20vpn服务器的配置

Linux网络操作系统VPN服务器的配置济南铁道职业技术学院复习—包过滤防火墙防火墙的概念和功能防火墙的分类Linux下的防火墙利用IPTABLES构建防火墙主要内容VPN简介VPN工作原理VPN数据传输协议VPN服务器的构建(CIPE)引言问题提出：某公司A，各个部门之间的距离比较远，公司的整个网络无法包容到一个局域网中，为保证各个局域网中信息的安全传输和便于管理，应采用何种措施？解决方案：在各个局域网之间架设专用线路，建立点到点连接，组成一个广域网。采用VPN技术，建立一个虚拟专用网。虚拟专用网络VPN

VPN是虚拟专用网络（VirtualPrivateNetwork）的简称。它是在公有网络之上建立起来的私有网络，用户在使用私有网络的时候，感觉就像是使用专有线路连接起来的网络一样，其传输通道具有私密性和独有性，但实际的数据传输是通过公有网络进行的，因此称为虚拟专用网。VPN工作原理VPN服务器Internet适配器Intranet适配器公司内部网络VPN远程访问客户机Internet隧道

VPN的关键技术实现VPN的关键技术主要包括：安全隧道技术加密技术身份验证VPN数据传输协议ClientServerPPTP基于IP的互联网络没有报头压缩没有隧道身份验证采用PPP加密L2TP基于多种广域网络连接介质如帧中继,IP,X.25.报头压缩隧道身份验证使用IPSec

加密InternetPPTPorL2TPVPN的安全协议(一)PPTP－PointtoPointTunnelProtocal(点对点隧道协议)通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。VPN的安全协议(二)L2TP－Layer2TunnelingProtocol(第二层隧道协议)PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP还支持信道认证。VPN的安全协议(三)IPSEC—InternetPortocolSecurity(因特网协议安全)它用于确保网络层之间的安全通信。采用VPN所带来的好处(1)降低费用。(2)增强的安全性。(3)网络协议支持。(4)IP地址安全。

Linux下实现VPN

实现VPN的软件——CIPE

CIPE（CryptoIPEncapsulation）加密IP封装。CIPE的安装和配置#rpm-ivh

cipe-1.4.5-9.i386.rpm

CIPE的配置

CIPE的配置文件和启动流程

实例配置检测CIPE的设置

CIPE的配置文件和启动流程

要启动CIPE守护进程建立VPN连接，需要以下几个配置文件和启动脚本：

/etc/cipe/options.cipcb*/etc/cipe/ip-up/etc/cipe/ip-up.local/etc/sysconfig/network-scripts/ifcfg-cipcb*/etc/sysconfig/network-scripts/ifup-cipcb/etc/sysconfig/network-scripts/ifdown-cipcb其中前三个文件是网络接口或CIPE守护进程的配置文件,后三个文件是CIPE网络接口的启动脚本。

启动CIPE接口启动CIPE接口有两种方式：1.在系统启动时，和其他网络接口一起启动；2.在系统启动后，用ifup和ifdown命令来控制接口的启动和关闭。案例讲解网络环境：子网A：网络地址10.0.0.0/24；GA是网关主机，它的内部接口是eth1，IP地址是10.0.0.1，外部接口是eth0，IP地址是20.0.0.1。子网B：网络地址30.0.0.0/24；GB是网关主机，它的内部接口是eth1，IP地址30.0.0.1，外部接口是eth0，IP地址是20.0.0.2。GALinux7-1VPN服务器20.0.0.110.0.0.2

VPN客户端返回GBLinux7-2VPN服务器20.0.0.230.0.0.230.0.0.1

10.0.0.1

拓扑图

局域网内部服务器子网A的网关配置

编辑如下配置文件：/etc/sysconfig/network-scripts/ifcfg-cipcb0文件

/etc/cipe/options.cipcb0

/etc/cipe/ip-up

用ifup命令启动cipcb0接口。/etc/sysconfig/network-scripts/ifcfg-cipcb0#Thesefirstfourshouldbeselfexplanatory.Changeasrequired.DEVICE=cipcb0ONBOOT=yesBOOTPROTO=noneUSERCTL=no

#ThisisthedeviceforwhichweaddahostroutetoourCIPEpeerthrough.#Youmayhardcodethis,butifleftblank,wepuntandtrytoguessfrom#theroutingtableinthe/etc/cipe/ip-up.localfile.PEERROUTEDEV=cipe0/etc/cipe/options.cipcb0

device cipcb0ipaddr 40.0.0.40ptpaddr 50.0.0.50mask 255.255.255.0me 20.0.0.1:60000peer 20.0.0.2:60000key b0069d4c38ea87b13b6a4d6df2424c9b

/etc/cipe/ip-up

umask022PATH=/sbin:/bin:/usr/sbin:/usr/binrouteadd-host10.0.0.1devcipcb0routeadd-net10.0.0.0/24gw50.0.0.50[-x/etc/cipe/ip-up.local]&&/etc/cipe/ip-up.local$*exit0子网B的网关配置

编辑如下配置文件：/etc/sysconfig/network-scripts/ifcfg-cipcb0文件

/etc/cipe/options.cipcb0

/etc/cipe/ip-up

用ifup命令启动cipcb0接口。/etc/sysconfig/network-scripts/ifcfg-cipcb0

#Thesefirstfourshouldbeselfexplanatory.Changeasrequired.DEVICE=cipcb0ONBOOT=yesBOOTPROTO=noneUSERCTL=no

#ThisisthedeviceforwhichweaddahostroutetoourCIPEpeerthrough.#Youmayhardcodethis,butifleftblank,wepuntandtrytoguessfrom#theroutingtableinthe/etc/cipe/ip-up.localfile.PEERROUTEDEV=cipe0

/etc/cipe/options.cipcb0

device cipcb0ipaddr 50.0.0.50ptpaddr40.0.0.40mask 255.255.255/0me 20.0.0.2:60000peer 20.0.0.1:60000key b0069d4c38ea87b13b6a4d6df2424c9b/etc/cipe/if-up

umask022PATH=/sbin:/bin:/usr/sbin:/usr/binrouteadd-host30.0.0.1devcipcb0routeadd-net10.0.0.0netmask255.255.255.0gw40.0.0.40[-x/etc/cipe/ip-up.local]&&/etc/cipe/ip-up.local$*exit0

检测CIPE的设置

用