基于windows_server_2008_的VPN构建技术及其应用本科生毕业论文(设计).doc

xxxx学院xxxxxxxxxxxxxxx学院本科生毕业论文(设计)题 目： 基于windows server 2008的 vpn构建技术及其应用 学生姓名： xxxxxx 学 号： xxxxxxxxxxx 专业班级： xxxxxxxxxxxxxxxxxxxxxxxx 指导教师： xxxxxxx 完成时间： xxxxxxxxxxxxxxx 摘 要vpn(virtal private network)即虚拟专用网，是一条穿过公用网络的、安全的、稳定的通道，通过对网络数据的封包和加密传输，在因特网（也可以是其他网络）建立一条临时的、安全的、稳定的连接，从而实现在公网上安全地传输私有数据。本文主要针对xxxxxx学院的实际情况加以分析，在hyper-v虚拟环境下模拟真实的物理环境，使用windows server 2008内置的路由和远程访问功能构建了主、分校区都可主动建立连接的拨号vpn，达到了低成本、易使用、易维护的目的，实现了vpn在虚拟环境下的具体应用。关键词 虚拟专用网；网络；隧道；安全iabstractvirtual private networks(vpns),is a through the public network,safety,stability of the channel, its through to the network data packets and encryption transmission,and connection be set up a temporary,safe,stable,so as to realize the secure transmission of private data in the public network.this paper based on the practical situation of hulunbeier university to analyze,simulate the real physical environment in the hyper-v virtual environment,using windows server 2008 built-in routing and remote access function,constructs the main campus or branch campus can take the initiative to establish the dial-up connection to the vpn,to achieve the purpose of low cost,easy to use,easy to maintenance,to achieve a specific application vpn in virtual environment.keyword vpn，network，tunnel，safety目 录摘 要iabstractii目 录iii图表目录.iv第1章 绪 论11.1 研究背景11.2 研究意义11.3 研究现状21.4 内容安排2第2章 相关理论32.1 vpn的概述32.2 vpn实现原理32.3 vpn的几种常见类型52.4 vpn隧道及隧道协议72.5 vpn的安全问题82.6 构建vpn的要求92.7 构建vpn的步骤102.8 构建vpn的安全问题及解决方法11第3章 虚拟环境下xxxxxx学院的vpn构建123.1 xxxxxx学院构建vpn案例需求分析123.2 实验环境与操作简述133.3 实际操作过程143.4 实验结果263.5 实验过程分析26结束语28参考文献29致 谢30i图表目录第2章 相关理论.3图 2-1 vpn连接图3图 2-2 vpn隧道技术4图 2-3 vpn隧道7图 2-4 l2tpv2的报文封装格式8第3章 虚拟环境下xxxxxx学院的vpn构建.12图 3-1 xxxxxx学院主、分校区网络拓扑12图 3-2 主校区服务器wan端口ip14图 3-3 主校区服务器lan端口ip14图 3-4 安装windows server 2008 网络策略和访问服务 15图 3-5 打开路由和远程访问15图 3-6 配置并启用路由和远程访问功能 16图 3-7 选择远程访问（拨号或vpn）16图 3-8 选择vpn17图 3-9 设置外网端口，并不对来访端口进行筛选17图 3-10 设置一个指定的地址范围18图 3-11 给定具体的静态地址范围18图 3-12 为分校区用户增加一个公用帐户19图 3-13 新增帐户信息20图 3-14 设置拨入权限20图 3-15 设置主校区终端ip地址20图 3-16 设置分校区终端ip地址21图 3-17 在分校区终端建立一个新的连接用于vpn的专线连接21图 3-18 连接到我的工作场所的网络22图 3-19 虚拟专用网络连接22图 3-20 设置新连接名称23图 3-21 设置目的地址23图 3-22 连接主校区服务器24图 3-23 测试与主校区终端的连通性25图 3-24 主校区终端访问分校区终端25第1章 绪 论1.1 研究背景伴随着信息在人们生产与生活之中的重要性逐渐提升,作为信息重要的存储媒介与传输媒介的计算机网络的安全性受到了人们的日益关注。我国计算机网络安全主要涉及两个方面的问题,第一为物理安全问题,第二是逻辑安全问题。而在数据传输的过程中，所要面对的较多的威胁是来自那些不劳而获者对信息的窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。所以一条安全性高的通信信道对于重要信息的传输以及资源管理是非常必要的。但物理专线的昂贵费用与资源的浪费度让很多人没有能力承受，就此vpn技术应运而生，成为了解决网络安全问题的一个重要组成部分。vpn直接构建在公用网上，实现简单、方便、灵活，应用的领域也非常的广泛。vpn提供了一种使用公用网络，安全地对内部专用网络进行远程访问的连接方式。vpn提出的是一种远程接入方案，提供了一种安全接入机制能够保障通信和敏感信息的安全，能够有效地解决现代许多异地企业和企业部门之间的安全通信问题。1.2 研究意义在计算机网络已经成为了最大的信息源的今天，使用方便的同时也给我们带来了巨大的隐患，那就是安全。为此，有很多需要加密信息不得不采用专线的方式来传输，一些保密强度较高的单位也需要利用专线来交流，但是物理链路的昂贵造价不仅仅让发送方需要承受高额的费用，也让社会资源在不断的浪费。vpn技术的出现正好解决了这一难题。vpn通过在公用网络中建立一条逻辑意义上的专线，实现了以往的物理链路专线的功能，这一功能不仅节约了在建造物理链路时需要承受的高额费用与维护时需要的大量人工费用，也更加的保证了数据的完整性、可靠性。目前，对vpn技术的研究是网络安全问题中的研究重点和热点。第 i 页 共 34 页1.3 研究现状专用网（private networks）技术的演进经历了30多年，美国于1960年代末，通过租用at&t专线建立了世界上第一个专用网。vpn是专用网家族的最新发展，国内外许多研究机构和国际标准化组织都致力于vpn标准的制定和推广。目前vpn的国际标准还未成熟，但基于ipsec的ip vpn逐渐被广泛看好。用于保障qos的基于多协议标记交换mpis的vpn方案亦在发展中。由此可见，现对vpn的研究，正处在一个高速成长的发展阶段，vpn已成为计算机网络信息系统的重大发展方向之一。互联网技术的快速发展及其应用领域的不断推广，使得许多部门（如政府、外交、军队、跨国公司）越来越多地考虑利用廉价的公用基础通信设施构建自己的专用广域网络，进行本部门数据的安全传输，加之现在较多vpn厂商的市场竞争力度愈发的缩水，各厂商都在大力的推广，这些因素都客观上促进了vpn在理论研究和实现技术上的发展。1.4 内容安排本文主要论述了vpn在当代网络中的地位、研究的意义、发展前景、分类以及vpn在实际构建中所用到的理论知识等。并且以我校与分校区为例，设想构建一个vpn专线。过程中所用到的理论知识文中都有涉及，且实验所需要的理论依据也都是根据本文而来。本文在第1章绪论部分已经简要的介绍了vpn的研究背景，说明了vpn技术在网络安全中的重要性，并对现阶段我国的网络安全问题做了简要分析。针对当前社会背景下对vpn技术的研究意义与现状进行了概括，强调了vpn研究在网络安全发展过程中的必要性，阐述了国内外研究机构与国际标准化组织对vpn标准化的制定、推广程度，分析了社会各领域对vpn的使用情况与需求情况所推动的vpn未来发展的速度、前景与方向。在第2章的内容中，本文就vpn技术的相关理论进行了概括归纳，主要为vpn的简单介绍、vpn的实现原理、vpn的分类、隧道协议、安全问题等。通过对相关理论知识的研究并结合自己所学以及指导老师的引导，本文在第3章详细的介绍了针对xxxxxx学院与小教分院的实际情况进行的需求分析，并在模拟环境下模拟出了物理结构进行了实验，记录下了使用windows server 2008内置路由和远程访问功能构建vpn的详细过程及过程结果分析。第2章 相关理论2.1 vpn的概述vpn定义为通过一个公用网络建立的一个临时的、稳定的、安全的连接。是一条穿过混乱的公用网络的安全、稳定的隧道。它是对企业内部网的扩展，是倚靠internet服务提供商isp和网络服务提供商nsp，在公共网络中建立的虚拟专用通信网络。 图 2-1 vpn连接图如图2-1，通过vpn可以帮助出差员工、公司异地办事处、合作伙伴及分支机构同公司的总部建立可信的安全连接，并保证数据的安全传输。vpn可用于不断增长的移动用户的全球因特网接入，以实现安全连接：可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到合作伙伴和用户的安全外联网。2.2 vpn实现原理有很多种方法可以实现vpn。目前大家经常看到的有mpls、ipsec、l2tp/pptp、ssl等类型。众所周知，由于公共ip的短缺，我们在组建局域网时，通常使用保留地址作为内部ip，这些保留地址internet上是无法被路由的，所以在正常情况下我们无法直接通过internet访问到在局域网内的主机。为了实现这一目的，我们需要使用vpn隧道技术，其实现过程可以通过下面的图2-2说明：图 2-2 vpn隧道技术1.通常情况下，vpn网关采用双网卡结构，外网卡使用公共ip接入internet；2.如果网络一的终端a需要访问网络二的终端b，其发出的访问数据包的目标地址为终端b的ip （内部ip）；3.网络一的vpn网关在接收到终端a发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的vpn技术不同而不同，同时vpn网关会构造一个新的数据包（vpn数据包），并将封装后的原数据包作为vpn数据包的负载，vpn数据包的目标地址为网络二的vpn网关的外部地址； 4.网络一的vpn网关将vpn数据包发送到internet，由于vpn数据包的目标地址是网络二的vpn网关的外部地址，所以该数据包将被internet中的路由正确地发送到网络二的vpn网关；5.网络二的vpn网关对接收到的数据包进行检查，如果发现该数据包是从网络一的vpn网关发出的，即可判定该数据包为vpn数据包，并对该数据包进行解包处理。解包的过程主要是先将vpn数据包的包头剥离，再将负载通过vpn技术反向处理还原成原始的数据包；6.网络二的vpn网关将还原后的原始数据包发送至目标终端，由于原始数据包的目标地址是终端b的ip，所以该数据包能够被正确地发送到终端b。在终端b看来，它收到的数据包就从终端a直接发过来的一样； 7.从终端b返回终端a的数据包处理过程与上述过程一样，这样两个网络内的终端就可以相互通讯了。 通过上述说明我们可以发现，在vpn网关对数据包进行处理时，有两个参数对于vpn隧道通讯十分重要：原始数据包的目标地址（vpn目标地址）和远程vpn网关地址。根据vpn目标地址，vpn网关能够判断出对哪些数据包需要进行vpn处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程vpn网关地址则指定了处理后的vpn数据包发送的目标地址，即vpn隧道的另一端vpn网关地址。由于网络通讯是双向的，在进行vpn通讯时，隧道两端的vpn网关都必须知道vpn目标地址和与此对应的远端vpn网关地址。2.3 vpn的几种常见类型vpn的分类方式比较混乱。不同的生产厂家在销售它们的vpn产品时使用了不同的分类方式，它们主要是产品的角度来划分的。不同的isp在开展vpn业务时也推出了不同的分类方式，他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法，主要是根据自己的需求来进行的。下面简单介绍从不同的角度对vpn的分类。 1.按接入方式划分这是用户和运营商最关心的vpn划分方式。一般情况下，用户可能是专线上网的，也可能是拨号上网的，这要根据用户的具体情况而定。建立在ip网上的vpn也就对应的有两种接入方式：专线接入方式和拨号接入方式。1）专线vpn：它是为已经通过专线接入isp边缘路由器的用户提供的vpn解决方案。这是一种“永远在线”的vpn，可以节省传统的长途专线费用。2）拨号vpn（又称vpdn）：它是向利用拨号pstn或isdn接入isp的用户提供的vpn业务。这是一种“按需连接”的vpn，可以节省用户的长途电话费用。需要指出的是，因为用户一般是漫游用户，是“按需连接的，因此vpdn通常需要做身份认证（比如利用chap和radius）2.按协议实现类型划分这是vpn厂商和isp最为关心的划分方式。根据分层模型，vpn可以在第二层建立，也可以在第三层建立（甚至有人把在更高层的一些安全协议也归入vpn协议。）1）第二层隧道协议：这包括点到点隧道协议（pptp）、第二层转发协议（l2f），第二层隧道协议（l2tp）、多协议标记交换（mpls）等。2）第三层隧道协议：这包括通用路由封装协议（gre）、ip安全（ipsec），这是目前最流行的两种三层协议。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装，其中gre、ipsec和mpls主要用于实现专线vpn业务，l2tp主要用于实现拨号vpn业务（但也可以用于实现专线vpn业务），当然这些协议之间本身不是冲突的，而是可以结合使用的。3.按vpn的服务类型划分根据服务类型，vpn业务大致分为三类：接入vpn（access vpn）、内联网vpn(intranet vpn)和外联网vpn（extranet vpn）。通常情况下内联网vpn是专线vpn。1）接入vpn：这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的vpn方式。远程用户一般是一台计算机，而不是网络，因此组成的vpn是一种主机到网络的拓扑模型。需要指出的是接入vpn不同于前面的拨号vpn，这是一个容易发生混淆的地方，因为远程接入可以是专线方式接入的，也可以是拨号方式接入的。2）内联网vpn：这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的vpn。3）外联网vpn：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的vpn（主要在安全策略上有所不同）。4.按vpn业务层次模型划分这是根据isp向用户提供的vpn服务工作在第几层来划分的（注意不是根据隧道协议工作在哪一层划分的）。1）拨号vpn业务（vpdn）：这是第一种划分方式中的vpdn（事实上是按接入方式划分的，因为很难明确vpdn究竟属于哪一层）。2）虚拟租用线（vll）：这是对传统的租用线业务的仿真，用ip网络对租用线进行模拟，而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。3）虚拟专用路由网（vprn）业务：这是对第三层ip路由网络的一种仿真。可以把vprn理解成第三层vpn技术。4）虚拟专用局域网段（vpls）：这是在ip广域网上仿真lan的技术。可以把vpls理解成一种第二层vpn技术。2.4 vpn隧道及隧道协议如图2-3，隧道技术使用一种协议封装另外一种协议报文，而封装协议本身也可以被其他封装协议所封装或承载。对用户来说，隧道是其pstn/isdn链路的逻辑延伸，在使用上与实际物理链路相同。隧道技术支持各种接入形式，与接入方式无关，它可以拨号方式接入、cable modem方式、xdsl以及isdn方式、e1专线和无线接入方式等。internettunnelip包头加密后的数据包vpn设备未加密的数据包解密后的数据包 图 2-3 vpn隧道vpn隧道需要完成的功能包括：1）封装原始数据2）实现隧道两端的点到点连通3）定时检测vpn隧道的连通性4）vpn隧道的安全性5）vpn隧道的qos特性评价和选择隧道技术也主要是根据上述几个方面进行。下面介绍常见的隧道：1.gre隧道gre隧道使用gre协议封装原始数据报文，基于公网实现数据的透明传输。gre隧道不能配置二层信息，但可以配置ip地址。利用为隧道指定的实际物理接口完成转发，转发过程可以简单描述如下：所有去往远端vpn的报文先发送到tunnel源端。在tunnel源端进行gre封装，填写tunnel建立时所确定的tunnel源ip和目的ip。通过公网转发到远端vpn网络。2.ipsec隧道ipsec是ietf制定的一个框架协议，用于保证在internet上传送数据的安全保密性。ipsec提供传输模式和隧道模式两种操作模式，隧道模式的封装过程为：首先为需要通信的两个私有网络地址定义一个ip流，流的建立可以使用ip层以上某个协议的端口。定义ipsec隧道的源和目的地址信息，这个源和目的地址是公网信息。配置缺省路由，下一跳指向ipsec隧道源地址所在链路的对端地址。在进行vpn通信时，所有去往对端vpn的报文在出接口时进行ipsec封装，到对端后拆封装，然后再进行转发。3.l2tp隧道l2tp有v2和v3两个版本，提供对l2tpv2的支持，其封装形式如图2-4所示：图 2-4 l2tpv2的报文封装格式l2tpv2支持ppp方式的二层封装，通过udp承载。l2tpv2应用于vpdn，只要实现l2tp就可以完成vpdn的功能。l2tp隧道支持拥塞控制和隧道端点验证。在l2tp隧道两端建立ipsec安全机制可以保证vpdn的安全性。4.lsp 在mpls网络中，边缘路由器对报文打上mpls标签，网络内部路由器根据标签对报文进行转发。标签报文所经过的路径称为标签交换路径lsp（label switched path）。vpn既可以让客户连接到公网所能够达到的任何地方，也可以容易地解决保密性、安全性、可管理性等问题，降低网络的使用成本。vpn的具体实现是采用隧道技术，在公网中建立企业之间的链接，将用户的数据封装在隧道中进行传输。隧道技术与接入方式无关，它可以支持各种形式的接入，如拨号方式接入、cable modem、xdsl以及isdn、e1专线和无线接入等。一个隧道协议通常包括以下几个方面：1）乘客协议被封装的协议，如ppp、slip；2）封装协议隧道的建立、维持和断开，如l2tp、ipsec等；3）承载协议承载经过封装后的数据包的协议，如ip和atm等。目前因特网上较为常见的隧道协议大致有两类：第二层隧道协议pptp、l2f、l2tp和第三层隧道协议gre、ipsec。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。其中gre和ipsec主要用于实现专线vpn业务，l2tp主要用于实现拨号vpn业务，也可用于实现专线vpn业务。2.5 vpn的安全问题vpn直接构建在公用网上，其实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其vpn上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。vpn的安全措施包括以下方面： 1.隧道与加密：隧道能实现多协议封装，增加vpn应用的灵活性，可以在无连接的ip网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。 2.数据验证：在不安全的网络上，特别是构建vpn的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。采用数据验证可以使接收方识别这种篡改，保证了数据的完整性。 3.用户验证：vpn可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于access vpn和extranet vpn具有尤为重要的意义。 4.防火墙与攻击检测： 防火墙用于过滤数据包，防止非法访问，而攻击检测则更进一步分析数据包的内容，确定其合法性，并可实时应用安全策略，断开包含非法访问内容的会话链接，并产生非法访问记录。vpn可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的公用网络上，一个企业的虚拟专用网将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。要实现这些功能需要我们构建一个合理的vpn方案。2.6 构建vpn的要求根据不同的需求、选择适合自身业务和网络需求的方案，并综合考虑产品的性能、特点和整体投资，是企事业it人员甚至高层决策的根本出发点。一些对数据的稳定性和保密性要求特别高的用户，例如银行、证券、重要的政府机关等等，绝对禁止网络接入internet，当然会优先考虑采用专用线路。即使选择vpn产品也存在着不同的层次，有适合大型企业的产品、有适合中等规模网络的产品、也有适用于小企业的产品；不同层次的产品又有不同的性能、技术特点和价格。但无论哪个层次的vpn产品，由于其在internet上构建网络平台的共同特征，有以下几点是用户在选择vpn时都必须考虑的问题：1.稳定性：vpn是企业的基础网络平台之一，企业的很多应用系统都将在vpn平台上进行。所以，vpn系统的稳定性必须满足企业的业务应用需要，而不能出现经常性的网络中断，导致业务的中断。一般来说，规模越大的企业、对vpn平台的使用越频繁，对稳定性的要求就越高。也有部分中小规模的企业，由于其对系统的依赖性非常强，所以也需要稳定的vpn网络。2.安全性：vpn网络的运行基础是internet，所有的数据也必须经过internet进行交换，而这些数据都是企业的私密信息、不允许为无关人员所知，同时vpn网络是在开放的internet平台之上构建的虚拟网络，也必须保证没有获得授权的用户无法接入vpn网络。所以，综合考虑用户的具体应用和需求，vpn网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。3.速度：虽然说现有的宽带已经远远好于过去的窄带网络（如modem），但用户对带宽的要求是无止境的。另外，由于vpn网络承载的是企业的内部应用，如文件共享、拷贝等，习惯了局域网内10m/100m速度的用户，对速度的要求也非常高，应用的速度也会极大的影响企业的运作效率。vpn由于对数据进行了安全性的封装，同时进行了加密处理，从原理上说、就会比实际的internet接入带宽要低。高端的vpn处理速度快，而低端的设备由于处理器性能较差极大的影响了vpn速度。2.7 构建vpn的步骤1.建立vpn网络之前，应首先考虑整个vpn架构，是实现远程局域网互联，还是提供远程用户访问，还是两者兼有。针对不同的要求，vpn有三种解决方案：远程访问虚拟网（access vpn）、企业内部虚拟网（intranet vpn）和企业扩展虚拟网（extranet vpn）。2.另外还要考虑vpn隧道连接的启动方式，是单向启动还是双向。若vpn隧道需长时间工作，则可采用单向启动隧道连接，在这种方式下，通常将总部vpn路由器作为vpn服务器，只能接受隧道建立请求；分支vpn路由器作为vpn客户机，只能请求建立隧道。若隧道按需建立，可考虑采用双向启动连接。3.要确定选择何种vpn隧道协议。4.要决定选择硬件vpn还是软件vpn方案。vpn的加密传输机制需要系统开销，硬件vpn的加密和解密由硬件完成，因此性能较好。软件vpn方案价格低廉且更具灵活性，但在性能及安全性上不及硬件vpn。实际应用中可采取软硬结合，以现有网络设备为基础，再配以适当的vpn软件来实现vpn。2.8 构建vpn的安全问题及解决方法为了实现网络信息系统的安全目标，保证内部网与公网之间信息安全传输，实现不同层级互访的加密保护、访问控制和安全身份认证等安全措施，需要为vpn网络设计安全解决方案。为了实现vpn的授权用户与企业局域网资源的自由连接、不同分支机构之间的资源共享，并且能够确保企业数据在公网或企业内部网上传输时安全性不受到破坏，可行的vpn方案必须满足以下所有要求：1.用户验证。vpn方案必须能够验证用户身份并严格控制只有授权用户才能访问vpn。另外，方案还必须能够提供审计和计费功能，显示何人在何时访问了何种信息。2.地址管理。vpn方案必须能够为用户分配专用网络上的地址并确保地址的安全性。3.数据加密。对通过公网传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。4.密钥管理。vpn方案必须能够生成并更新客户端和服务器的加密密钥。5.多协议支持。vpn方案必须支持公共互联网络上普遍使用的基本协议，包括ip等。第3章 虚拟环境下xxxxxx学院的vpn构建3.1 需求分析本次实验将要完成的是模拟xxxxxx学院主校区与分校区之间的物理链路环境，通过vpn的构建，实现两个校区间数据的虚拟专线传输。vpn技术的用法有很多种，vpn的构建方式也多不胜数，但我认为针对于学校主、分校区之间的vpn建设应该基于成本低、易使用、易维护、易扩展的特点，故此选择了使用windows server 2008的内置拨号vpn功能。在我分析看来，学校构建的vpn主要的用途将用在一些试卷的传输、学生实验平台的搭建、文件的传达等，所以在此基础上我选择了使用配置较高的pc或小型服务器作为主、分校区的服务器，而不是如企业或银行等保密性较高的机构中使用的一些硬件vpn来构建vpn专线。本次实验本着成本低、使用便捷的原则，通过两台服务器或高性能pc机作为两个校区的vpn服务器，使用windows server 2008内置的路由和远程访问功能分别构建主校区服务器与分校区服务器拨号vpn，以达到每一位用户都可以主动发出连接请求并建立连接，实现数据专线传输的目的。根据上述情况，我简单的模拟了xxxxxx学院主校区与分校区之间的网络拓扑情况，请见图3-1。图 3-1 xxxxxx学院主、分校区网络拓扑通过图3-1可以看出主校区终端通过正常的网络互联设备连接到了主校区服务器上，此服务器就是本次实验的主要组成部分vpn服务器。我将在此服务器上安装windows server 2008操作系统，并安装网络策略和访问服务，使用系统内置的路由和远程访问功能来实现分校区终端对主校区终端的访问。而之所以在主校区和分校区设计了两个相同结构的拓扑是因为考虑到了主动连接的关系。因为按照我的设计来看，vpn构建的成本是比较低的，所以完全可以有能力承受上述的设计方法。同样的，在分校区的vpn服务器上，也将通过windows server 2008内置的功能构建拨号vpn，我将这种vpn构建方式称之为“交叉vpn”。虽然上述设计方案存在着冗余的网络结构，但我认为从主动性的角度来看，这份冗余是很有必要的，因为如果是传统的拨号vpn，只有在一方拨通服务器建立连接后，另一方才可以发起会话。而通过上述方法构建的vpn却可以非常灵活的实现主动的试卷安全传输、学生实验平台的建设、以及上级部门下发保密文件或重要信息的传达。其中尤其是学生实验平台的建设，可以通过设置用户权限来控制学生的访问范围。假如xxxxxx学院主校区将要搭建一个只能在内网访问的图书在线阅览及资料查询网站的话，分校区的学生就可以通过vpn拨入主校区的服务器进行访问。而主校区的学生也可以很方便的通过这样的方式与分校区的学生在分校区的内网上搭建的论坛上进行交流。冗余结构的设计正是为了能让数据的传输、信息的交流变的更加的主动、更加的灵活。3.2 实验环境与操作简述本次实验所使用的设备都是通过虚拟环境所实现的，如果通过物理设备在真实的网络环境下构建，理论上可行，但不排除与实验有差距的情况发生。本次实验用到装有2块网卡的虚拟服务器2台（主校区服务器、分校区服务器），分别安装了windows server 2008，并安装了路由和远程访问功能。2台安装了windows xp系统的pc机作为主、分校区的终端。主校区服务器的lan端口，也就是内网ip地址与主校区终端在同一网段192.168.0.0/24内。wan端口，也就是外网ip地址与分校区终端在同一网段192.168.20.0/24内（实际情况下分校区终端到主校区服务器之间的连接是通过vpn技术在internet上进行连接，实验中没有具体环境所以设置为同一网段，物理链路中不需考虑此情况），在主校区服务器上通过路由和远程访问功能配置vpn，并为分校区建立一个公用帐户fxq，设置其拨入权限。之后在分校区终端上创建一个vpn的专用连接，用于连接主校区的vpn服务器，已达到通过主校区服务器访问主校区终端的目的。这里值得一提的是，本次实验用到的都是静态的ip地址，并没有用到dhcp技术，如在实际操作中需要用到dhcp技术的话，还需要在vpn服务器端配置nat转换功能。分校区与主校区的配置方法基本相同，分校区的服务器lan端口，也就是内网ip地址与分校区终端在同一网段192.168.20.0/24内。wan端口，也就是外网ip地址与主校区终端在同一网段192.168.0.0/24内。如此设计ip地址是因为实验所用的环境是使用hyper-v构建的虚拟环境，由于没有真实的internet接入所以主校区服务器与分校区服务器的wan端口的ip地址都是根据主、分校区的终端进行设置的，如在真实环境下终端通过路由器连接internet，自然不需要考虑此项设置。3.3 实际操作过程如图3-1所示，物理结构已构建完成，开始配置主校区服务器。1 首先在主校区服务器上分别配置两块网卡的ip，wan端口ip为192.168.20.1，lan端口ip为192.168.0.1，请见图3-2、图3-3。图 3-2 主校区服务器wan端口ip图 3-3 主校区服务器lan端口ip2 在主校区服务器上安装网络策略和访问服务路由和远程访问服务。如图3-4所示。图 3-4 安装windows server 2008 网络策略和访问服务 3 进入开始管理工具路由和远程访问配置vpn，见图3-5。图 3-5 打开路由和远程访问4 在服务器主机名上单击右键，弹出对话框后选择配置并启动路由和远程访问功能，如图3-6所示。图 3-6 配置并启用路由和远程访问功能 5 选择可以通过internet远程访问此服务器的远程访问选项，请见图3-7。图 3-7 选择远程访问（拨号或vpn）6 配置vpn服务器，如图3-8所示。图 3-8 选择vpn7 设置一个连接到internet的网络接口，也就是之前设置好的主校区服务器的wan端口，并将筛选ip地址的选项勾选掉，如图3-9所示。图 3-9 设置外网端口，并不对来访端口进行筛选8 指定一个静态的地址范围，用于分配给来访用户，这里经常出现错误的是，所给定的静态地址范围一定要与主校区的内网在同一网段，也就是192.168.0.0/24，因为服务器要分配给来访用户一个可访问本地终端的ip，所以必须在同一网段，如图3-10、图3-11所示。图 3-10 设置一个指定的地址范围图 3-11 给定具体的静态地址范围9 主校区服务器的路由和远程访问功能已经配置完成了，这时需要设置一个公用帐号来访问此服务器，开始管理工具计算机管理本地用户和组用户右键新建用户，如图3-12所示。图 3-12 为分校区用户增加一个公用帐户10 填写公用帐户fxq的用户信息，并设置密码更改权限为用户不可更改，密码为123qwe！#。请见图3-13。图 3-13 新增帐户信息11 右键单击新添加用户fxq，为新添加的用户fxq设置网络访问权限为允许访问，如图3-14所示。图 3-14 设置拨入权限12 为主校区终端设置ip地址为192.168.0.2，图3-15。图 3-15 设置主校区终端ip地址13 设置分校区终端的ip地址为192.168.20.2，图3-16。图 3-16 设置分校区终端ip地址14 在分校区终端创建一个新的vpn拨号连接，用于访问主校区服务器。在分校区终端右键单击网上邻居属性创建一个新的连接，如图3-17所示。图 3-17 在分校区终端建立一个新的连接用于vpn的专线连接15 配置新创建的连接，选择使用拨号或vpn方式，如图3-18所示。图 3-18 连接到我的工作场所的网络16 选择通过虚拟专用网络连接，也就是本文所主要论述的vpn技术，如图3-19所示。图 3-19 虚拟专用网络连接17 输入所要访问的服务器名为xxxxxx学院主校区服务器，请见图3-20。图 3-20 设置新连接名称18 设置所要访问的目的地址为主校区服务器wan端口的ip地址192.168.20.1，如图3-21所示。图 3-21 设置目的地址19 新连接建立完成，输入在主校区服务器上建立的用户fxq的用户名及密码访问主校区服务器，如图3-22所示。图 3-22 连接主校区服务器20 连接完成，使用ping命令测试与主校区终端192.168.0.2的连通性，请见图3-23。图 3-23 测试与主校区终端的连通性21 分校区访问主校区的vpn连接已建立完成，并且也成功与主校区终端进行了通信。完成了主校区与分校区的数据交换，但本次实验之所以要设置2台vpn服务器的意义就在于此，上述步骤确实完成了分校区到主校区的访问，而在连接之后，主校区也可以访问分校区，但主校区的访问却是被动的，所以要在分校区服务器上也进行上述步骤，来设置分校区的vpn服务器。其中不同的是在为来访用户分配静态ip时，所设置的地址范围应与分校区服务器lan端口，也就是分校区的内网在同一网段192.168.20.0/24。而在主校区终端创建新连接时所设置的vpn服务器的ip地址应为分校区服务器的