虚拟专用网技术PPT优秀课件.ppt

网络安全应用技术网络安全应用技术全国高等职业教育计算机类规划教材全国高等职业教育计算机类规划教材实例与实训教程系列实例与实训教程系列第9章虚拟专用网技术 2021/6/31你将学习你将学习◇◇ 虚拟专用网的基本概念，作用和特性；虚拟专用网的基本概念，作用和特性；◇◇ 虚拟专用网的隧道技术和采用的协议；虚拟专用网的隧道技术和采用的协议；◇◇ 虚拟专用网的连接技术虚拟专用网的连接技术你将获取你将获取△ △ 虚拟专用网服务器安装与配置的技能；虚拟专用网服务器安装与配置的技能；△ △ 虚拟专用网客户端连接的配置的方法；虚拟专用网客户端连接的配置的方法；△ △ 建立一个允许连接的账号来测试连接的建立一个允许连接的账号来测试连接的技能在这一章中在这一章中2021/6/329.1 案例问题案例问题9.1.1 案例说明案例说明9.1.2 思考与讨论思考与讨论2021/6/339.1.1 案例说明案例说明1. 背景描述背景描述很多连锁超市的分店众多且都分布在不同的地区，很多连锁超市的分店众多且都分布在不同的地区，要做到互动的信息化，就要在其间建立一个强大的信要做到互动的信息化，就要在其间建立一个强大的信息系统平台，这就需要依靠网络传送。

息系统平台，这就需要依靠网络传送由于目前网络环境还不是很完善，网络应用也不由于目前网络环境还不是很完善，网络应用也不是很成熟，以是很成熟，以ADSL或无线方式进行连接仍然会受到或无线方式进行连接仍然会受到网络安全、传输速度无法保证化、应用实施难等问题网络安全、传输速度无法保证化、应用实施难等问题的困扰如果以增加专线的形式来解决问题，其投入的困扰如果以增加专线的形式来解决问题，其投入与维护成本相对较高，对分点极多的连锁企业来说，与维护成本相对较高，对分点极多的连锁企业来说，确实难以负担确实难以负担2021/6/349.1.1 案例说明案例说明2. 需求分析需求分析总部要及时掌握各分店公司的销售情况和配送中总部要及时掌握各分店公司的销售情况和配送中心的库存情况，子公司也要及时了解总部的调价信心的库存情况，子公司也要及时了解总部的调价信息、库存和配送情况等，并需要上传大量销售、财息、库存和配送情况等，并需要上传大量销售、财务等方面的数据及报表务等方面的数据及报表超市信息管理系统还引入了用友超市信息管理系统还引入了用友ERP软件，作为软件，作为财务管理的处理系统财务管理的处理系统ADSL或无线方式不能满足连锁超市总部与分店或无线方式不能满足连锁超市总部与分店间的传输需要了，但也不希望要为此负上高昂的专间的传输需要了，但也不希望要为此负上高昂的专线费用，因此，超市提出了各分店和总公司能互相线费用，因此，超市提出了各分店和总公司能互相通信，具稳定性、安全性，可保证时时联机的网络通信，具稳定性、安全性，可保证时时联机的网络需求。

需求2021/6/359.1.1 案例说明案例说明3. 解决方案解决方案在超市总部、配送在超市总部、配送中心与分店间搭建一中心与分店间搭建一个虚拟专用网个虚拟专用网 2021/6/369.1.2 思考与讨论思考与讨论阅读案例并思考以下问题阅读案例并思考以下问题⑴⑴ 上上网网搜搜索索“虚虚拟拟专专用用网网”或或VPN，，总总结结归归纳纳“虚虚拟专用网拟专用网”的定义特征？的定义特征？ ⑵⑵ 案案例例中中所所描描述述的的虚虚拟拟专专用用网网需需要要解解决决的的主主要要问问题题是是什什么么？？根根据据你你的的理理解解构构建建虚虚拟拟专专用用网网的的关关键键点点是什么？是什么？ ⑶⑶ 公公司司的的经经理理层层需需要要随随时时随随地地的的办办公公，，无无论论是是在在出出差差在在外外还还是是在在家家中中，，都都希希望望从从连连锁锁超超市市查查询询相相关关报报表表和和资资料料；；而而业业务务人人员员必必须须每每天天都都能能及及时时回回复复客客户户的的电电子子邮邮件件，，同同样样也也希希望望调调用用公公司司相相关关数数据据和和资资料料；；假假若若你你作作为为公公司司的的网网络络管管理理员员，，为为了了使使经经理理们们和和业业务务人人员员可可以以远远程程访访问问公公司司的的网网络络，，你你有有什什么么样样的建议？的建议？ 2021/6/379.1.2 思考与讨论思考与讨论专题讨论专题讨论⑴⑴ 虚拟专用网有哪些特点虚拟专用网有哪些特点? ⑵ ⑵ 简要说明建立简要说明建立VPN所需要的基本条件包所需要的基本条件包括那些？括那些？ 2021/6/389.2 技术视角技术视角9.2.1 虚拟专用网技术的概述虚拟专用网技术的概述9.2.2 VPN服务器的安装与配置服务器的安装与配置9.2.3 客户端客户端VPN连接的配置连接的配置2021/6/399.2.1 虚拟专用网技术的概述虚拟专用网技术的概述1. 虚拟专用网的两种隧道协议虚拟专用网的两种隧道协议一种是二层隧道协议，用于传输二层网络一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建访问虚拟专用网协议，它主要应用于构建访问虚拟专用网（（Access VPN）；）；另一种是三层隧道协议，用于传输三层网另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专络协议，它主要应用于构建企业内部虚拟专用网（用网（Intranet VPN）和扩展的企业内部虚）和扩展的企业内部虚拟专用网（拟专用网（Extranet VPN）。

2021/6/3109.2.1 虚拟专用网技术的概述虚拟专用网技术的概述2. 虚拟专用网的可用性虚拟专用网的可用性通过通过VPN，企业以更低的成本连接远程办，企业以更低的成本连接远程办事机构、出差人员以及业务合作伙伴事机构、出差人员以及业务合作伙伴VPN组成之后，远程用户只需拥有本地组成之后，远程用户只需拥有本地ISP的上网权限，就可以访问企业内部资源，这的上网权限，就可以访问企业内部资源，这对于流动性大、分布广泛的企业来说很有意对于流动性大、分布广泛的企业来说很有意义，特别是当企业将义，特别是当企业将VPN服务延伸到合作伙服务延伸到合作伙伴方时，便能极大地降低网络的复杂性和维伴方时，便能极大地降低网络的复杂性和维护费用 2021/6/3119.2.1 虚拟专用网技术的概述虚拟专用网技术的概述⑴⑴ 通过通过Internet远程访问局域网远程访问局域网 2021/6/3129.2.1 虚拟专用网技术的概述虚拟专用网技术的概述⑵⑵ 通过通过Internet实现局域网互联实现局域网互联 2021/6/3139.2.1 虚拟专用网技术的概述虚拟专用网技术的概述3. 虚拟专用网的可管理性虚拟专用网的可管理性VPN软硬件解决方案包含路由、防火墙、软硬件解决方案包含路由、防火墙、VPN网关等三方面的功能，企业或政府通过网关等三方面的功能，企业或政府通过购买购买VPN设备，达到一物多用的功效，既满设备，达到一物多用的功效，既满足了远程互联的要求，而且还能在相当程度足了远程互联的要求，而且还能在相当程度上防止黑客的攻击、并能根据时间、上防止黑客的攻击、并能根据时间、IP地址、地址、内容、内容、Mac地址、服务内容、访问内容等多地址、服务内容、访问内容等多种服务来限制企业内部员工上网时的行为，种服务来限制企业内部员工上网时的行为，一举多得。

一举多得2021/6/3149.2.2 VPN服务器的安装与配置服务器的安装与配置1. 安装安装Win Server 2003的的VPN服务器服务器⑴⑴ 启动启动“路由和远程访问路由和远程访问”管理应用程序管理应用程序单击单击“开始开始”→“程序程序”→“管理工具管理工具”，运行，运行“路由和路由和远程访问远程访问”管理应用程序，打开管理应用程序，打开“路由和远程访问路由和远程访问”管管理控制台窗口理控制台窗口⑵⑵ 设置服务器状态设置服务器状态⑶⑶ 选择远程访问服务器模式选择远程访问服务器模式⑷⑷ 配置远程访问服务器外网连接地址配置远程访问服务器外网连接地址⑸⑸ 对远程客户指派对远程客户指派IP地址地址⑹⑹ 指定地址范围指定地址范围⑺⑺ 身份验证身份验证2021/6/3159.2.2 VPN服务器的安装与配置服务器的安装与配置2. 配置配置Win Server 2003的的VPN服务器服务器⑴⑴ 配置远程访问控制策略配置远程访问控制策略远程访问控制策略可以更有效地控制用户远程访问控制策略可以更有效地控制用户的访问，可以制定出更加灵活的条件的访问，可以制定出更加灵活的条件⑵⑵ 修改同时连接的数目修改同时连接的数目⑶⑶ 配置用户的属性配置用户的属性2021/6/3169.2.3 客户端客户端VPN连接的配置连接的配置如果要连接到如果要连接到VPN服务器，客户端必须先服务器，客户端必须先连接到连接到Internet上。

当客户端连接到上当客户端连接到Internet后，然后再连接到后，然后再连接到VPN服务器上所以，在服务器上所以，在客户机上，需要先确认与客户机上，需要先确认与Internet的连接配置的连接配置正确，然后再在客户机上新建正确，然后再在客户机上新建“虚拟专用网络虚拟专用网络”连接1. 通过通过Windows XP进行进行VPN访问连接访问连接2. 与与VPN服务器的连接服务器的连接2021/6/3179.3 虚拟专用网相关实验虚拟专用网相关实验9.3.1 通过通过Internet远程访问局域网远程访问局域网9.3.2 Windows Server 2003实现实现NAT地址转地址转换和换和VPN服务器服务器9.3.3 使用单网卡实现使用单网卡实现VPN虚拟专用网虚拟专用网2021/6/3189.3.1 通过通过Internet远程访问局域网远程访问局域网实验目的实验目的掌握在掌握在Windows Server 2003下下VPN服务器服务器的安装及设置访问远程用户，掌握在客户端的安装及设置访问远程用户，掌握在客户端建立访问建立访问VPN服务器连接以及访问服务器服务器连接以及访问服务器。

具体实验条件、内容和步骤参看教材具体实验条件、内容和步骤参看教材P2582021/6/3199.3.2 Win Server 2003实现实现NAT地址转换和地址转换和VPN服务器服务器实验目的实验目的通过通过Windows Server 2003自带的路由和远自带的路由和远程访问功能来实现程访问功能来实现NAT共享上网和共享上网和VPN网关网关的功能，以实现在异地通过的功能，以实现在异地通过VPN客户端访问客户端访问总部局域网各种服务器资源总部局域网各种服务器资源 具体实验条件、内容和步骤参看教材具体实验条件、内容和步骤参看教材P2602021/6/3209.3.3 使用单网卡实现使用单网卡实现VPN虚拟专用网虚拟专用网实验目的实验目的通过实验掌握在通过实验掌握在Windows Server 2003中用中用单网卡来实现虚拟专用网，并学会从单网卡来实现虚拟专用网，并学会从Internet访问具有访问具有VPN的局域网资源的局域网资源具体实验条件、内容和步骤参看教材具体实验条件、内容和步骤参看教材P2632021/6/3219.4 超越与提高超越与提高9.4.1 IPSec与与SSL9.4.2 动态动态VPN技术技术9.4.3 通过路由器配置通过路由器配置VPN的实例的实例2021/6/3229.4.1 IPSec与与SSLIPSec是目前唯一一种能为任何形式的是目前唯一一种能为任何形式的Internet通通信提供安全保障的协议。

此外，信提供安全保障的协议此外，IPSec允许提供逐允许提供逐个数据流或者逐个连接的安全，所以能实现非常细个数据流或者逐个连接的安全，所以能实现非常细致的安全控制致的安全控制有两种基本类型的有两种基本类型的VPN：：IPSec和和SSL既建立了网上安全的加密隧道，还允许网络保密通信它了网上安全的加密隧道，还允许网络保密通信它与任何在网上的监听者都可以读取的明文传送方式与任何在网上的监听者都可以读取的明文传送方式不同，不同，VPN传输的看起来就像是一批乱码不同之传输的看起来就像是一批乱码不同之处就在于如何建立这种隧道处就在于如何建立这种隧道 2021/6/3239.4.1 IPSec与与SSL哪哪一一个个适适合合? SSL VPN方方式式便便宜宜，，容容易易维维护护，，需需要要较较少少的的培培训训而而IPsec方方式式需需要要在在所所有有的的远远程程客客户户端端安安装装VPN网网关关，，连连接接软软件件并并进进行行相相应应的的配配置置它它比比SSL VPN的的成成本本要要高高的的多多但但是是，，还还应应该该根根据据实实际的需求来作决策际的需求来作决策SSL VPN网网关关作作为为一一种种新新兴兴的的VPN技技术术，，与与传传统统的的IPSec VPN技术各具特色，各有千秋。

技术各具特色，各有千秋SSL VPN比比较较适适合合用用于于移移动动用用户户的的远远程程接接入入，，而而IPSec VPN则则在在网网络络对对网网络络的的VPN连连接接中中具具备备先先天天优势 2021/6/3249.4.2 动态动态VPN技术技术所谓的动态所谓的动态VPN其实就像其实就像ADSL一样，一样，VPN客户客户端每次拨号上去就会在地址池里自动获取一个公网端每次拨号上去就会在地址池里自动获取一个公网的的IP地址，通过这个公网的地址，通过这个公网的IP地址访问地址访问Internet，只，只是两者使用的协议等是不一样的，只是拨号过程相是两者使用的协议等是不一样的，只是拨号过程相似如何实现和配置动态如何实现和配置动态VPN服务器实现拨号服务器实现拨号?首先在服务器应该有两个地址池，一个内网地址首先在服务器应该有两个地址池，一个内网地址池，一个外网地址池，客户端拨号到服务器时首先池，一个外网地址池，客户端拨号到服务器时首先获取一个内网获取一个内网IP，然后转换为公网，然后转换为公网IP实现上网实现上网2021/6/3259.4.3 通过路由器配置通过路由器配置VPN1. 配置说明配置说明某公司总部在北京，分公司在广州，如果租用光某公司总部在北京，分公司在广州，如果租用光纤业务费用会比较高，另外安全性也没有保证，特纤业务费用会比较高，另外安全性也没有保证，特别是对内网的访问。

要在公司总部和分公司之间建别是对内网的访问要在公司总部和分公司之间建立有效的立有效的VPN连接北京路由器名为连接北京路由器名为RT-BJ，通过，通过10.0.0.1/24接口和广州路由器连接，另一个接口连接接口和广州路由器连接，另一个接口连接北京公司内部的计算机北京公司内部的计算机172.16.1.0/24；广州路由器名；广州路由器名为为RT-GZ，通过，通过10.0.0.2/24接口和公司总部路由器连接口和公司总部路由器连接，另一个接口连接分公司内部的计算机接，另一个接口连接分公司内部的计算机172.16.2.0/242. 配置命令配置命令(参见教材参见教材P268)2021/6/326部分资料从网络收集整理而来，供大家参考，感谢您的关注！。