实验指导书3虚拟专用网.docVIP

实验3．虚拟专用网

一、实验目的

通过实验掌握虚拟专用网的实现原理、协议和结构，理解并掌握在Windows操作系统中利用PPTP(点对点隧道协议)和IPSec(IP协议平安协议)配置VPN网络的方法。

二、实验原理

1.介绍

虚拟专用网(VirtualPrivateNetwork，VPN)是在公共网络中建立的平安网络连接，这个网络连接和普通意义上的网络连接不同之处在于，它采用了专有的隧道协议，实现了数据的加密和完整性检验、用户的身份认证，从而保证了信息在传输中不被偷看、篡改、复制，从网络连接的平安性角度来看，就类似于在公共网络中建立了一个专线网络一样，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。VPN系统的构成如图3-1所示，包括VPN效劳器，VPN客户机和隧道。由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Intemet既平安又经济地传输私有的机密信息成为可能。

图3-1VPN系统的构成

2.VPN的类型

根据网络类型的差异，可以把VPN分为Client-LAN和LAN-LAN两种类型。

1)client-LAN类型的VPN

Client-LAN类型的VPN，即远程访问方式的VPN。它提供了一种平安的远程访问手段，例如，出差在外的员工、有远程办公需要的分支机构，都可以利用这种类型的VPN，实现平安的对企业内部网络资源进行远程访问。它又分为基于Internet远程访问的VPN和基于Intranet远程访问的VPN。

使用基于Internet远程访问的VPN，远程访问的客户端首先通过拨号网络连接到当地的ISP(Intemet效劳提供商)，利用ISP提供的效劳通过Internet连接到企业的远程访问效劳器，在采用VPN隧道协议的情况下，企业的远程访问效劳器会和远程访问客户端建立一个平安的VPN连接，远程访问客户端就可以平安的使用企业内部各种授权的网络资源了，其结构如图3-2所示。基于Internet远程访问的VPN通常采用PPTP、L2F、L2TP等隧道协议。

图3-2基于Internet远程访问的VPN拓扑结构

对于通过Intranet进行连接的企业内部机构及其远程分支机构，为了保护有些部门的保密信息，可以使用基于Intranet远程访问的VPN，如图3-3所示。这些有平安需求的部门网络与Intranet网络也是物理上连接的，但是这个部门的网络通过VPN效劳器与Intranet网络分隔。VPN效劳器并不提供直接路由连接功能，其它部门的客户端计算机，那么需要与保密部门建立平安的VPN连接，并且具有访问保密部门网络资源的权限，才能访问保密部门受保护的网络资源。这种类型的VPN通常采用IPSec协议建立加密传输数据隧道，对通过VPN进行传输的数据采用了加密、完整性检验等措施。

图3-3基于Intranet远程访问的VPN拓扑结构

2)LAN-LAN类型的VPN

为了在不同局域网络之间建立平安的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，那么可以采用LAN-LAN类型的VPN。对于物理距离较远的企业与分公司、分支机构和合作企业问的网络连接，为了平安，一般租用专线，网络结构复杂、费用昂贵。而采用LAN-LAN类型的VPN，可以利用根本的Internet和Intranet网络建立起全球范围内物理的连接，再利用VPN的隧道协议实现平安保密需要，就可以满足公司总部与分支机构以及合作企业间的平安网络连接，如图3-4所示。这种类型的VPN通常采用IPSec协议建立加密传输数据隧道。LAN-LAN类型的VPN，当用来构建内联网时称为IntranetVPN，用于企业和合作企业进行网络互联时称为ExtranetVPN。

图3-4LAN-LAN类型的VPN

3.VPN的协议

VPN采用了多种信息平安技术和网络技术，包括隧道技术、加密解密技术、密钥管理技术和身份认证技术。对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。隧道技术是一种数据封装技术，它利用一种协议来封装在另一种协议中传输，从而实现被封装协议的平安性。现有封装协议主要包括两类：一类是第2层隧道协议，它首先把各种网络层协议(如IP协议)封装到数据链路层协议PPP的数据帧中，再把整个PPP帧装入到隧道协议中。由于隧道协议封装的是数据链路层的数据包，即OSI开放系统互联模型中第2层的数据包，所以称之为第2层隧道协议，如PPTP，L2F，L2TP，它主要应用于构建基于Internet远程访问的VPN：另一类是第3层隧道协议，如IPSec、GRE等，它把第3层即网络层的各种协议直接封装到隧道协议中进行传输，由于被封装的是第3层的网络协议，所以称为第3层隧道协议，它主要应用于构建