第11章广域网详解.ppt

虚拟专用网络（Virtual Private Network， VPN ）可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，其核心就是在利用公共网络建立虚拟私有网。 如远程访问数据包封装示意图所示，远程用户可以通过Internet建立到企业内部网络的VPN连接，这样该用户就可以像是在内网一样访问企业内部网络的任意计算机。 还有一种VPN是站点间VPN，如图所示，通过站点间VPN可以通过Internet将两个局域网连接起来，只需配置北京和石家庄两个局域网的VPN服务器即可，对于北京和石家庄内网的计算机相互访问Internet是透明的。 通过以上介绍可以看出VPN技术是利用Internet扩展私有网络的一项非常有用的技术，他不需要额外的开销，利用现有的Internet接入，只需稍加配置就能实现远程用户对内网的访问以及两个私有网络的相互访问。 下面将会介绍VPN使用的广域网协议以及如何在路由器和Windows Server 2003上实现远程访问VPN。 PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输，尽管两个协议非常相似，但是仍存在以下几方面的不同： PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs)，X.25虚拟电路（VCs）或ATM VCs网络上使用。 PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。 L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道 PPTP使用TCP的1723端口，L2TP使用UDP的1701端口 下面就以Cisco 3660系列路由器配置为远程访问服务器，允许Internet用户通过L2TP协议拨入到企业内网。 本实验需要Dynamips软件搭建的网络环境，网络拓扑如图所示，RB路由器模拟企业内网的一个计算机，在RA路由器上配置远程访问服务器，远程用户使用虚拟机来模拟。 具体步骤请参照课本 配置VPN客户端步骤： (1)如图所示，确保Internet上计算机能够ping通RA路由器的Fa1/0接口。 (2)如左图所示，在计算机打开网络连接，点击“创建一个新的连接”，建立VPN拨号连接。 (3)在出现的欢迎使用新建连接向导对话框，点击“下一步”。 (4)如右图所示，在出现的网络连接类型对话框，选择“连接到我的工作场所”，点击“下一步”。 (5)如左图所示，在出现的网络连接对话框，选择“虚拟专用网络连接”，点击“下一步”。 (6)如右图所示，在出现的连接名对话框，输入名称，点击“下一步”。 (7)如左图所示，在出现的VPN服务器选择对话框，输入远程访问服务器的地址，在这里就是RB路由器连接Internet的IP地址，点击“下一步”。 (8)如右图所示，在出现的正在完成新建连接向导对话框，选中“在我的桌面上添加一个到此连接的快捷方式”，点击“完成”。 (9)如左图所示，右击刚才创建的VPN拨号连接，点击“属性”。 (10)如右图所示，在出现的属性对话框，在安全标签下，选择“高级”。点击“设置”。 (11)如左图所示，在出现的高级安全设置对话框，选择“允许这些协议”，选中“质询握手身份验证协议”和“Microsoft CHAP”，取消“Microsoft CHAP版本2”，点击“确定”。 (12)如右图所示，在网络标签下，VPN类型选择“L2TP IPSec VPN”，点击“确定”。完成配置。 (13)如左图所示，设置完成之后，输入用户名和密码连接RA服务器。 (14)如右图所示，连接过程中会出现需要证书的错误，这是因为 Windows 2000/xp/2003的L2TP缺省启动证书方式的IPSEC，因此必须向Windows添加ProhibitIpSec注册表值，以防止创建用于L2TP/IPSec 通信的自动筛选器。 ProhibitIpSec 注册表值设置为1时，基于 Windows 2000 的计算机不会创建使用CA身份验证的自动筛选器，而是检查本地IPSec策略或 Active Directory IPSec 策略。 如图所示，图中企业内网地址为/24，RAS为Windows Server 2003服务器，连接内网和外网。现在需要配置RAS服务器为远程访问服务器，允许Inte