1 链路层安全协议分析实验.docVIP

1 链路层安全协议分析实验 1.1 实验目的 利用PPTP和L2TP/IPSec在客户机和服务器之间建立VPN，通过wireshark或sniffer等抓包工具对数据包进行分析，深入理解PPTP和L2TP安全协议所采用的安全机制。 1.2 实验内容 要求在Windows2000或2003 Server环境下，分别采用PPTP和L2TP/IPSec在客户机和服务器之间建立起VPN。 1.3 实验环境 实验环境如图14-13所示。两台计算机，一台Windows 2000 Server，一台Windows 2000客户机，形成一个网络环境（最好不在同一子网）。VPN服务器使用Windows 2000 Server，相关组件为系统自带。要求VPN服务器已经连入Internet。VPN客户机端的操作系统也使用Windows 2000，相关系统自带，要求客户端也能连入Internet。 1.4 利用PPTP配置VPN 在基于PPTP的远程访问VPN方式下，一台Windows 2000 Server的计算机充当一台VPN的远程访问服务器，它直接连接到Internet中。远程客户通过拨号连接到Internet中，然后与VPN服务器建立一条PPTP隧道。VPN服务器提供给远程客户机VPN服务器资源或者VPN服务器所在的本地网络的整个资源的访问。 图14-13 通过PPTP或L2TP/IPSec访问VPN 1．VPN服务器的配置 ① 在Windows 2000 Server中，点击开始(程序(管理工(路由和远程访问，进入“路由和远程访问”控制台； ② 在窗口左边“SWJTU（本地）”（SWJTU为服务器名）处单击右键，选择“配置并启用路由和远程访问”，打开“路由和远程访问安装向导”窗口。如图14-14所示。 图14 -14 配置并启用路由和远程访问 ③ 在“欢迎使用路由和远程访问安装向导”窗体直接单击下一步； ④ 在“公共设置”一步，需要选择相应的公共配置。默认选项为“Internet连接服务器”，需要改选为“虚拟专用网络（VPN）服务器”，以便让用户能通过公共网络来访问此服务器。如图14-15所示，单击下一步； ⑤ 在“远程客户协议”的对话框中，一般说来，至少应该已经有了TCP/IP协议，则只需直接点选“是，所有可用的协议都在列表上”，再点击下一步即可； ⑥ 系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或指定的网卡连接等），再单击下一步； ⑦ 接着在回答“您想如何对远程客户机分配IP地址”的询问时，推荐选择“来自一个指定的IP地址范围”，单击下一步； ⑧ 在“地址范围指定”一步可为VPN客户机指定所分配的IP地址范围。单击“新建”按钮打开“新建地址范围”窗口，按提示输入IP地址的范围为“0”到“0”，单击确定返回； 图14-15 设置VPN服务器 ⑨ 在“管理多个远程访问服务器”一步，用于设置集中管理多个VPN服务器。使用默认值，单击下一步； ⑩ 最后出现“正在完成路由和远程访问服务器安装向导”窗口，配置完成。 屏幕上将自动弹出一个“正在启动路由和远程访问服务”窗口。当它消失之后返回路由和远程访问控制台，VPN服务器配置结束。打开“管理工具”中的“服务”，可看到“Routing and Remote Access”项处于“已启动”状态。如图14-16所示。 图14-16 启动路由和远程访问 2．赋予用户拨入权限 Windows 2000上默认值为任何用户均被拒绝拨入到VPN服务器上，需要为相应用户赋予拨入权限。本实验以“VPN”用户为例。 ① 在“我的电脑”处单击右键，选择“管理”，打开“计算机管理”控制台； ② 在左边窗口中依次展开“本地用户和组”(“用户”，在右边窗口中双击“VPN”打开其属性窗口； ③ 转到“拨入”选项卡，在“选择访问权限（拨入或VPN）”选项组下将默认值改为“允许访问”，如图14-17所示。再单击确定，返回控制台，即可完成赋予此用户拨入权限的工作。 图14-17 赋予用户VPN拨入权限 3．配置PPTP端口 完成了前面的配置后，实际上已经拥有了一台VPN服务器，接下来要对此VPN服务器进行配置。首先确定PPTP端口数，本实验只使用了一台客户机，可以如下配置： 右键单击路由和远程访问控制台中的“端口”项，然后单击“属性”，在“端口属性”对话框中，双击“WAN微型端口（PPTP）”项，在弹出的对话框中可设置最多端口数，如图14-18所示。 图14-18 设置PPTP端口数 4．安全设置 Win2000的缺省设置是同时支持MS-CHAP第1版和第2版，由于第1版存在缺陷，因此需要更改缺省选项。 ① 右键单击控制台中的服务器，选择“属性