN与底层承载网络之间保持资源独立；另一方面，VPN提供足够的安全保证，确保VPN内部消息不被外部侵扰。 虚拟： VPN用户内部的通信是通过一个公共网络进行的，而这个公共网络同时也被其他非VPN用户使用，即VPN用户获得的是一个逻辑意义上的专网，这个公共网络称为骨干网。

69 1.VPN概述 VPN的优势： 具备完善的安全保障机制 具有用户可接受的服务质量保证 总成本低 可扩充性、安全性和灵活性 管理便捷

70 1.VPN概述 隧道技术： 隧道协议通常包括3个方面，分别为乘客协议、封装协议和传输协议。
1.4 安全机制 隧道技术： 隧道协议通常包括3个方面，分别为乘客协议、封装协议和传输协议。 乘客协议：被封装的协议，如PPP（点对点协议）、SLIP（串行线路网际协议）等。 封装协议：隧道建立、维持和断开，如PPTP、L2TP、IPSec等。 传输协议：传输经过封装后数据包的协议，如IP和ATM等。 隧道协议主要分为：第2层隧道协议和第3层隧道协议。 第2层隧道协议：各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。 第3层隧道协议：各种网络协议直接装入隧道协议中，形成数据包传输。

71 1.VPN概述 1.4 安全机制 加密解密技术： 加、解密技术是VPN的一项重要基础技术。具体过程是发送者在发送数据之前对数据加密，数据到达接受者时由接受者对数据进行解密。 密码技术可以分为两类：对称加、解密技术和非对称加、解密技术。 对称加、解密技术：简单易用、处理效率高、易于用硬件实现，但密钥管理较困难，常用算法有：DES和3DES。 非对称加、解密技术：安全系数更高、可以公开加密密钥、对密钥的更新也很容易、易于管理，但效率低、难于用硬件实现，常用算法有：Diffie-Hellman和RSA。

72 1.VPN概述 密钥管理技术： 密钥管理是在一定的安全策略指导下的加密材料的产生、存储、分发、销毁、归档等过程。
1.4 安全机制 密钥管理技术： 密钥管理是在一定的安全策略指导下的加密材料的产生、存储、分发、销毁、归档等过程。 密钥管理技术的主要任务是如何在公用网上安全地传递密钥而不被窃取。目前主要的密钥交换与管理标准有IKE （互联网密钥交换）、SKIP （互联网简单密钥管理）和Oakley（密钥确定协议）。 密钥分发（或密钥交换）是通信双方建立共同的加密材料的过程，要求确保加密材料的完整性、来源真实性和保密性，主要包括密钥的预分发、密钥的在线交换以及基于身份的密钥分发。

73 1.VPN概述 身份认证技术： 身份认证技术是防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。
1.4 安全机制 身份认证技术： 身份认证技术是防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。 “摘要”技术：采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文。 身份认证技术最常用的是使用者名称与密码、卡片式认证、USB Key认证、生物特征认证等方式。

74 2.VPN的应用模式与方案 需求分析： 解决方案： 关键实施方案： 应用优势： 需要解决全网动态IP接入时的VPN互连。
采用加密传输，保证了数据的安全性。 降低成本，节约资源。

75 中小企业的VPN应用拓扑结构

76 2.VPN的应用模式与方案 需求分析： 解决方案： 关键实施方案： 应用优势： 跨国企业的总部和各办事处之间通常在不同国家和地区。
VPN Manager是针对建立大型VPN网络快速实施的功能。 防火墙上带有的安全管理系统上的报表分析功能。

77 跨国企业的VPN应用拓扑结构

78 2.VPN的应用模式与方案 需求分析： 解决方案： 关键实施方案： 应用优势： 支持移动办公、及时共享任何文档资料。
确保网络的安全性，不能越级访问未经授权的资料。 解决方案： 通过建立IPSec VPN或SSL VPN服务解决政府机构的相关需求。 关键实施方案： 线路规划、在不同节点上可选择不同的接入设备、配置VPN服务。 应用优势： 安全性高、效率快、节约成本。

79 政府机构的VPN应用拓扑结构

80 2.VPN的应用模式与方案 需求分析： 解决方案 关键实施方案： 应用优势：
要求销售机构网络能够做到：传输信息的安全、节点身份认证和对非法攻击事件的可追踪性等。 解决方案 采用专线方式（成本高）或采用VPN满足上述要求 关键实施方案： 公司总部为一级中心； 各分公司为二级中心，与总部互连； 各代理商、营业点以及移动办公人员则接入各自所属的分公司网络。 应用优势： 稳定性高、速度快、安全性高、实施简便快捷。

81 销售行业的VPN应用拓扑结构

82 3.在Linux上实现L2TP VPN服务 3.1方案 构建L2TP VPN服务的拓扑结构

83 3.在Linux上实现L2TP VPN服务 3.2部署实施 IP地址规划与配置： 重启网卡，并查看IP地址： 安装相关软件：

84 3.在Linux上实现L2TP VPN服务 3.2部署实施 配置IPSec的加密文件：

85 3.在Linux上实现L2TP VPN服务 3.2部署实施

86 3.在Linux上实现L2TP VPN服务 3.2部署实施 设置IPSec的共享密钥： 配置路由转发并让文件生效：

87 3.在Linux上实现L2TP VPN服务 3.2部署实施 验证IPSec状态：

88 3.在Linux上实现L2TP VPN服务 3.2部署实施 配置L2TP服务：

89 3.在Linux上实现L2TP VPN服务 3.2部署实施 配置L2TP相关操作：

90 3.在Linux上实现L2TP VPN服务 3.2部署实施 添加L2TP VPN的用户及密码： 启动相关服务：

91 3.在Linux上实现L2TP VPN服务 3.2部署实施 设置防火墙的相关操作：

92 3.在Linux上实现L2TP VPN服务 VPN服务的作用就是可以让外网访问到内网，主要测试有以下两种类型： 查看IP地址
3.3应用测试 VPN服务的作用就是可以让外网访问到内网，主要测试有以下两种类型： 查看IP地址 查看连接VPN后主机的IP地址是否与设置的相一致。 Ping命令测试连通性 在建立VPN之前，由于外网和内网不是在同一个网段内，因此外网不能访问内网；但由于内网是通过防火墙进行NAT转发的，因此内网可以访问到外网地址。 当建立VPN连接之后，外网通过VPN连接内网，实现对内网的访问。

93 3.在Linux上实现L2TP VPN服务 加密配置 本次案例添加了共享的密钥作为身份验证，因此需要点击【高级设置】，将设置的共享密钥输入。
3.4总结分析 加密配置 本次案例添加了共享的密钥作为身份验证，因此需要点击【高级设置】，将设置的共享密钥输入。

94 3.在Linux上实现L2TP VPN服务 连接错误分析 741错误 742错误
3.4总结分析 连接错误分析 741错误 741错误为本地计算机不支持所要求数据加密类型。这是因为在配置VPN属性时，在【安全】中没有选择相关协议，必须选择第二个协议（质询握手身份验证协议（CHAP）。 742错误 742错误为远程计算机不支持所要求的数据加密类型。这是因为在选择数据加密时，选择加密的类型过高，应该选择需要加密（如果服务器拒绝将断开连接）。

95 4.在Linux上实现L2TP VPN服务 4.4总结分析 741错误解决 742错误解决

96 3.在Linux上实现L2TP VPN服务 768错误 809错误
3.4总结分析 768错误 768错误为因为加密数据失败连接尝试失败。解决这个错误需要开启IPSec Server服务（服务器端和客户机端都需要开启），并且需要将客户端上IPSec协议代理开启，这样重新连接VPN就不会出现768错误。 809错误 809错误为无法建立计算机与VPN服务器之间的网络连接，这是因为远程服务器未响应。出现该错误需要查看服务器端的防火墙（iptables）中的NAT是否设置成功，并查看服务器中的路由信息，可考虑重新设置服务器的NAT服务。

97 4.基于OPNsense实现PPTP VPN服务
4.1方案 构建PPTP VPN服务的拓扑结构

98 4.基于OPNsense实现PPTP VPN服务
4.2部署实施 安装系统并配置IP地址：

99 4.基于OPNsense实现PPTP VPN服务
4.2部署实施 配置PPTP VPN服务： PPTP redirection：添加一个主机地址，该主机是接受客户端传来的PPTP连接。 No.PPTP users：选择连接PPTP VPN客户端的数目。 Server address：输入VPN的服务地址，该地址不与OPNsense系统上的地址相同，否则会提示错误，该地址为外网的某一地址，当连接PPTP VPN时，该地址将被作为外网的网关地址使用。 Remote address range：该地址范围是当客户端连接到该VPN时，为客户端分配该地址范围内的地址。

100 PPTP VPN服务的配置

101 配置用户名及密码

102 4.基于OPNsense实现PPTP VPN服务
4.3应用测试 查看IP地址 Ping命令访问测试

103 4.基于OPNsense实现PPTP VPN服务
4.4总结分析 在本案例中应该注意以下方面： 网卡配置 在对OPNsense服务器的两个网卡分别配置IP地址时，应该注意不同端口的IP地址，由于两个网卡不在一个网络中，因此配置过程中WAN与LAN两个端口需区分清楚。 PPTP协议配置 在配置PPTP协议过程中需要添加一些地址，应该按软件提示进行配置，有些地址不能与VPN服务器重复。

104 5.VPN客户端的配置 PPTP： 在CentOS 7上安装PPTP VPN客户端的过程如下：
52在Linux上配置VPN客户端 PPTP： 在CentOS 7上安装PPTP VPN客户端的过程如下： 安装pptp及pptp设置脚本pptp-setup 创建配置 检验是否连接成功

105 5.VPN客户端的配置 L2TP： 在CentOS 7上安装L2TP VPN客户端的过程如下： 安装并配置xl2tpd软件
5.2在Linux上配置VPN客户端 L2TP： 在CentOS 7上安装L2TP VPN客户端的过程如下： 安装并配置xl2tpd软件

106 5.VPN客户端的配置 5.2在Linux上配置VPN客户端 设置拨号配置文件

107 5.VPN客户端的配置 5.2在Linux上配置VPN客户端 启动xl2tpd服务并查看相关文件 开始拨号连接 跟踪日志，查看是否连接成功

108 R1 R2 SW1 SW2 VPN PC2 PC1 f1/0 f1/1 f1/1 f1/0 61.1.1.1 10.0.0.1/24
/24 /24 SW1 SW2 PC1 VPN PC2 /24 /24 /24 /24

109 PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C
端口 MAC地址 PC1 CE-88-37 PC2 A R1-f1/0 CA C R1-f1/1 CA D R2-f1/0 CA-09-1D-FC-00-1C R2-f1/1 CA-09-1D-FC-00-1D VPN-LAN E VPN-WAN D-8A