收藏
下载资源

第7章虚拟专用网.ppt

上传人:s****8 文档编号:69246660 上传时间:2023-01-01 格式:PPT 页数:33 大小:1.49MB
返回 下载 相关 举报
第7章虚拟专用网.ppt_第1页
第1页 / 共33页
第7章虚拟专用网.ppt_第2页
第2页 / 共33页
点击查看更多>>
资源描述

《第7章虚拟专用网.ppt》由会员分享,可在线阅读,更多相关《第7章虚拟专用网.ppt(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网网络络安安全全技技术术及及实实训训第第7 7章章 虚拟专用网虚拟专用网学习目标学习目标了解虚拟专用网的分类、特点和实现技术;清楚远程VPN和站点到站点VPN的区别及应用场合;掌握服务器的VPN配置和测试;掌握路由器的VPN配置和测试;掌握锐捷VPN设备的配置和测试;培养在实验中分析问题和解决问题的能力。学习内容学习内容7.1 虚拟专用网介绍7.2 远程VPN7.3 站点到站点的VPN7.4 服务器的VPN配置7.5 路由器的VPN配置7.6 锐捷VPN设备基础7.7 锐捷VPN虚拟专用网配置7.1 7.1 虚拟专用网介绍虚拟专用网介绍7.1 7.1 虚拟专用网介绍虚拟专用网介绍利用公共网络来

2、构建的私人专用网络称为虚拟私有网络利用公共网络来构建的私人专用网络称为虚拟私有网络利用公共网络来构建的私人专用网络称为虚拟私有网络利用公共网络来构建的私人专用网络称为虚拟私有网络(VPNVPNVPNVPN,Virtual Private NetworkVirtual Private NetworkVirtual Private NetworkVirtual Private Network),用于构建),用于构建),用于构建),用于构建VPNVPNVPNVPN的公的公的公的公共网络包括共网络包括共网络包括共网络包括InternetInternetInternetInternet、帧中继、帧中继、

3、帧中继、帧中继、ATMATMATMATM等。在公共网络上组等。在公共网络上组等。在公共网络上组等。在公共网络上组建的建的建的建的VPNVPNVPNVPN象企业现有的私有网络一样提供安全性、可靠性象企业现有的私有网络一样提供安全性、可靠性象企业现有的私有网络一样提供安全性、可靠性象企业现有的私有网络一样提供安全性、可靠性和可管理性等和可管理性等和可管理性等和可管理性等7.1 7.1 虚拟专用网介绍虚拟专用网介绍VPNVPNVPNVPN的主要功能的主要功能的主要功能的主要功能加密:通过网络传输分组之前,发送方可对其进行加密。这样,加密:通过网络传输分组之前,发送方可对其进行加密。这样,即使有人窃听

4、,也无法读懂其中的信息即使有人窃听,也无法读懂其中的信息数据完整性:接收方可检查数据通过数据完整性:接收方可检查数据通过internetinternet传输的过程中是否被传输的过程中是否被修改修改来源验证:接收方可验证发送方的身份,确保信息来自正确的地来源验证:接收方可验证发送方的身份,确保信息来自正确的地方方VPNVPNVPNVPN连接的主要优点连接的主要优点连接的主要优点连接的主要优点费用更低费用更低业务更灵活业务更灵活简单化了管理工作简单化了管理工作隧道化网络拓扑降低了管理负担隧道化网络拓扑降低了管理负担 7.1 7.1 虚拟专用网介绍虚拟专用网介绍1 1 1 1虚拟专用网的分类虚拟专用

5、网的分类虚拟专用网的分类虚拟专用网的分类二层隧道协议主要有三种:二层隧道协议主要有三种:PPTPPPTP(Point to Point Tunneling ProtocolPoint to Point Tunneling Protocol,点对点隧道协议),点对点隧道协议)L2FL2F(Layer 2 ForwardingLayer 2 Forwarding,二层转发协议),二层转发协议)L2TPL2TP(Layer 2 Tunneling ProtocolLayer 2 Tunneling Protocol,二层隧道协议)。,二层隧道协议)。三层隧道协议主要有三种三层隧道协议主要有三种Gen

6、eric Routing EncapsulationGeneric Routing Encapsulation(GREGRE)协议)协议IPSecIPSec协议协议7.1 7.1 虚拟专用网介绍虚拟专用网介绍1 1 1 1虚拟专用网的分类虚拟专用网的分类虚拟专用网的分类虚拟专用网的分类按按VPNVPN的应用分类的应用分类远程访问虚拟网(远程访问虚拟网(Access VPNAccess VPN)企业内部虚拟网(企业内部虚拟网(Intranet VPNIntranet VPN)企业扩展虚拟网(企业扩展虚拟网(ExtranetVPNExtranetVPN)7.1 7.1 虚拟专用网介绍虚拟专用网介绍

7、1 1 1 1虚拟专用网的分类虚拟专用网的分类虚拟专用网的分类虚拟专用网的分类按按VPNVPN的应用分类的应用分类企业扩展虚拟网(企业扩展虚拟网(ExtranetVPNExtranetVPN)Extranet VPNExtranet VPN通过一个使用专用连接的共享基础设施,将客户、通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。供应商、合作伙伴或兴趣群体连接到企业内部网。7.1 7.1 虚拟专用网介绍虚拟专用网介绍1 1 1 1虚拟专用网的分类虚拟专用网的分类虚拟专用网的分类虚拟专用网的分类按所用的设备类型进行分类按所用的设备类型进行分类路由器式路由器

8、式VPNVPN路由器式路由器式VPNVPN部署较容易,只要在路由器上添加部署较容易,只要在路由器上添加VPNVPN服务即可。服务即可。交换机式交换机式VPNVPN主要应用于连接用户较少的主要应用于连接用户较少的VPNVPN网。网。防火墙式防火墙式VPNVPN防火墙式防火墙式VPNVPN是最常见的一种是最常见的一种VPNVPN的实现方式,许多厂商都提的实现方式,许多厂商都提供这种配置类型。供这种配置类型。7.1 7.1 虚拟专用网介绍虚拟专用网介绍虚拟专用网的特点虚拟专用网的特点虚拟专用网的特点虚拟专用网的特点成本低成本低通过公用网来建立通过公用网来建立VPNVPN,就可以节省大量的通信费用,而

9、不必投入,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护大量的人力和物力去安装和维护WAN(WAN(广域网广域网)设备和远程访问设备。设备和远程访问设备。传输数据安全可靠传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。的可靠性及传输数据的安全和保密性。连接方便灵活连接方便灵活用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有术部门就必须协

10、商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。了虚拟专用网之后,只需双方配置安全连接信息即可。完全控制完全控制虚拟专用网使用户可以利用虚拟专用网使用户可以利用ISPISP的设施和服务,同时又完全掌握着的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用自己网络的控制权。用户只利用ISPISP提供的网络资源,对于其它的提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。立虚拟专用网。7.1 7.1 虚拟专用网介绍虚拟专用网介绍VPNVPNVP

11、NVPN主要采用四项技术主要采用四项技术主要采用四项技术主要采用四项技术隧道技术隧道技术(Tunneling)(Tunneling);加解密技术加解密技术(Encryption&DecryptionEncryption&Decryption);密钥管理技术密钥管理技术(KeyManagementKeyManagement);使用者与设备身份认证技术使用者与设备身份认证技术(Authentication)(Authentication)。7.27.2 远程远程VPNVPN7.2 7.2 远程远程VPNVPN远程访问远程访问远程访问远程访问VPNVPNVPNVPN是一台独立的是一台独立的是一台独立

12、的是一台独立的VPNVPNVPNVPN客户计算机向客户计算机向客户计算机向客户计算机向VPNVPNVPNVPN服务器发服务器发服务器发服务器发起的起的起的起的VPNVPNVPNVPN连接,连接,连接,连接,WindowsWindowsWindowsWindows的远程访问的远程访问的远程访问的远程访问VPNVPNVPNVPN服务是作为路由和服务是作为路由和服务是作为路由和服务是作为路由和远程访问服务(远程访问服务(远程访问服务(远程访问服务(RRASRRASRRASRRAS)的一个组件来提供,它支持)的一个组件来提供,它支持)的一个组件来提供,它支持)的一个组件来提供,它支持PPTPPPTPP

13、PTPPPTP或者或者或者或者L2TP/IPSecL2TP/IPSecL2TP/IPSecL2TP/IPSec协议的协议的协议的协议的VPNVPNVPNVPN连接。在这篇文章中,我给大连接。在这篇文章中,我给大连接。在这篇文章中,我给大连接。在这篇文章中,我给大家介绍如何在家介绍如何在家介绍如何在家介绍如何在Windows Server 2003Windows Server 2003Windows Server 2003Windows Server 2003中部署远程访问中部署远程访问中部署远程访问中部署远程访问VPNVPNVPNVPN服务,从而支持服务,从而支持服务,从而支持服务,从而支持V

14、PNVPNVPNVPN客户端使用客户端使用客户端使用客户端使用PPTPPPTPPPTPPPTP和和和和L2TP/IPSecL2TP/IPSecL2TP/IPSecL2TP/IPSec协议进协议进协议进协议进行远程访问行远程访问行远程访问行远程访问VPNVPNVPNVPN连接。连接。连接。连接。7.2 7.2 远程远程VPNVPNVPNVPNVPNVPN部署需要考虑四个方面部署需要考虑四个方面部署需要考虑四个方面部署需要考虑四个方面身份验证方式(身份验证方式(WindowsWindows或或RADIUSRADIUS)身份验证方法(身份验证方法(MS-CHAPMS-CHAP、MS-CHAP v2M

15、S-CHAP v2、EAP-TLSEAP-TLS)用户拨入授权方式(显式允许访问或远程访问策略授权)用户拨入授权方式(显式允许访问或远程访问策略授权)VPNVPN客户地址分配方式(使用内部网络中的客户地址分配方式(使用内部网络中的DHCPDHCP服务或者使用服务或者使用静态静态IPIP地址范围)地址范围)对于对于L2TP/IPSecL2TP/IPSec,你还需要部署证书服务。,你还需要部署证书服务。7.3 7.3 站点到站点的站点到站点的VPNVPN7.3 7.3 站点到站点的站点到站点的VPNVPN站点到站点站点到站点VPNVPN连接是一种请求拨号连接,它使用连接是一种请求拨号连接,它使用V

16、PNVPN隧道隧道协议协议(PPTP(PPTP或或L2TP/IPSec)L2TP/IPSec)来连接不同的专用网络,连接来连接不同的专用网络,连接两端的每个两端的每个VPNVPN服务器都提供一个到达自己所属本地专用服务器都提供一个到达自己所属本地专用网络的路由连接。网络的路由连接。7.3 7.3 站点到站点的站点到站点的VPNVPN和远程访问和远程访问VPNVPN的区别的区别它是将一台单独的计算机连接到网络中不同,站点到站点VPN连接整个网络。当两台VPN服务器创建站点到站点VPN连接后,连接两端的VPN所属的专用网络均可以访问另一端的远程网络,就像访问本地网络一样。7.3 7.3 站点到站点

17、的站点到站点的VPNVPN站点到站点站点到站点VPNVPN连接连接 默认情况下,站点到站点VPN连接是请求拨号连接,只有当网络流量必须通过此接口转发(需要转发IP数据包到对应的远程网络)时才建立连接。此时呼叫路由器(VPN 客户端)初始化这个连接,应答路由器(VPN 服务器)侦听连接请求,接收来自呼叫路由器的连接请求,并根据请求建立连接,并且在空闲一定时间(默认为5分钟)后断开连接。你可以配置连接为永久连接方式,此时,VPN服务器会保持此连接的连接状态,如果连接中断则立即重新初始化连接。7.3 7.3 站点到站点的站点到站点的VPNVPN站点到站点站点到站点VPNVPN连接连接为了避免呼叫路由

18、器建立不需要的连接,您可以按照以下两种方式来限制呼叫路由器建立请求的站点到站点VPN连接IP请求拨号筛选器。你可以使用请求拨号筛选来决定哪种类型的IP流量不能导致请求拨号连接的建立,也可以配置哪种类型的IP流量可以导致连接的建立。配置请求拨号筛选的方法是:在路由和远程访问管理单元的网络接口节点中右击请求拨号接口,然后单击设置IP请求拨号筛选器。拨出时间。你可以使用拨出时间来配置允许或禁止呼叫路由器建立站点到站点VPN连接的时间段。配置拨出时间的方法是:在路由和远程访问管理单元的网络接口节点中右击请求拨号接口,然后单击拨出时间。你还可以使用远程访问策略来配置允许传入请求拨号路由连接的时间。7.3

19、 7.3 站点到站点的站点到站点的VPNVPN站点到站点站点到站点VPNVPN连接分类连接分类根据初始化的方向,站点到站点VPN连接可以分为单向初始化连接和双向初始化连接。单向初始化连接在单向初始化连接中,一台VPN路由器总是担任呼叫路由器(VPN客户端),而另一台VPN路由器总是担任应答路由器(VPN服务器)。双向初始化连接双向初始化连接可以看做是两个方向上的单向初始化连接,每个VPN路由器同时是呼叫路由器和应答路由器,向对方进行连接初始化和接受对方的站点到站点VPN连接请求。7.4 7.4 服务器的服务器的VPNVPN配置配置7.4 7.4 服务器的服务器的VPNVPN配置配置实训实训7-

20、17-1:配置服务器的端到端:配置服务器的端到端IPSEC VPNIPSEC VPN实训实训7-27-2:配置服务器的远程:配置服务器的远程IPSEC VPNIPSEC VPN7.5 7.5 路由器的路由器的VPNVPN配置配置7.5 7.5 路由器的路由器的VPNVPN配置配置实训实训7-37-3:配置路由器的端到端:配置路由器的端到端IPSEC VPNIPSEC VPN实训实训7-47-4:配置路由器的远程:配置路由器的远程VPNVPN7.6 7.6 锐捷锐捷VPNVPN设备基础设备基础7.6 7.6 锐捷锐捷VPNVPN设备基础设备基础VPNVPN设备介绍设备介绍RG-WALL V安全网

21、关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备,有效地实现了主/被动安全防御的完美结合。RG-WALL V安全网关采用自主设计的安全操作系统,具有高可用性、高易用性、高扩展性和高安全性。经过简单配置即可方便地在企业总部和分支机构、移动用户以及合作伙伴之间建立安全的信息传输通道,对传输的数据进行有效的安全保护。7.6 7.6 锐捷锐捷VPNVPN设备基础设备基础VPNVPN设备介绍设备介绍RG-WALL V160S安全网关设备的前面板RG-WALL V160S 安全网关的指示灯描述 名称名称状状态态描述描述名称名称状状态态描述描述Power亮设备已经供电Eth1绿灯亮

22、Eth1网口联网Eth0绿灯亮Eth0网口联网Eth1黄灯闪烁Eth1网口有流量Eth0黄灯闪烁Eth0网口有流量7.6 7.6 锐捷锐捷VPNVPN设备基础设备基础VPNVPN设备介绍设备介绍RG-WALL V160S 安全网关的接口两个路由口三个交换口 一个 RS232 的串口RG-WALL V160S 安全网关的环境参数工作温度-10C50C(无凝结)存储温度-20C60C湿度090%(无凝结7.6 7.6 锐捷锐捷VPNVPN设备基础设备基础实训实训7-57-5:VPNVPN设备基本配置设备基本配置7.7 7.7 锐捷锐捷VPNVPN虚拟专用网配置虚拟专用网配置7.7 7.7 锐捷锐捷VPNVPN虚拟专用网配置虚拟专用网配置实训实训7-67-6:配置:配置VPNVPN设备的端到端设备的端到端VPNVPN实训实训7-77-7:配置:配置VPNVPN设备的远程设备的远程VPNVPN网网络络安安全全技技术术及及实实训训

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 生活常识

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁