实验指导书3虚拟专用网.docVIP

实验3?虚拟专用网 一、 实验目的 通过实验掌握虚拟专用网的实现原理、协议和结构，理解并掌握在Windows 操作系统屮利用PPTP（点对点隧道协议）和IPSec（IP协议安全协议）配置VPN网 络的方法。 二、 实验原理 1.介绍 虚拟专用网（Virtual Private Network, VPN）是在公共网络中建立的安全网 络连接，这个网络连接和普通意义上的网络连接不同Z处在于，它采用了专有的 隧道协议，实现了数据的加密和完整性检验、用户的身份认证，从而保证了信息 在传输中不被偷看、篡改、复制，从网络连接的安全性角度来看，就类似于在公 共网络中建立了一个专线网络一样，只不过这个专线网络是逻辑上的而不是物理 的，所以称为虚拟专用网。VPN系统的构成如图3-1所示，包括VPN服务器，VPN 客户机和隧道。由于使用Internet进行传输相对于租用专线來说，费用极为低 廉，所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成 为可能。 图3-1 VPN系统的构成 2. VPN的类型 根据网络类型的差异，可以把VPN分为Client-LAN和LAN-LAN两种类型。 l）client-LAN 类型的 VPN Client-LAN类型的VPN,即远程访问方式的VPN。它提供了一种安全的远程 访问手段，例如，出差在外的员工、有远程办公需要的分支机构，都可以利用这 种类型的VPN,实现安全的对企业内部网络资源进行远程访问。它又分为基于 Internet远程访问的VPN和基于Intranet远程访问的VPM。 使用基于Internet远程访问的VPN,远程访问的客户端首先通过拨号网络连 接到当地的ISP （Internet服务提供商）,利用ISP提供的服务通过Internet连接 到企业的远程访问服务器，在采用VPN隧道协议的情况下，企业的远程访问服务 器会和远程访问客户端建立一个安全的VPN连接，远程访问客户端就可以安全的 使用企业内部各种授权的网络资源了，其结构如图3-2所示。基于Internet远 程访问的VPN通常采用PPTP、L2F、L2TP等隧道协议。 使用PPTP或L2TP的远程访问客户端Internet使用PPTP或L2TP的远程访问服务器 使用PPTP或L2TP的远程访问客户端 Internet 使用PPTP或 L2TP的远程访问服务器 图3-2基于Internet远程访问的VPN拓扑结构 对于通过Intranet进行连接的企业内部机构及其远程分支机构，为了保护 有些部门的保密信息，可以使用基于Intranet远程访问的VPN,如图3-3所示。 这些有安全需求的部门网络与Intranet网络也是物理上连接的，但是这个部门 的网络通过VPN服务器与Intranet网络分隔。VPN服务器并不提供直接路由连 接功能，其它部门的客户端计算机，则需要与保密部门建立安全的VPN连接，并 口具有访问保密部门网络资源的权限，才能访问保密部门受保护的网络资源。这 种类型的VPN通常采用IPScc协议建立加密传输数据隧道，对通过VPN进行传输 的数据采用了加密、完整性检验等措施。 VPN连接 三二二二二 VPN 導门端 Intnuiet VPN?m VPN服务器 保密部门网络 图3-3基于Intranet远程访问的VPN拓扑结构 2) LAN-LAN 类型的 VPN 为了在不同局域网络之间建立安全的数据传输通道，例如在企业内部各分支 机构Z间或者企业与其合作者Z间的网络进行互联，则可以采用LAN-LAN类型的 VPNo对于物理距离较远的企业与分公司、分支机构和合作企业问的网络连接， 为了安全，一般租用专线，网络结构复杂、费用昂贵。而采用LAN-LAN类型的 VPN,可以利用基木的Internet和Intranet网络建立起全球范围内物理的连接, 再利用VPN的隧道协议实现安全保密需要，就可以满足公司总部与分支机构以及 合作企业间的安全网络连接，如图3-4所示。这种类型的VPN通常采用IPScc 协议建立加密传输数据隧道。LAN-LAN类型的VPN,当用来构建内联网时称为 Intranet VPN,用于企业和合作企业进行网络互联时称为Extranet VPNo 合作企业网络 图 3-4 LAN-LAN 类型的 VPN 3.VPN的协议 VPN采用了多种信息安全技术和网络技术，包括隧道技术、加密解密技术、 密钥管理技术和身份认证技术。对于构建VPN来说，网络隧道(Tunneling)技术 是个关键技术。隧道技术是一种数据封装技术，它利用种协议来封装在另-?种 协议屮传输，从而实现被封装协议的安全性。现有封装协议主要包括两类：一类 是第2层隧道协议，它首先把各种网络层协议(如1P协议)封装到数据链路层协 议P