作者/来源:新睿云小编 发布时间:2019-08-12
1、我们为什么要搭建VPN?
此文章总结了手动配置VPN的过程,并通过比较主机IP和VPN IP来验证部署。并且总结了VPN(协议等)的功能。这有助于您了解虚拟网络的类型和原理。
2、VPN能做什么?
2.1、VPN定义
VPN(虚拟专用网络)是配置为使用诸如因特网之类的公共网络的专用网络的虚拟网络。它指的是使用公共网络的数据传输,因为将分布在多个地方的专用网络集成为一个是有限的。例如,当需要不同分支之间的通信时,具有多个分支的公司建立直接连接可能是昂贵的,因此VPN可用于产生与使用相同内部网络类似的效果。
它提供诸如地址和路由器系统隐私,数据加密,用户认证和用户访问限制等功能,以便我们没有在内网中也能使用其提供的服务。
私人网络
它是一种仅在特定组织内使用的网络。它非常安全,只使用授权用户。但是,根据距离,安装成本增加,管理成本增加。
公共网络
它意味着一个对所有人开放的网络,比如互联网,而且任何人都可以交换信息。采用符合IP等公认标准的通信方法。
2.2、VPN功能
虚拟专用网络在应用程序的底层运行,无需修改应用程序。另外,由于与已建立的专用网络,移动环境以及与外部的安全通信存在连接,因此额外的建设成本负担较小。它实现了隧道技术和加密和认证技术,为用户提供透明的通信服务。
VPN的优势在于它可以使用ISP提供的Internet网络构建,从而降低了构建现有专用网络的成本。另外,可以通过提供各种方法和协议来建立各种VPN。(例如IPsec,MPLS)无论位置如何,如果连接到ISP的POP,您都可以使用Internet连接到VPN,从而减轻移动用户的负担。
缺点是没有明确的标准,因此不同的ISP使用不同的技术,导致不同ISP之间的问题,并降低性能。
VPN的类型包括L2L(LAN到LAN)和L2C(LAN到客户端)。L2L在总部和分支机构之间具有连接类型,并通过安装VPN设备连接网络。L2C用于远程办公和移动办公等小规模,它是一种终端形式,通过每台PC上的VPN Client程序连接。
ISP(互联网服务提供商)
一家为个人和企业提供互联网接入服务和网站建设的公司。
POP(存在点)
ISP网络之间的互连点,是从订阅网络访问Internet骨干网的接入点。
MPLS(多协议标签交换)
分组传输层3的标记交换技术的剪切和通过方法。在诸如异步传输方法的连接类型通信网络中,分组传输过程和路径计算过程被分离以实现高速分组传输。
隧道(隧道)
这是一种在商业网络中提供类似专用网络的安全效果的技术,并且在VPN中的两个主机之间建立虚拟路径以向用户提供透明的通信服务。它在诸如因特网之类的不安全网络环境中提供强大的安全性,例如租用线路。当IP分组通过公共网络时,在用户之间建立路径,就好像钻出隧道以通过该路径安全地传输数据一样。
VPN隧道协议
3.1、2层协议
它主要用于连接用户想要连接的位置的局域网,主要用于客户端到局域网的远程访问VPN。在用户端通过拨号连接时,使用ID和密码在身份验证过程后启动隧道。
双层隧道功能包括基于客户端 - 服务器模型和基于点到协议(PPP)的协议。它还支持异步传输模式(ATM)和帧中继。
1)PPTP(点对点隧道协议)
PPTP不用作L2TP,IPsec或OpenVPN作为建立VPN的方式,但仍然常用于路由器和客户端。它是PPP技术的扩展,它建立隧道,并结合MS-CHAP和RC4进行加密。它由Microsoft开发,它对IP,IPX或NetBEUI(网络BIOS增强用户界面(IBM)有效负载进行加密,将它们封装在IP头中,然后发送它们。PPTP使用TCP连接进行隧道维护,维护和管理,并配置为使移动用户可以轻松访问服务器。因此,它基本上支持Android,IOS等移动环境。
设置IP地址时,LAN的IP地址必须与远程VPN的LAN地址不同,以避免地址冲突。由于默认使用192.168.1.0子网,因此需要设置不同的LAN范围,例如10.0.0.0或192.168.111.0。
PPTP不太可能满足高安全性要求,并且由于安全漏洞而不再使用,但足以供家庭使用或者您不依赖于高加密级别。因此,建议使用长度超过12个字符的复杂密码。
具有IP数据报的PPTP分组的结构
PPTP将PPP帧封装到IP数据报中以进行网络传输。可以对封装的PPP帧的有效载荷执行加密或压缩中的一个或两个。
拨号
在数据通信中,拨打或按下电话按钮用于通过公共交换电话网(PSTN)与另一方建立连接。它适用于拨号系统,其中许多用户共享多条线路。
PPP(点对点)
它是一种标准协议,允许来自不同供应商的远程访问软件通过串行线路相互连接,并与TCP / IP协议进行通信。
ATM(异步传输模式)
异步传输模式的缩写,ATM传输信息以53字节的单元形式在线传输,具有48字节的信息和5字节的标题。
帧中继
它是一种高速数据传输技术,它通过根据数字传输路径的改进最小化诸如不必要的传输差错控制和流量控制之类的复杂功能并在网络终端设备中处理它们来实现高速传输。
IPX(网络数据包交换)
网络之间的数据包交换,NetWare的网络层协议处理寻址,路由选择和数据包。当用户连接到网络时,将加载所有网络协议中最常用的IPX。
NetBEUI(网络BIOS增强用户界面,IBM)
这是一种称为Net BIOS扩展用户界面的协议,它允许在非路由环境中在网络中共享打印机或文件夹。
2)L2TP(第2层隧道协议)
L2TP是PPTP和L2F的组合,由Microsoft和Cisco支持,具有高度兼容的优势。与PPTP一样,它加密PPP流量,允许使用各种更高的本地网络协议,包括IP,IPX,NetBEUI和AppleTalk。它还使用PPP提供的用户身份验证,数据加密和压缩等安全功能。
不同之处在于PPTP仅支持基于IP的网络,而L2TP只有在以数据包为中心的点对点连接时才能进行通信。此外,与在两点之间仅创建一个隧道的PPTP不同,可以在两个点之间使用多个隧道,并且可以根据隧道应用QoS。
包含IP数据报的L2TP数据包的结构
L2F(第2层转发协议)
思科提出的协议是由NAS发起的VPN,因此用户不需要单独的sw。通过在一个隧道中支持多个连接,可以实现多路通信。使用UDP而不是TCP作为传输层协议。
QoS(服务质量)
能够确定其他应用程序,用户,数据流等的优先级,以确保数据传输的一定性能水平。QoS的测量元素包括带宽,延迟,抖动和丢包。
3.2、3层协议
IPSec是一种代表性协议,主要用于LAN到LAN VPN。LAN-to-LAN VPN是基于LAN的网络,使用VPN隧道进行通信,主要是公司总部和分支机构之间的网络。
三层隧道协议的特征在于配置网络层级VPN,LAN到LAN模型,独立于链路层,以及出色的安全性。
1)IPsec(IP安全)
使用IPsec ESP加密L2TP流量
IPsec是一种标准化的三层隧道协议,可通过IP网络安全地传输信息。IETF提出了IP层的安全性,并广泛应用于VPN实现。它通过Authentication Header(AH)和Encapsulation Security Payload(ESP)提供IP数据报的身份验证,完整性和机密性。
在IPsec中,存在传输模式和隧道模式。在传输模式下,IP有效载荷被加密并封装在IP报头中。隧道模式意味着所有IP数据包都被加密和传输。隧道模式下的IPsec主要用于网络之间的连接,因为隧道在隧道的端点和第一个路由器之间以明文形式传输,只有路由器和路由器被加密。
IPsec的标头是AH和ESP。AH保存数据和序列号,标识确认发送方并确保消息在传输期间未被修改。ESP加密IP有效负载以提供数据机密性,防止数据被第三方恶意暴露。
4. VPN实验室
4.1、构建Windows PPTP环境
本实验检查在Windows 7,Windows XP环境中建立PPTP协议服务器和客户端并相互通信的过程。这两种环境都是通过虚拟机建立的。服务器首先在Windows 7中构建,然后访问内置在Windows XP中的服务器。
部署Windows 7 VPN Server
允许计算机连接窗口
创建新用户窗口
首先,创建一个可以访问服务器的客户端帐户。
选择要使用的网络类型窗口
IP设置窗口
然后允许Internet连接并选择要用于VPN的网络。在图7中,我们选择了IPv4。
选择项目,将显示IP配置窗口。允许呼叫者访问LAN并分配IP地址。通常,指定不与当前网络冲突的专用IP频段。在图8中,范围选自10.1.0.1到10.1.0.10。
数据安全项目检查
完成上述设置后,转到“传入连接”并检查所有用户的密码和数据安全要求。这样就完成了将Windows 7用作PPTP服务器的准备工作。接下来,配置客户端。
部署Windows XP VPN客户端
客户端连接
选择连接类型
访问网络设置,然后单击“创建新连接”以继续。从列表中查找并选择与VPN相关的项目。(连接到我工作场所的网络)
选择网络连接
要连接的服务器名称
选择上面的虚拟专用网络连接窗口,并设置要任意连接的服务器的名称。
客户端VPN服务器IP输入窗口
客户端VPN连接
在VPN服务器选择类别中,必须输入服务器的IP。在本练习中,输入在Windows 7环境中构建的服务器的IP。
完成上述所有步骤后,将出现一个用于输入用户名和密码的窗口,您可以通过输入在服务器上注册的客户端名称和密码进行连接。
Windows XP高级TCP / IP设置
如果已连接但无法连接到Internet,请按如下所示进行设置。访问“安全”选项卡时,设置因VPN服务器而异。您需要更改为VPN类型的PPTP,在IP属性中转到“高级”,并启用远程网络的默认网关以使用Internet。
服务器客户端连接检查
验证Windows 7 VPN服务器连接
验证VPN客户端连接1
验证VPN客户端连接2
Windows XP ipconfig历史记录
如果查看服务器和客户端,则有一个到服务器端的连接,并且您正在连接服务器允许访问的临时帐户。
客户端显示它已连接到VPN,如果您查看ipconfig,则可以选择服务器中设置的虚拟IP频段之一与服务器进行通信。在客户端使用Internet时,我们确认服务器通过IP进行通信。