第7章虚拟专用网

第7章虚拟专用网,学习目标,了解虚拟专用网的分类、特点和实现技术；清楚远程VPN和站点到站点VPN的区别及应用场合；掌握服务器的VPN配置和测试；掌握路由器的VPN配置和测试；掌握锐捷VPN设备的配置和测试；培养在实验中分析问题和解决问题的能力。,学习内容,7.1虚拟专用网介绍7.2远程VPN7.3站点到站点的VPN7.4服务器的VPN配置7.5路由器的VPN配置7.6锐捷VPN设备基础7.7锐捷VPN虚拟专用网配置,7.1虚拟专用网介绍,7.1虚拟专用网介绍,利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，VirtualPrivateNetwork），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等,7.1虚拟专用网介绍,VPN的主要功能加密：通过网络传输分组之前，发送方可对其进行加密。这样，即使有人窃听，也无法读懂其中的信息数据完整性：接收方可检查数据通过internet传输的过程中是否被修改来源验证：接收方可验证发送方的身份，确保信息来自正确的地方VPN连接的主要优点费用更低业务更灵活简单化了管理工作隧道化网络拓扑降低了管理负担,7.1虚拟专用网介绍,1虚拟专用网的分类二层隧道协议主要有三种：PPTP（PointtoPointTunnelingProtocol，点对点隧道协议）L2F（Layer2Forwarding，二层转发协议）L2TP（Layer2TunnelingProtocol，二层隧道协议）。三层隧道协议主要有三种GenericRoutingEncapsulation（GRE）协议IPSec协议,7.1虚拟专用网介绍,1虚拟专用网的分类按VPN的应用分类远程访问虚拟网（AccessVPN）企业内部虚拟网（IntranetVPN）企业扩展虚拟网（ExtranetVPN）,7.1虚拟专用网介绍,1虚拟专用网的分类按VPN的应用分类企业扩展虚拟网（ExtranetVPN）ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。,7.1虚拟专用网介绍,1虚拟专用网的分类按所用的设备类型进行分类路由器式VPN路由器式VPN部署较容易，只要在路由器上添加VPN服务即可。交换机式VPN主要应用于连接用户较少的VPN网。防火墙式VPN防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型。,7.1虚拟专用网介绍,虚拟专用网的特点成本低通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。连接方便灵活用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。完全控制虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。,7.1虚拟专用网介绍,VPN主要采用四项技术隧道技术(Tunneling)；加解密技术(Encryption&Decryption)；密钥管理技术(KeyManagement)；使用者与设备身份认证技术(Authentication)。,7.2远程VPN,7.2远程VPN,远程访问VPN是一台独立的VPN客户计算机向VPN服务器发起的VPN连接，Windows的远程访问VPN服务是作为路由和远程访问服务（RRAS）的一个组件来提供，它支持PPTP或者L2TP/IPSec协议的VPN连接。在这篇文章中，我给大家介绍如何在WindowsServer2003中部署远程访问VPN服务，从而支持VPN客户端使用PPTP和L2TP/IPSec协议进行远程访问VPN连接。,7.2远程VPN,VPN部署需要考虑四个方面身份验证方式（Windows或RADIUS）身份验证方法（MS-CHAP、MS-CHAPv2、EAP-TLS）用户拨入授权方式（显式允许访问或远程访问策略授权）VPN客户地址分配方式（使用内部网络中的DHCP服务或者使用静态IP地址范围）对于L2TP/IPSec，你还需要部署证书服务。,7.3站点到站点的VPN,7.3站点到站点的VPN,站点到站点VPN连接是一种请求拨号连接，它使用VPN隧道协议(PPTP或L2TP/IPSec)来连接不同的专用网络，连接两端的每个VPN服务器都提供一个到达自己所属本地专用网络的路由连接。,7.3站点到站点的VPN,和远程访问VPN的区别它是将一台单独的计算机连接到网络中不同，站点到站点VPN连接整个网络。当两台VPN服务器创建站点到站点VPN连接后，连接两端的VPN所属的专用网络均可以访问另一端的远程网络，就像访问本地网络一样。,7.3站点到站点的VPN,站点到站点VPN连接默认情况下，站点到站点VPN连接是请求拨号连接，只有当网络流量必须通过此接口转发(需要转发IP数据包到对应的远程网络)时才建立连接。此时呼叫路由器(VPN客户端)初始化这个连接，应答路由器(VPN服务器)侦听连接请求，接收来自呼叫路由器的连接请求，并根据请求建立连接，并且在空闲一定时间(默认为5分钟)后断开连接。你可以配置连接为永久连接方式，此时，VPN服务器会保持此连接的连接状态，如果连接中断则立即重新初始化连接。,7.3站点到站点的VPN,站点到站点VPN连接为了避免呼叫路由器建立不需要的连接，您可以按照以下两种方式来限制呼叫路由器建立请求的站点到站点VPN连接IP请求拨号筛选器。你可以使用请求拨号筛选来决定哪种类型的IP流量不能导致请求拨号连接的建立，也可以配置哪种类型的IP流量可以导致连接的建立。配置请求拨号筛选的方法是：在路由和远程访问管理单元的网络接口节点中右击请求拨号接口，然后单击设置IP请求拨号筛选器。拨出时间。你可以使用拨出时间来配置允许或禁止呼叫路由器建立站点到站点VPN连接的时间段。配置拨出时间的方法是：在路由和远程访问管理单元的网络接口节点中右击请求拨号接口，然后单击拨出时间。你还可以使用远程访问策略来配置允许传入请求拨号路由连接的时间。,7.3站点到站点的VPN,站点到站点VPN连接分类根据初始化的方向，站点到站点VPN连接可以分为单向初始化连接和双向初始化连接。单向初始化连接在单向初始化连接中，一台VPN路由器总是担任呼叫路由器(VPN客户端)，而另一台VPN路由器总是担任应答路由器(VPN服务器)。双向初始化连接双向初始化连接可以看做是两个方向上的单向初始化连接，每个VPN路由器同时是呼叫路由器和应答路由器，向对方进行连接初始化和接受对方的站点到站点VPN连接请求。,7.4服务器的VPN配置,7.4服务器的VPN配置,实训7-1：配置服务器的端到端IPSECVPN实训7-2：配置服务器的远程IPSECVPN,7.5路由器的VPN配置,7.5路由器的VPN配置,实训7-3：配置路由器的端到端IPSECVPN实训7-4：配置路由器的远程VPN,7.6锐捷VPN设备基础,7.6锐捷VPN设备基础,VPN设备介绍RG-WALLV安全网关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备，有效地实现了主/被动安全防御的完美结合。RG-WALLV安全网关采用自主设计的安全操作系统，具有高可用性、高易用性、高扩展性和高安全性。经过简单配置即可方便地在企业总部和分支机构、移动用户以及合作伙伴之间建立安全的信息传输通道，对传输的数据进行有效的安全保护。,7.6锐捷VPN设备基础,VPN设备介绍RG-WALLV160S安全网关设备的前面板RG-WALLV160S安全网关的指示灯描述,7.6锐捷VPN设备基础,VPN设备介绍RG-WALLV160S安全网关的接口两个路由口三个交换口一个R