实验三 VPN实验.pptVIP

* 8.3 使用SecPoint创建VPN （3） * 8.3 使用SecPoint创建VPN （4） * 8.3 使用SecPoint创建VPN （5） * 8.4 设置VPN属性 * 8.4 VPN登陆 * 8.4 查看VPN状态 * 8.5 断开和删除VPN连接 * 实验三：VPN实验 * 1 实验目的 通过该实验了解VPN的工作原理。 * 2 实验准备 VPN 隧道技术 PPTP：点对点隧道协议 L2TP：第二层隧道协议 PPTP和L2TP对比 IPSec VPN解决方案 * 2.1 VPN 虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 * 2.2 隧道技术 隧道技术可以分别以第2层或第3层隧道协议为基础。 第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）桢中通过互联网络发送。 第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。 * 2.3 PPTP：点对点隧道协议 Point to Point Tunneling Protocol 　　 点对点隧道协议（PPTP）是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet 安全链接到公司网络。 * 2.4 L2TP：第二层隧道协议 Layer 2 Tunneling Protocol 该协议是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。 * 2.5 PPTP和L2TP对比 PPTP（点到点隧道协议）是在Window95/98中支持的，为中小企业提供的一个VPN解决方案。但根据一群安全专家的研究，PPTP在实现上存在着重大的安全问题，它的安全性甚至比PPP（点到点协议）还要弱，因此PPTP协议存在着重大安全缺陷。L2F协议的主要缺陷是没有把标准加密方法包括在内，因此它基本上已经成为一个过时的隧道协议。 L2TP协议结合了Microsoft的PPTP和Cisco的L2F（二层前向转发）的优点。L2TP提供了一种PPP包的机制，特别适合于通过VPN拨号进入一个专用网络的用户。L2TP支持在各种网络连接上提供PPP包的封装，支持一个用户同时使用多个并发的隧道。它同样适用于非IP协议，支持动态寻址，是目前唯一能够提供全网状Intranet VPN连接的多协议隧道。  * 2.6 IPSec IPSec是一组开放的网络安全协议的总称，提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。 IPSec在IP层提供这些安全服务，它包括两个安全协议AH（报文验证头协议）和ESP（报文安全封装协议）。 AH主要提供的功能有数据来源验证、数据完整性验证和防报文重放功能。ESP在AH协议的功能之外再提供对IP报文的加密功能。 * 2.7 VPN解决方案 远程主机VPN解决方案（采用L2tp+IPsec方式） L2TP由于是明文发送，所以需要使用IPsec进行保护，两者之间采用IKE (Intenet密钥交换协议 )自动协商SA（安全联盟）数据，IKE 之间采用Pre-shared-key方式进行验证。 路由器作为L2TP的LNS端，远程主机使用的用户名和密码都为：chongqing，L2TP隧道不需要验证。 Intenet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥 * 3 实验设备 1台路由器， 2层交换机1台， 防火墙1台， 主机2台 * 4 组网拓扑 * 实验过程 本实验模拟一个实际网络环境，二层交换机E017相当于Internet，总部人员到异地出差，使用远程主机通过Internet访问总部的一台内部服务器数据，防火墙与路由器以及内部服务器相当于一个公司网络，其中防火墙在