长沙环境保护职业技术学院

课时授课计划

授课章节目录：

第3章　虚拟专用网络技术

3.1 虚拟专用网络的产生背景

3.2 虚拟专用网络的基本知识

3.3 VPN的核心技术——隧道技术

3.4 常用的VPN实现技术

3.5 虚拟专用网的实现

授课时数：2节

目的要求：

了解VPN是利用公共互联网络安全拓展企业内部网络的新方法；

理解VPN的概念，基本理解VPN的工作原理和关键技术（隧道技术）

掌握VPN的三种不同应用：Intranet VPN，ExtranetVPN，Access VPN

了解虚拟专用网的实现过程

教材分析（难点、重点）：

VPN的工作原理和关键技术（隧道技术）

VPN的三种不同应用

教学方法与手段特色：

电子教案，课件，多媒体教学

布置作业：

后记：

第3章　虚拟专用网络技术

导入案例（集团公司），提出VPN的需求和设置；

 

3.1虚拟专用网络的产生背景

一个网络连接通常包括三个部分:客户机、传输介质和服务器。建立网络连接的传输介质可以是传统的拨号电信网络线路，可以是电信部门提供的DDN专线或固定虚拟线路(Permanent Virtual Circuit，PVC)，例如帧中继(Frame Relay，FR)、异步传输模式(Asynchronous Transfer Mode，ATM)等数据网络，也可以是Internet或其他公共互联网络，还可以是虚拟专用网络。不同的网络连接方法，效果明显不同。

3.1.1          专用通路接入的网络连接

1.常用方法（解释与举例）

(1)个人系统经由Modem通过长途电话拨号，直接接入企业计算中心Modem池，再连入企业内部网络。

(2)用户还可以向电信部门租用DDN

专线或固定虚拟线路来实现从企业分支机构网络接入中央信息系统。

2.优缺点（逐一说明）

3.1.2　通过公共互联网络接入的网络连接

1.通过Internet接入的必要性与面临的威胁

2.具体连接原理:企业利用Internet连接的端到端的数据通路大致由拨入段、外部网络、内部网络三段组成。拨入段:一个到ISP的拨入连接；外部网络:公共互联网络Internet；内部网络:企业内部网络Intranet

3.1.3　通过VPN接入的网络连接

当采用专用通路接入实现企业内部网络与外部目标的网络连接时，比较容易控制网络的可靠性和安全性，但是网络的可扩展性受到限制;当通过公共互联网络接入内部网络时，网络具有较好的可扩展性，但是容易受到不同方式的攻击，网络的安全可靠性面临威胁。由此，弥补了上述缺陷的VPN便应运而生。

3.2虚拟专用网络的基本知识

3.2.1　VPN的概念

虚拟专用网络(Virtual Private Network，VPN)技术，是一种网络连接新技术。所谓“虚拟”是指用户不需要拥有实际的的数据线路，而是使用Internet公共数据网络的长途数据线路。

所谓“专用网络”，是指用户可以制定一个最符合自己需求的网络。虚拟专用网不是真正的专用网络，却能够实现专用网络的功能。

3.2.2　VPN网络的安全技术、

目前VPN主要采用4项技术来保证安全，这4项技术分别是：（逐一举例说明）

隧道技术(Tunneling)；使用者与设备身份认证技术（Authentication）；数据加解密技术（Encryption & Decryption）；密钥管理技术(Key Management)。

3.3        VPN的核心技术——隧道技术

3.3.1　隧道技术的基本原理

3.3.2 隧道协议：隧道是由隧道协议形成的，目前常用的VPN隧道协议有如下4种。（逐一举例说明）PPTP协议、L2TP协议、IPSec协议和SSTP协议。

3.4        常用的VPN实现技术

用户可以根据自己的情况选择VPN实现技术，如：远程访问虚拟网（Access VPN）、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网（Extranet VPN）。这3种类型的VPN分别与传统的远程访问网络、企业内部的Intranet 以及企业网所构成的Extranet相对应。（逐一举例说明）

3.5         虚拟专用网的实现

3.5.1          准备工作

要实现VPN连接，内部网络中必须有一台基于Windows Server 2003以上或Windows Server 2000的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，这就要求VPN服务器必须拥有一个公共的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。在Windows Server 2003中支持两种类型的VPN技术。点对点隧道协议（PPTP）；带有IP协议安全（IPSec）的第二隧道协议（L2TP）

3.5.2 配置VPN服务器（实际操作）

下面以一个远程客户端与一个公司总部VPN服务器之间的连接为例，介绍VPN的安装设置步骤：1、首先，需要公司总部的计算机（以下称为“VPN服务器”）和分公司的计算机（以下称为“VPN客户机”）均应能访问Internet，并且VPN服务器拥有一个Internet上合法的IP地址（即公网IP）。然后，当VPN客户机通过虚拟拨号和VPN服务器连接成功，VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内，任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源，操作方法和普通局域网完全一样。

（1）依次单击【开始】->【程序】->【管理工具】->【路由和远程访问】，打开“路由和远程访问”控制台。

（2）在左边“路由和远程访问”栏中右击“X3650(本地)”，选择“配置并启用路由和远程访问”，打开“路由和远程访问安装向导”窗口，在“欢迎使用路由和远程访问安装向导”中没有可以设置的选项，直接单击“下一步”按钮，出现“配置”对话框。

（3）选择“虚拟专用网络（VPN）访问和NAT”，然后单击“下一步按钮。

（4）在“路由和远程访问服务器安装向导”的“VPN连接”中选择与Internet相连的接口，本例为“本地连接”。然后单击“下一步”按钮。

（5）在出现的对话框“IP地址指定”对话框中需要选择为远程VPN客户端指定IP地址的方法。如果本机配置了DHCP服务器，可以选为“自动”，由本机给客户机分配IP地址；若本机没有配置DHCP服务器，则选为“来自一个指定的地址范围”，本例选择“来自一个指定的地址范围”，如图3-8，然后单击“下一步”按钮。

（6）在“地址范围指定”对话框中可以为VPN客户机指定所分配的IP地址范围。例如，打算分配的IP地址范围为“192.168.0.10～192.168.0.99”，则单击“新建”按钮打开“新建地址范围”窗口，输入IP地址范围后单击“确定”按钮，如图3-9所示，然后单击“下一步”按钮。

v      为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信，它们必须同VPN服务器的IP地址处在同一个网段中。

（7）在“管理多个远程访问服务器”对话框中设置是否集中管理多个VPN服务器。选择“否，使用路由和远程访问来对连接请求进行身份验证”，如图3-10所示，然后单击“下一步”按钮。

（8）出现“正在完成路由和远程访问服务器安装向层”后，单击“完成”按钮结束VPN服务器配置。

3.5.3 赋予用户拨入权限

n       客户机系统以Windows 2003为例，用户可在自己机器上配置VPN客户机

（1）右击“网上邻居”，选择“属性”，打开“网络和拨号连接”窗口。

（2）双击“网络连接”窗口中“新建连接向导”图标，打开“网络连接向导”，在“欢迎使用新建连接向导”中直接单击“下一步”按钮。出现“网络连接类型”对话框，如图3-13所示。

（3）在“网络连接类型”对话框中选择所创建的网络连接类型为“连接到我的工件场所的网络”，然后单击“下一步”按钮，出现图3-14所示的对话框。

（4）在“网络连接”中选择“虚拟专用网络连接”，然后单击“下一步”按钮，出现“连接名”对话框。

（7）在“可用连接”中可以选择此连接仅允许当前客户机当前登录用户使用，还是可让客户机所有用户使用，根据需要进行选择，本例选择“任何人使用”，然后单击“下一步”按钮。

（8）在“完成连接向导”窗口中单击“完成”按钮，完成客户机的配置。

n       设置完成后会自动弹出名为“连接到公司总部”的连接窗口。在“用户名”处输入“shenyuan”，在“密码”处输入相应的密码，然后单击“连接”按钮就可以通过VPN连接到VPN服务器。