实验2-基于PPTP的远程访问VPN

实验2．基于PPTP的远程访问VPN

一、实验目的

通过实验掌握虚拟专用网的实现原理、协议和结构，理解并掌握在Windows操作系统中利用PPTP(点对点隧道协议)配置VPN网络的方法。

二、实验原理

1.介绍

虚拟专用网(Virtual Private Network，VPN)是在公共网络中建立的安全网络连接，这个网络连接和普通意义上的网络连接不同之处在于，它采用了专有的隧道协议，实现了数据的加密和完整性检验、用户的身份认证，从而保证了信息在传输中不被偷看、篡改、复制，从网络连接的安全性角度来看，就类似于在公共网络中建立了一个专线网络一样，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。VPN系统的构成如图2-1所示，包括VPN服务器，VPN客户机和隧道。由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Intemet既安全又经济地传输私有的机密信息成为可能。

图2-1 VPN系统的构成

2.VPN的类型

根据网络类型的差异，可以把VPN分为Client-LAN和LAN-LAN两种类型。 1)client-LAN类型的VPN

Client-LAN类型的VPN，即远程访问方式的VPN。它提供了一种安全的远程访问手段，例如，出差在外的员工、有远程办公需要的分支机构，都可以利用这种类型的VPN，实现安全的对企业内部网络资源进行远程访问。它又分为基于Internet远程访问的VPN和基于Intranet远程访问的VPN。

使用基于Internet远程访问的VPN，远程访问的客户端首先通过拨号网络连接到当地的ISP(Intemet服务提供商)，利用ISP提供的服务通过Internet连接到企业的远程访问服务器，在采用VPN隧道协议的情况下，企业的远程访问服务器会和远程访问客户端建立一个安全的VPN连接，远程访问客户端就可以安全的使用企业内部各种授权的网络资源了，其结构如图2-2所示。基于Internet远程访问的VPN通常采用PPTP、L2F、L2TP等隧道协议。

图2-2基于Internet远程访问的VPN拓扑结构

对于通过Intranet进行连接的企业内部机构及其远程分支机构，为了保护有些部门的保密信息，可以使用基于Intranet远程访问的VPN，如图2-3所示。这些有安全需求的部门网络与Intranet网络也是物理上连接的，但是这个部门的网络通过VPN服务器与Intranet网络分隔。VPN服务器并不提供直接路由连接功能，其它部门的客户端计算机，则需要与保密部门建立安全的VPN连接，并且具有访问保密部门网络资源的权限，才能访问保密部门受保护的网络资源。这种类型的VPN通常采用IPSec协议建立加密传输数据隧道，对通过VPN进行传输的数据采用了加密、完整性检验等措施。

图2-3基于Intranet远程访问的VPN拓扑结构

2)LAN-LAN类型的VPN

为了在不同局域网络之间建立安全的数据传输通道，例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联，则可以采用LAN-LAN类型的VPN。对于物理距离较远的企业与分公司、分支机构和合作企业问的网络连接，为了安全，一般租用专线，网络结构复杂、费用昂贵。而采用LAN-LAN类型的VPN，可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接，再利用VPN的隧道协议实现安全保密需要，就可以满足公司总部与分支机构以及合作企业间的安全网络连接，如图2-4所示。这种类型的VPN通常采用IPSec协议建立加密传输数据隧道。LAN-LAN类型的VPN，当用来构建内联网时称为Intranet VPN，用于企业和合作企业进行网络互联时称为Extranet VPN。

图2-4 LAN-LAN类型的VPN

3.VPN的协议

VPN采用了多种信息安全技术和网络技术，包括隧道技术、加密解密技术、密钥管理技术和身份认证技术。对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。隧道技术是一种数据封装技术，它利用一种协议来封装在另一种协议中传输，从而实现被封装协议的安全性。现有封装协议主要包括两类：一类是第2层隧道协议，它首先把各种网络层协议(如IP协议)封装到数据链路层协议PPP的数据帧中，再把整个PPP帧装入到隧道协议中。由于隧道协议封装的是数据链路层的数据包，即OSI开放系统互联模型中第2层的数据包，所以称之为第2层隧道协议，如PPTP，L2F，L2TP，它主要应用于构建基于Internet远程访问的VPN：另一类是第3层隧道协议，如IPSec、GRE等，它把第3层即网络层的各种协议直接封装到隧道协议中进行传输，由于被封装的是第3层的网络协议，所以称为第3层隧道协议，它主要应用于构建Intranet VPN和Extranet VPN。

1)第2层隧道协议

第2层隧道协议主要有3种。一种是微软、Ascend、3COM等公司支持的点对点隧道协议(Point to Point Tunneling Protocol，PPTP)。另一种是Cisco、北方电信等公司支持的二层转发协议(Layer 2 Forwarding，L2F)。第3种是L2TP(Layer 2 Tunneling Protocol，L2TP)，它结合了上述两个协议的优点，是由IETF起草，微软、Cisco、3Com等公司共同制定。下面以PPTP协议为例，对二层隧道协议进行介绍。

PPTP用于PPTP客户端和PPTP服务器之间的安全通信，它被嵌入到NT4．0和Windows 98操作系统中，用于Microsoft的路由和远程访问服务。对于数据加密，PPTP采用了PPP点到点协议的身份验证方法和微软的MPPE点到点加密协议。

PPTP协议是对链路层的PPP协议数据包通过GRE封装协议进行封装，使PPP数据包通过IP网络进行传输。PPTP协议首先对PPP帧进行封装，将PPP帧中的有效数据进行加密后，添加PPP报头，封装形成PPP帧。PPP帧再进一步添加GRE报头，经过第2次封装形成GRE报文。第3次封装是在GRE报文之外再添加IP报头，IP报头中包含数据包源地址和目的IP地址。最后在IP数据包多层封装之后，根据不同物理网络再进行相应的数据链路层封装，最后形成了如图2-5所示的封装后在隧道中传输的数据包格式。 数据链路层报头 IP报头 GRE报头 PPP报头 加密的PPP有效数据 数据链路层报尾 图2-5 PPTP封装后的数据包格式

三、实验环境

多台Windows 2000 Professional或Windows XP Professional计算机，一台Windows 2000 Server操作系统的计算机，所有计算机均联网。

四、实验内容和任务

任务 Windows操作系统中利用PPTP配置VPN网络

1.配置VPN服务器

(1)我们首先配置VPN的服务器端：在Windows 2000 Server中选择“开始”，进入“程序”中的“管理工具”，单击“路由和远程访问”，弹出如图2-9所示的

界面。右击右侧对话框中的服务器名，在弹出的对话框中进入“配置并启用路由和远程访问”，会出现路由和远程服务向导，单击“下一步”按钮。

2-9路由和远程访问界面

(2)如图2-10所示，在路由和远程服务向导中，选中“虚拟专用网络（VPN）服务器”，单击“下一步”按钮。

图2-10 路由和远程服务向导中

(3)如图2-11所示，在VPN访问所需协议对话框中选择或添加VPN访问所需的协议，如果所要求的协议已经包含，则单击“下一步”按钮，这里要求必须有“TCP/IP”协议。

图2-11 VPN访问所需协议

(4)接着系统要对客户端进行配置，采用默认值，单击“下一步”按钮。下面要求选择VPN客户端连接此VPN服务器时通过VPN服务器的哪块网卡进行网络连接，选中我们指定的网络连接，单击“下一步”按钮。接着弹出窗口为VPN客户端指定到想要使用的网络。

(5)单击“下一步”按钮，在选择客户端IP地址分配方式的界面中，我们选择指定客户端的IP地址范围，如图2-12所示，单击“下一步”按钮，指定一个VPN客户端的IP地址范围。

(6)单击“下一步”按钮，在弹出是否使用RADIUS服务器管理所有远程访问服务器的界面中，我们采用默认值，单击“下一步”按钮，单击“完成”。完成VPN服务器的配置。

(7)下面对VPN服务器端的VPN端口进行配置，查看所有端口状态，如图2-13所示。

图2-12 分配远程客户端IP地址