毕业论文基于虚拟机的vpn实验环境设计与实现

陕西理工学院毕业设计第页共18页基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC（8）05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正（STR）调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试验台控制器的研制基于单片机的软起动器的研究和设计基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究基于单片机的机电产品控制系统开发基于PIC单片机的智能手机充电器基于单片机的实时内核设计及其应用研究基于单片机的远程抄表系统的设计与研究基于单片机的烟气二氧化硫浓度检测仪的研制基于微型光谱仪的单片机系统单片机系统软件构件开发的技术研究基于单片机的液体点滴速度自动检测仪的研制基于单片机系统的多功能温度测量仪的研制基于PIC单片机的电能采集终端的设计和应用基于单片机的光纤光栅解调仪的研制气压式线性摩擦焊机单片机控制系统的研制基于单片机的数字磁通门传感器基于单片机的旋转变压器-数字转换器的研究基于单片机的光纤Bragg光栅解调系统的研究单片机控制的便携式多功能乳腺治疗仪的研制基于C8051F020单片机的多生理信号检测仪基于单片机的电机运动控制系统设计Pico专用单片机核的可测性设计研究基于MCS-51单片机的热量计基于双单片机的智能遥测微型气象站MCS-51单片机构建机器人的实践研究基于单片机的轮轨力检测基于单片机的GPS定位仪的研究与实现基于单片机的电液伺服控制系统用于单片机系统的MMC卡文件系统研制基于单片机的时控和计数系统性能优化的研究基于单片机和CPLD的粗光栅位移测量系统研究单片机控制的后备式方波UPS提升高职学生单片机应用能力的探究基于单片机控制的自动低频减载装置研究基于单片机控制的水下焊接电源的研究基于单片机的多通道数据采集系统基于uPSD3234单片机的氚表面污染测量仪的研制基于单片机的红外测油仪的研究96系列单片机仿真器研究与设计基于单片机的单晶金刚石刀具刃磨设备的数控改造基于单片机的温度智能控制系统的设计与实现基于MSP430单片机的电梯门机控制器的研制基于单片机的气体测漏仪的研究基于三菱M16C/6N系列单片机的CAN/USB协议转换器基于单片机和DSP的变压器油色谱在线监测技术研究基于单片机的膛壁温度报警系统设计基于AVR单片机的低压无功补偿控制器的设计基于单片机船舶电力推进电机监测系统基于单片机网络的振动信号的采集系统基于单片机的大容量数据存储技术的应用研究基于单片机的叠图机研究与教学方法实践基于单片机嵌入式Web服务器技术的研究及实现基于AT89S52单片机的通用数据采集系统基于单片机的多道脉冲幅度分析仪研究机器人旋转电弧传感角焊缝跟踪单片机控制系统基于单片机的控制系统在PLC虚拟教学实验中的应用研究基于单片机系统的网络通信研究与应用基于PIC16F877单片机的莫尔斯码自动译码系统设计与研究基于单片机的模糊控制器在工业电阻炉上的应用研究基于双单片机冲床数控系统的研究与开发基于Cygnal单片机的μC/OS-Ⅱ的研究基于单片机的一体化智能差示扫描量热仪系统研究基于TCP/IP协议的单片机与Internet互联的研究与实现变频调速液压电梯单片机控制器的研究基于单片机γ-免疫计数器自动换样功能的研究与实现基于单片机的倒立摆控制系统设计与实现单片机嵌入式以太网防盗报警系统基于51单片机的嵌入式Internet系统的设计与实现单片机监测系统在挤压机上的应用MSP430单片机在智能水表系统上的研究与应用基于单片机的嵌入式系统中TCP/IP协议栈的实现与应用单片机在高楼恒压供水系统中的应用基于ATmega16单片机的流量控制器的开发基于MSP430单片机的远程抄表系统及智能网络水表的设计基于MSP430单片机具有数据存储与回放功能的嵌入式电子血压计的设计基于单片机的氨分解率检测系统的研究与开发锅炉的单片机控制系统基于单片机控制的电磁振动式播种控制系统的设计基于单片机技术的WDR-01型聚氨酯导热系数测试仪的研制一种RISC结构8位单片机的设计与实现基于单片机的公寓用电智能管理系统设计基于单片机的温度测控系统在温室大棚中的设计与实现基于MSP430单片机的数字化超声电源的研制基于ADμC841单片机的防爆软起动综合控制器的研究基于单片机控制的井下低爆综合保护系统的设计基于单片机的空调器故障诊断系统的设计研究单片机实现的寻呼机编码器单片机实现的鲁棒MRACS及其在液压系统中的应用研究自适应控制的单片机实现方法及基上隅角瓦斯积聚处理中的应用研究基于单片机的锅炉智能控制器的设计与研究超精密机床床身隔振的单片机主动控制PIC单片机在空调中的应用单片机控制力矩加载控制系统的研究项目论证，项目可行性研究报告，可行性研究报告，项目推广，项目研究报告，项目设计，项目建议书，项目可研报告，本文档支持完整下载，支持任意编辑！选择我们，选择成功！项目论证，项目可行性研究报告，可行性研究报告，项目推广，项目研究报告，项目设计，项目建议书，项目可研报告，本文档支持完整下载，支持任意编辑！选择我们，选择成功！单片机论文，毕业设计，毕业论文，单片机设计，硕士论文，研究生论文，单片机研究论文，单片机设计论文，优秀毕业论文，毕业论文设计，毕业过关论文，毕业设计，毕业设计说明，毕业论文，单片机论文，基于单片机论文，毕业论文终稿，毕业论文初稿，本文档支持完整下载，支持任意编辑！本文档全网独一无二，放心使用，下载这篇文档，定会成功！基于虚拟机的VPN实验环境设计1引言在如今开放式交流日益增多的社会，Internet成为主要的交流媒介，随着Internet和信息技术的快速发展，越来越多的企业职工需要将便携式计算机随时随地连接到企业的网络，越来越多的企业建立跨国分公司或分支机构，越来越多的企业依靠网络维护来加强他们与合作伙伴或客户之间的动态联系。所有这些都增加了远程连接成本、网络复杂性，带来了网络的管理和安全性问题。VPN（虚拟专用网，VirtualPrivateNetwork）技术就是在这种形势下应运而生的，它使企业、学校、行政部门能够在公共网络上创建自己的专用网络。于是，各个部门的网络想连接到哪里都可以，保密性、安全性、可管理性的问题也容易解决了，而且还可以降低网络的使用成本。为此，本文将首先VPN做一个全面的介绍，然后对与VPN技术相关的理论知识给予介绍，接着对VPN技术进行了较详细的论述，基于虚拟机软件的一机多系统运行功能，建立有服务器一种实现方案，有着重要的实际推广价值和理论研究意义。2主要技术2.1虚拟机技术虚拟机是指一台在物理计算机上虚拟出来的独立的逻辑计算机，虚拟机可以通过虚拟机软件进行创建。虚拟机技术的出现及虚拟机软件强大的虚拟功能，使得利用有限的实验设备开展以前无法开展的实验成为可能。虚拟技术可以方便地在一个主系统上建立多个同构或者异构的虚拟计算机系统，而且这些系统可以同时运行和来回切换而无需重新启动系统。还可以将这些计算机相互连接起来形成网络。能够利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障，因此，采用计算机虚拟技术可以构建起一个虚拟的实验环境，大部分计算机的实践活动都可以在这样的虚拟环境中完成。2.2VPN技术2.2.1VPN概念VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.2.2VPN功能和特点VPN可以提供的功能：防火墙功能、认证、加密、隧道化。VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows2003等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。VPN主要采用的四项安全保证技术：VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。2.2.3VPN需求虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源，这些资源包括：公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSecVPN来保证公司总部和分支机构以及移动工作人员之间安全连接。2.2.4VPN技术的可行性和必要性VPN的目的在于，利用公共通信网络设施在某一相同的安全策略下将具有某种共同利益的网络和/或主机连接成一个可管理的“自己”的网络。这样一种“自己专用”的网络，无需花钱投资建立和维护远程通信线路和网络设备，同时可在一定程度上对穿过公共通信区域（这是一个充满危险的互不信任的环境）的数据内容保持隐蔽性。这就是说，可以利用VPN技术在公共通信网络基础设施中“虚拟”出一组织机构内通信的某些部分，在利用公共基础设施（带宽、中继或转发设备等）的同时，使通信的部分或全部在外部观察者看来是“不可见的”。由此可见，相对专用网，VPN可以大大降低成本；相对因特网通信，VPN又具有很好的安全性。因此，对于企事业单位、党政机关、金融系统等跨地域组建“自己专用”的网络提供了经济能力可承受且相对安全的技术手段。可以预见，这将是企事业单位、党政机关、金融系统等组成内联网、外联网和实现远程接入网的基本的、主要的方法，与此同时，各种ISP也必将投入更大的力量，为各种用户提供VPN服务。3系统软件安装虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟机支持多系统安装和多系统运行，并且支持所有系统的安装和多网卡扩展，能节省网卡扩展成本，虚拟系统不会降低电脑的性能，启动虚拟系统不需要像启动windows系统那样耗费时间，运行程序更加方便快捷。和更方便的操作。3.1虚拟机安装双击打开虚拟机安装包文件，打开后出现一些提示性息，记录此性息后点击确定按钮，然后选择继续安装虚拟机，再点击系一步。文选用VMwareWorkstationV6.0.2如下图：图3.1虚拟机安装向导点击Next继续，为方便实验，这里选用安装地址为默认C盘，安装类型选择典型安装，弹出注册性息后输入注册码再Next直到点击Install后开始安装，等待几分钟后安装完成，点击Finish后提示重启电脑，选择是重启PC，虚拟机安装完成。图3.2完成安装重启系统后虚拟机就可以正常运行，这时需要在虚拟机里面安装新的系统，这里选择WindowsServer2003EnterpriseEditionSP1，打开虚拟机后，在虚拟机平台右侧点击新建虚拟机，也可以文件—新建—虚拟机创建新的虚拟机。图3.3虚拟机出现新建虚拟机安装向导，一直默认下一步直到虚拟机新建完成，接着安装上下载完成的WindowsServer2003EnterpriseEditionSP1.iso镜像，配置两块网卡（后面VPN建设时需要，这里先配置好，方便下面创建），然后点击左侧窗口的启动该虚拟机，开始安装系统，安装步骤和主机PC安装系统一样。安装完成后启动系统如下图：图3.4WindowsServer2003这里安装系统时计算机名为VPN，用户名vpn-fwq，密码123，进入系统后便可建立VPN。4实验环境设计上面基于虚拟机的VPN试验环境已经顺利设计完成，下面就是VPN实例建设，以校园网VPN建设为例子建立。4.1软硬件配置服务器端：WindowsServer2003系统平台且该机器需配有两块网卡。客户端：Windows系列的系统平台且需配有网卡或者调制解调器，能够通过ISP连接到Internet。4.2实现步骤实现步骤为：1、使用WindowsServer2003服务器的RRAS服务配置VPN服务器；2、在WindowsServer2003上配置VPN客户端。4.3WindowsServer2003配置VPN(PPTP)服务器WindowsServer2003路由和远程访问服务(RRAS)可用来建立使用PPTP或L2TP的VPN连接。VPN连接可以通过两种方法建立：1)路由器到路由器，使两个网络能够通过一个安全链接进行通信。2)用户到远程访问服务器(RAS)，使用户能够通过Interne连接到远程服务器。两种类型的VPN连接都作为使用RAS拨号连接建立。事实上，RRAS处理一个导入申请来建立一个VPN连接的方法类似于处理一个与远程服务器的拨号连接。在这个例子中使用的是第二种方法，即“用户到远程访问服务器(RAS)”。使用WindowsServer2003配置VPN(PPTP)远程访问服务器，首先可以通过向导完成VPN服务器的基本配置，然后再对其“属性”、“端口”、“接口筛选器”和“访问策略”等进行配置。其中“接口筛选器”和“访问策略”的设置对服务器的安全以及用户的访问权限起到了关键作用。4.4VPN远程访问服务器基本配置首先，由程序令管理工具令路由和远程访问进入WindowsServer2003的“路由和远程访可”的微软管理控制台(MMC)，如图4.1：图4.1路由和远程访问界面选择“配置并启用路由和远程访问”运行“路由和远程访问服务器安装向导”。上述过程中可以完成VPN服务器的基本设置。上图为已经安装了服务器，没有通过“路由和远程访问服务器安装向导”时就不存在VPN（本地）选项。如选择用于和Internet连接的网卡(IP为04)、选择用户获取IP的方法或者指定VPN服务器为远程用户提供的地址范围(本例中使用的是静态地址段：00-143)、选择是否配置目前还没有建立的RADIUS服务器。这些设置在VPN服务器向导结束后，都是可以在RRAS的MMC中服务器的“属性”中进行更改的。VPN服务器的基本配置完成后，界面如图4.2所示。图4.2路由配置服务器4.5VPN服务器属性VPN服务器基本配置完成后，可以在服务器控制台中对其属性进行配置或更改。在服务器“属性”中，可以从“常规”、“安全”、“IP”等方面对服务器进行配置。在“常规”中可以对服务器的用途和使用方式进行选择，在“安全”中对服务器的身份验证方法进行选择，在“IP”中可以选择用户获得IP地址的方法或者更改分配给远程用户的IP地址范围。1)“常规”标签页①路由器如果RRAS将充当网络路由器，则启用该选项。启用后，有两个路由模式供选择：仅用于局域网(LAN)路由选择。如果所有的路由都在局域网中进行，则选中该项。b、用于局域网和请求拨号路由选择。如果路由器还需要配置用来同远程网络建立按需路由器连接，则选中该项。②远程访问服务器如果将RRAS配置成一个供用户远程访问该网络的拨入访问服务入口，则启用该选项。只要选择了“远程访问服务器”，RRAS就将支持VPN用户，如果这里没有选择“远程访问服务器”，那么后面VPN远程访问操作便会失败，但是一般情况下，“路由和远程访问服务器安装向导”被安装完成后，“远程访问服务器”选项是默认打开的，这里检查是否打开，如果没有打开就选上打开，一般选择默认就可以。如图4.3。图4.3VPN（本地）属性常规界面2)“安全”标签页这一页含有身份验证和记帐的设置。在这里，可以选择“Windows身份认证”或“RADIUS身份认证”，以对用户身份进行认证。如果在向导配置时没有选择“RADIUS身份认证”，可在这里选择，并点击“配置”按钮来添加RADIUS服务器。本例中选择“Windows身份认证”。同样，记帐程序也有“Windows记帐”和“RADIUS记帐”方法，还可以选择“无”不进行记帐。记帐程序记录了连接活动的日志。在这里，需要选择“身份验证方法”。当网络用户和VPN服务器建立连接时，用户和服务器进行协商，决定进行身份验证的方法。只有当用户和服务器至少有一个相同的身份验证方法时，协商才会成功。本例中，选择的是“Microsoft加密身份验证版本2(MS-CHAPv2)”和“Microsoft加密身份验证(MS-CHAP)”，这也是微软的推荐选项。在图中所示的身份验证方法中，由下到上其安全性依次增强。最下面一个选项“未经身份验证的访问”可使用户在无需提供用户名和密码的情况下进行验证。只有当用户能够进行的活动受到严格限制时才允许未经身份验证用户的访问。点击“EAP方法”按钮可查看“可扩充的身份验证协议(EAP)”所支持的方法。一般都包含有“MD5-质询”方法，而另一种方法“智能卡或其它证书属性”只有当服务器加入到“域”之后才会出现。①MD5-质询质询握手验证协议(EA-MD5CHAP)应用CHAP协议，以EAP消息的形式发送质询和响应.该协议通过用户名和密码验证用户身份。②智能卡或其它证书属性该方法支持基于硬件或软件形式的数字签名。如果要对智能卡使用典型设置，请在“安全”选项卡上单击“典型（推荐设置）”，并在“验证我的身份为”中单击“使用智能卡”，然后点击“确定”。如果要使用驻留在智能卡上的证书，请单击“使用我的智能卡”。果要使用驻留在计算机证书存储中的证书，请单击“在此计算机上使用证书”。图4.4VPN（本地）属性安全界面3)IP标签页在该页上选择服务器分配给用户IP地址的方法是使用动态地址分配还是静态地址分配，如果是静态方法，需要确定分配的地址范围。其它按默认设置即可。其它的标签页：IPX，PPP和事件日志使用默认设置就可以。4.6VPN端口属性VPN端口用于每个路由器对路由器或远程访问连接。RRAS激活配置所指定的最大数量的端口。使用RRAS配置向导配置VPN服务器，服务器将缺省使用128个PPTP和128个L2TP端口。也就是说，VPN服务器最多可支持128个PPTP和128个L2TP的用户连接。如果是已启用RRAS，后又添加VP服务的，则服务器缺省使用5个PPTP和5个L2TP端口。在RRAS的MMC中可以对端口的属性进行配置，其中就包括端口的个数。服务器硬件和WAN带宽决定着RRAS能够有力支持的通信端口数量。如果RRAS运行于专用的计算机上，它可以支持多的端口，如果运行于与别的服务共享的计算机上，支持的端口就会少一些。4.7配置接口筛选器实际中常需要针对具体应用作限制，那么网管就需要了解：常用服务、应用所用的协议及端口，可查阅winnt\system32\drivers\etc\protocol和文件services。如web服务器所用的http使用tcp:80口；ftp要使用tcp:20口来传数据，tcp:21口来控制；ping命令依赖协议号为3的icmp协议。这样服务器使用众所周知的http的默认80口，与客户端的大于1024随机任意的1300口建立了会话连接。这就是著名的tcp连接过程中的三次握手。配置接口筛选器指的是配置和Interne七相连的网络接口的IP地址及网络协议的筛选器。通过筛选器中的访问列表，VPN服务器可以控制通过它的用户。使用RRAS向导配置VPN时，系统自动安装筛选器在该接口上，缺省的筛选器设置将阻塞除PPTP，L2TP和GRE包以外的所有协议。如表4.1和表4.2所示：如果是在原有服务基础上添加的VPN服务，要手工将这些配置添加。在缺省配置下，远程用户可以和VPN服务器建立PPTP或者L2TP连接，但连接建立后，却无法通过它访问其它专用网内的服务器(也无法PING通VPN服务器)。在这里，需要通过手工配置将分配给远程用户使用的地址段在输入和输出筛选器中开放，远程用户才可以通过VPN访问网络。该例中，根据分配给用户使用的地址段，配置过程如下：表4.1VPN接口的默认输入筛选器源地址源掩码目标地址目标掩码协议源端口或类型目标端口或类型任意任意本地接口5547（GRE）任意任意任意任意本地接口55TCP1723（PPTP）任意任意任意本地接口55TCP任意1723任意任意本地接口55UDP500（ISAKMP）500任意任意本地接口55UDP170(UT)1701表4.2VPN接口的默认输出筛选器源地址源掩码目标地址目标掩码协议源端口或类型目标端口或类型本地接口55任意任意47（GRE）任意任意本地接口55任意任意TCP1723（PPTP）任意本地接口55任意任意TCP任意1723本地接口55任意任意UDP500（ISAKMP）500本地接口55任意任意UDP170(UT)1701首先在RRAS的MMC中找到，"IP路由选择”，其“常规”选项中有与Internet相连的接口。查看其属性，可找到“输入筛选器”和“输出筛选器”按钮，这里可以对输入和输出筛选器进行配置。后面为了描述方便，简述为：客户机以任意端口去连web服务器的默认tcp:80口。其它应用、服务也是一样，如客户机以任意端口去连ftp服务器的默认tcp:20和21口。以unc路径（形如：\\或\\server或\\）或网上邻居去访问网络共享时，是客户机以任意端口去连服务器的默认tcp:139或tcp:445口，注意这里是“或”，已在2003计算机环境中实验证明。输入还是输出筛选器，是指经过具体网卡，是进入还是离开RRAS这台计算机的而言的。因为在本例中，VPN服务器分配的静态地址范围为(IP地址：192.168.1.100：子网掩码：255.255.255.252)。为了让用户在和VPN服务器建立连接并获得VPN服务器分配的IP后，能够通过VPN服务器和校园网内的机器连接，需要在“输入筛选器”和“输出筛选器”中分别将VPN服务器分配的静态IP地址段放开。在“输入筛选器”中将分配给远程用户使用的地址段(IP地址：00，掩码：255.255-.255.252)作为“目标网络”加入。如图4.7所示：图4.5IP筛选目标网络在“输出筛选器”中将分配给远程用户使用的地址段(IP地址：192.168.1.100，掩码：255.255.255.252)作为“源网络”加入。如图4.8所示。图4.6IP筛选源网络4.8创建远程访问策略通过远程访问策略的设定，可以根据用户的不同特征，分配给用户不同的访问权限。VPN应用过程中出现的一些问题，往往是和筛选器的设置及访问策略的设定有关。VPN远程访问用户必须具有拨入VPN连接的权限。即用户必须具有有效的VPN服务器的用户帐户，必须知道该帐户的用户名和密码，同时该帐户必须经过授权才可以用来拨入到网络中。对用户访问VPN服务器进行设定，需要配置两个方面：一个是用户帐户的拨入属性，一个是用户使用的远程访问策略。1)设置用户拨入权限一种是直接在客户端连接项目的属性对话框中的“网络功能”选项卡、TCP/IP属性中直接设置，不过，此设置必须配合RAS的网络策略（NetworkPolicy），否则客户端自行设置的IP地址将会被服务器端拒绝；网络策略在以前版本的Windows中称为远程访问策略（RemoteAccessPolicy），这是一种用来控制用户在建立拨号连接前、中、后行为的机制，相关的说明会在稍后介绍。假如客户端需要自行指定IP地址，则网络策略中必须首先设置。设置的方式为，在“网络策略服务器"管理工具中的”网络策略“节点针对会分配至客户端的策略设置，例如"到Microsoft路由和远程访问服务器的连接”策略。在该策略属性的“设置”选项卡中的"IP设置"项目中，将其调整为“客户端可以请求一个IP地址”即可。而这选择的是另一种设置方式，用户帐户的拨入权限是在“计算机管理”MMC中帐户“属性”中设置的.首先要确保存在该帐户，且该帐户是可用的，如果账户不可用，则修改或者新建用户，然后将其“远程访问权限(拨入或VPN)”设为“通过远程访问策略控制访问”。本例中使用的帐户名称为“guest"。图4.9。图4.7拨入权限2)远程访问策略当VPN服务器的“身份验证方法”使用“Windows身份认证”时，“远程访问策略”将在RRAS的MMC中设置。如果选择“RADIUS身份认证”的方法，则“远程访问策略”需要到“RADIUS"服务器中去设置。在RRAS的MMC中，缺省的“远程访问策略”是“如果启用拨入许可，就允许访问”策略。对其进行修改或者创建新的策略，可以配置出符合自己要求的策略。策略设置界面如图4.10。图4.8远程访问策略A、策略名。它只是一个名称，方便管理员识别和管理。B、指定要符合的条件。在这里可以设定一个或多个检测条件，如果这里自定义生成的有其他条件，这些条件将应用到试图通过VPN服务器连接到专用网络中的客户端上。如果该客户端满足了策略中的所有条件，该策略将应用到这个客户端上。如果这些条件中有条件和我们即将使用的条件策略起冲突，那么就将其删除，或者选择编辑，将其编辑成符合我们需要使用的策略条件，多余的不冲突的策略条件可以删除也可以选择保留，策略条件的选择属性如图4.11。本例中：①删除已经缺省存在的“Day-And-Time-Restrictions匹配‘星期日00：00-24：00;……’”条件如果有其他条件也一并删除。②在添加策略，或者编辑策略中“NAS-Port-Type”(网络访A服务器端口类型)条件中添加“Virtual(VPN)”。③在“Tunnel-Type"(隧道类型)条件中添加“Point-to-PointTunnelingProtocle(PPTP)”和"LayerTwoTunnelingPortocle(L2TP)”。C、选择“授予远程访问权限”。这里选择“授予远程访问权限”，条件陈列在在条件框里，满足条件的用户将具有远程访问网络的权限。这里就是另外一个权限发放的控制台，可以授予和拒绝远程访问权限，如果选择“拒绝远程访问权限”。那么条件选框中满足条件的用户将无法访问远程网络。如图4.12。图4.9策略条件选择属性图4.10允许访问属性d、“编辑配置文件”。因为帐户“guest”的“远程访问权限(拨入或VPN)”被设为“通过远程访问策略控制访问”，当其连接符合指定的条件时，此处配置文件中的设置将应用于该用户。通过“编辑配置文件”，可以对策略的分配进行具体配置。配置策略时，“IP地址分配策略”选择为“服务器设置定义策略”。用户权限的分配策略通过“IP数据包筛选器”的配置来实现。在这里对符合策略条件的相应用户的访问权限进行设定。其实现方式也是通过访问列表的控制对用户的访问进行授权。访问列表是在“来自客户端”和“到客户端”的表格中设定的。通过对“IP数据包筛选器”下的“来自客户端”和“到客户端”进行配置可限定帐户的访问地址和协议、端口。本例中，我们设置用户可访问域名服务器的53端口和邮件服务器的25，110端口，并且选择“除下列通信外拒绝所有通信”，以限制用户访问域名服务器和邮件服务器的其它端口及其它机器。至此，VPN服务器配置完成。4.9在WindowsServer2003上安装和配置VPN连接(客户端)远程用户在建立和VPN服务器的连接之前，它自己必须先使用软件进行配置，以建立隧道开端器。WindowsServer2003系统平台提供了这种软件，用户可在WindowsServer2003系统平台上创建VPN连接。WindowsServer2003用户配置VPN连接时，WindowsServer2003用户支持使用PPTP和L2TP的VPN连接，而WindowsXP、WindowsNT4和Windows95/98只支持PPTP，这就是为何选择使用WindowsServer2003系统的优越点。在WindowsServer2003上安装和配置VPN连接(客户端)过程如下：因为Windows系统处理一个VPN连接的方法很类似于处理一个与远程服务器的拨号连接，所以建立VPN连接首先要在系统的“网络和拨号连接”中“新建连接”。在“网络连接类型”中，选择“通过Internet连接到专用网络”。即“通过Internet创建虚拟专用网络(VPN)连接，即‘隧道’”。在设置“目标地址”页面中，将VPN服务器的IP地址输入其中。至此在WindowsServer2003下对VPN客户端的配置完成。5校园网VPN的安全基于Internet的VPN首先要考虑的就是安全问题。能否保证VPN的安全性，是VPN能否实现的关键。在VPN中，采用下列技术以保证其安全：口令保护；二次认证技术（前述）；用户认证技术；用户权限设置；加密技术；采用防火墙把用户网络中的对外服务和对内服务器隔离开。这些技术主要通通过在设计中利用隧道、HS、ASP等安全特性采用相关的技术手段来实现。5.1外部安全性外部安全性指的是受保护的内部信息网和公共网络（如Internet）之间进行访问的安全性系统。主要包括防火墙和代理服务器。1．防火墙防火墙位于专用局域网和Internet之间，这两个网络之间的所有通信都必须流经防火墙，不允许任何内容绕过防火墙。防火墙监控着流经两个网络之间的所有通信，它能够完全阻塞某些种类的通信。防火墙还可以完成认证用户、注册流量信息和产生报表等重要任务。它可带来以下好处：·控制对敏感系统的访问·使安全管理集中化·使包过滤规则复杂化·配置独立的硬件系统，不依赖于其它硬件和软件系统防火墙可以充当一种高效的阻塞策略，允许控制VPN与Internet的连接位置。目前生产防火墙产品的公司很多，如AtlanticSystemsGroup公司、RaptorSystems公司、IBM公司等。2．代理服务器代理服务器是一种程序，它代表运行在受保护网络上的客户软件来处理与外部主机系统的通信。代理客户机与代理服务器进行通信，代理服务器将核准的请求转发到真正的外部服务器上。当从那些外部服务器接受到回应时，将这些回应传递回到客户机。浏览器本身不与Internet服务器直接联系。代理服务器不是简单地将用户的请求传递到Internet。因为它研究和处理请求，所以可以控制用户的操作。根据安全性政策的细节，有些请求可以得到认同和转发，或者对它们予以否决。高级的代理服务器不要求为所有的用户强加相同的限制，而是可以给不同的用户提供不同的能力。它的好处如下：·限制对Internet上服务的访问，如果不希望用户能够访问这些服务。·对Internet的其他用户隐藏真实IP地址。这是避免入侵者注意的另一种途径。·提供对网络使用的注册和统计。·相对比较容易配置和管理。·不要求使用有效的InternetIP地址，这可以提高系统的安全性。代理服务器既是客户机又是服务器，这种透明性是配置代理服务器的一个主要好处。5.2校园VPN隧道的安全性本系统采用WindowsServer2003及采用L2TP/IPsec协议等都为隧道的安全提供了许多有力的保证。5.3WindowsServer2003安全性设置中文WindowsServer2003采用新的NTFS（NTFileSystem）文件系统。NTFS是NT所独有的文件系统。WindowsServer2003的加密文件系统是NTFS中的一个新的特性。它用一个随机产生的密钥把一个文件加密，只有文件的所有者和管理员掌握解密的密钥，其他人即使能够登录到系统中，也没有办法读取它。由于文件是加密存储的，用户无法得到解密的密钥，因此加密文件系统的安全性更高。5.3.1数据传输的安全性1．验证用户在用户拨入VPN网络隧道建立之前，采用CHAP协议对用户进行身份验证。CHAP是一种通过PPP链接传送数据，完成对PPP链接的身份鉴别的协议。CHAP是一种普遍使用的身份鉴别机制。它通过在PPP链接的双方进行一次“三次握手”，完成对对方的身份鉴别。CHAP主要适用于NAS对来自于PSTN或ISDN的电路交换连接、拨入连接或专有连接的身份鉴别。其工作的基本原理为：鉴别方向被鉴别方发出一个随机数据质询；被鉴别方依据一定的计算规则，利用质询数据、共享密钥等信息，求出一个单向散列值作为质询的应答结果，并将这一鉴别结果发送给鉴别方；鉴别方在本地也依据相同的计算规则，利用共享密钥、质询数据等信息，计算出一个期待的散列结果；鉴别方得到应答结果后，与期待的散列结果相比若相同则通过鉴别，否则鉴别失败。2．身份鉴别在建立V