Linux服务器配置与管（第二版）课件 项目4-任务三 配置与管理VPN服务器.pptx

任务三配置与管理VPN服务器

任务提出一任务分析二任务实施三任务总结四目录Contents同步训练五项目4远程访问服务器配置与管理【项目描述】公司的Linux服务器放在IDC机房，由于机房环境复杂，不方便运维人员经常出入。因此，我们需要配置可以远程访问的服务器，使得运维人员在自己的办公室里通过网络即可访问和管理服务器。常见的远程访问服务器有Telnet和SSH两种。本项目中我们就来完成这三种服务器的配置与管理。【学习目标】(1)了解远程访问的概念。(2)掌握Telnet服务器的配置与使用。(3)掌握SSH服务器的配置与使用。(4)掌握VPN服务器的配置与使用。(5)提高网络安全意识，保障用户通信安全。外网用户如果想访问局域网中的资源，需要通过一道安全屏障，这就是VPN服务器。

01任务提出

任务提出1.安装VPN软件安装RHEL9支持的VPN软件包。2.配置VPN服务配置VPN服务实现主机到主机的VPN隧道通信。3.验证VPN服务验证VPN隧道通信是否有效，并查看通过VPN隧道的流量。本次任务是在Linux服务器上架设VPN服务器，主要内容包括：

02任务分析

1.IPSec协议在RHEL9中，使用IPsec协议配置虚拟私有网络(VirtualPrivageNetwork,VPN)。互联网安全协议（InternetProtocolSecurity，IPSec）是国际互联网工程技术小组（InternetEngineeringTaskForce，IETF）提出的使用密码学保护IP层通信的安全保密架构，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇（一些相互关联的协议的集合）。

1.IPSec协议IPSec可以实现以下4项功能：(1)数据机密性：IPSec发送方将数据包加密后再通过网络发送。(2)数据完整性：IPSec可以验证数据发送方发送的数据包，以确保数据传输时没有被改变。(3)数据认证：数据接收方能够鉴别IPsec数据包的发送起源。此服务依赖数据的完整性。(4)反重放：数据接收方能检查并拒绝重放数据包(重复发送的数据包)。

1.IPSec协议IPSec主要由以下协议组成：(1)认证头(AH)：为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。(2)封装安全载荷(ESP)：提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性。(3)安全关联(SA)：提供算法和数据包，提供AH、ESP操作所需的参数。(4)密钥协议(IKE)：提供对称密码加密体制中密钥的生存和交换。

2.Libreswan简介在RHEL9中，IPsec协议簇由Libreswan应用程序支持。Libreswan是一个开源的、用户空间的IKE协议的实现，它的前身是Openswan。IKEv1和v2作为用户级别的守护进程来实现，IPsec协议簇的其他协议由Linux内核实现，Libreswan配置内核以添加和删除VPN隧道配置。IKE协议使用UDP500和4500端口。由Libreswan和Linux内核实现的IPSecVPN是RHEL9中推荐的唯一VPN技术。Libreswan没有使用术语“源（source）”和“目的地（destination）”或“服务器（server）”和“客户机（client）”，因为IKE/IPsec使用对等（peertopeer）协议。相反，它使用术语“左（left）”和“右（right）”来指代端点（主机）。在大多数情况下在两个端点使用相同的配置。但是，管理员通常选择始终对本地主机使用“左”，对远程主机使用“右”。

2.Libreswan简介Libreswan支持多种身份验证方法，每种方法适合不同的场景。预共享密钥预共享密钥(PreshareKey,PSK)是最简单的身份验证方法。在指联邦信息处理标准（FederalInformationProcessingStandards,FIPS）模式中，PSK必须符合最低强度要求，具体取决于所使用的完整性算法。NULL身份验证用来在没有身份验证的情况下获得网状加密。它可防止被动攻击，但不能防止主动攻击。在此模型中，客户端对服务器进行身份验证，但服务器不对客户端进行身份验证。原始RSA密钥通常用于静态主机到主机或子网到子网IPsec配置。每个主机都使用所有其他主机的公共RSA密钥手动配置，Libreswan在每对主机之间建立IPsec隧道。对于大量主机，这个方法不能很好地扩展。X.509证书通常用于大规模部署连接到通用IPsec网关的主机。证书颁发机构(CertificateAut