《实验3-虚拟专用网 (2).doc》由会员分享,可在线阅读,更多相关《实验3-虚拟专用网 (2).doc(5页珍藏版)》请在金锄头文库上搜索。
1、南昌航空大学实验报告二一三 年 十一 月 八 日课程名称: 信息安全 实验名称: 实验3虚拟专用网 班级: xxx 姓名: xxx 同组人: 指导教师评定: 签名: 一、实验目的通过实验掌握虚拟专用网的实现原理、协议和结构,理解并掌握在Windows操作系统中利用PPTP(点对点隧道协议)和IPSec(IP协议安全协议)配置VPN网络的方法。二、实验原理1.介绍虚拟专用网(Virtual Private Network,VPN)是在公共网络中建立的安全网络连接,它采用了专有的隧道协议,实现了数据的加密和完整性检验、用户的身份认证,从而保证了信息在传输中不被偷看、篡改、复制;类似于在公共网络中建
2、立了一个专线网络一样,只不过这个专线网络是逻辑上,所以称为虚拟专用网。VPN系统的构成如图3-1所示。2.VPN的类型根据网络类型的差异,可以把VPN分为Client-LAN和LAN-LAN两种类型。(1)client-LAN类型的VPNClient-LAN类型的VPN,即远程访问方式的VPN。它提供了一种安全的远程访问手段,实现安全的对企业内部网络资源进行远程访问。它又分为基于Internet远程访问的VPN和基于Intranet远程访问的VPN。使用基于Internet远程访问的VPN,远程访问的客户端首先通过拨号网络连接到当地的ISP(Intemet服务提供商),利用ISP提供的服务通过
3、Internet连接到企业的远程访问服务器,远程访问客户端就可以安全的使用企业内部各种授权的网络资源了,其结构如图3-2所示。图3-1 VPN系统的构成图3-2基于Internet远程访问的VPN拓扑结构对于通过Intranet进行连接的企业内部机构及其远程分支机构,为了保护有些部门的保密信息,可以使用基于Intranet远程访问的VPN,如图3-3所示。这些有安全需求的部门网络与Intranet网络也是物理上连接的,但是这个部门的网络通过VPN服务器与Intranet网络分隔。其它客户端计算机,则需要与保密部门建立安全的VPN连接,并且具有访问保密部门网络资源的权限,才能访问保密部门受保护的
4、网络资源。图3-3基于Intranet远程访问的VPN拓扑结构(2)LAN-LAN类型的VPN为了在不同局域网络之间建立安全的数据传输通道,可以采用LAN-LAN类型的VPN。一般租用专线,网络结构复杂、费用昂贵。而采用LAN-LAN类型的VPN,可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接,再利用VPN的隧道协议实现安全保密需要,就可以满足公司总部与分支机构以及合作企业间的安全网络连接,如图3-4所示。图3-4 LAN-LAN类型的VPN3.VPN的协议VPN采用了多种信息安全技术和网络技术,包括隧道技术、加密解密技术、密钥管理技术和身份认证技术。隧道技术是
5、一种数据封装技术,它利用一种协议来封装在另一种协议中传输,从而实现被封装协议的安全性。现有封装协议主要包括两类:一类是第2层隧道协议:另一类是第3层隧道协议。(1)第2层隧道协议第2层隧道协议主要有3种。一种是点对点隧道协议(Point to Point Tunneling Protocol,PPTP)。另一种是二层转发协议(Layer 2 Forwarding,L2F)。第3种是L2TP(Layer 2 Tunneling Protocol,L2TP),它结合了上述两个协议的优点,(2)第3层隧道协议第3层隧道协议主要包括IPSec和GRE等隧道协议。IPSec(IP Security)协议
6、是IETF IPSec工作组制定的一套保护IP通信安全的协议族,是一个应用广泛、开放的VPN安全协议体系。GRE(Generic Routing Encapsulation)通用路由封装协议是一种将任意类型的网络层数据包封装入另外任意一种网络层数据包的协议。三、实验环境多台Windows 2000 Professional或Windows XP Professional计算机,一台Windows 2000 Server操作系统的计算机,所有计算机均联网。四、实验内容和任务任务一 Windows操作系统中利用PPTP配置VPN网络1.配置VPN服务器我们首先配置VPN的服务器端:在Windows
7、 2000 Server中选择“开始”,进入“程序”中的“管理工具”,单击“路由和远程访问”,弹出如图3-9所示的界面。右击右侧对话框中的服务器名,在弹出的对话框中进入“配置并启用路由和远程访问”,会出现路由和远程服务向导,单击“下一步”按钮。3-9路由和远程访问界面图3-10向导中选中“虚拟专用网络(VPN)服务器” 图3-11 VPN访问所需协议“TCP/IP”协议图3-12 分配远程客户端IP地址查看所有端口状态图3-13 路由和远程访问界面2配置VPN客户端在Windows XP(也可在Windows 2000等系统中配置客户端)中选择“控制面板”中的“网络连接”,进入“新建连接向导”
8、界面,单击“下一步”按钮,选择“连接到我的工作场所的网络”,如图3-15所示,单击“下一步”按钮。图3-14 打开活动目录中用户的属性图3-15 网络连接类型图3-16连接界面-选择“虚拟专用网络连接” 图3-17 属性窗口-配置VPN加密方式 图3-18 高级安全属性的设置3建立VPN连接(1)在客户端连接界面中输入用户名administrator和密码建立与VPN服务器的连接(2)打开“路由和远程访问”窗口,单击“端口”,可以看到一个WAN微型端口的状态已经成为“活动”状态。此时,“远程访问客户端”后面有一个“(1)”,代表已经有一个VPN客户端连接到了VPN服务器。查看此端口的状态,如图
9、3-19所示,可以看到VPN客户端和服务器端之间传输的字节数、连接的时间、客户端的IP等信息。任务二 在Windows中配置IPSec1配置Windows内置的IPSec安全策略在Windows中内置了IPSec安全策略,我们下面以Windows 2000为例介绍,Windows XP与其类似。选择“开始”,进入“程序”中的“管理工具”,进入“本地安全策略”,如图3-20所示。在右侧界面中,Windows缺省情况下,内置了“安全服务器”、“客户端”、“服务器”3个安全选项,每一项的含义菜单中都有解释。图3-19 VPN连接端口的状态信息图3-20 IP安全策略界面图3-21 安全服务器属性右侧
10、“策略已指派”选项为是 图3-22编辑筛选器操作-选中“需要安全” 图3-23确定身份验证方法2配置专用的IPSec安全策略除了利用Windows内置的IPSec安全策略外,我们还可以自己定制专用的IPSec安全策略。右击图3-24中“IP安全策略,在本地计算机”,选择“创建IP安全策略”,则弹出如图3-25所示IP安全策略向导界面。单击“下一步”按钮,要求输入新IP安全策略的名称和描述,再单击“下一步”按钮弹出安全通信请求,我们选择清除“激活默认响应规则”,最后就到了“完成IP规则向导”,选中“编辑属性”后单击“完成”按钮。图3-24 IP安全策略向导 图3-25 IP安全策略向导-选择“编辑属性” 图3-26 IP筛选器列表 “添加”新IP图3-27 新增加的一条IP安全策略五、实验总结在本次实验中采用IPSec隧道模式在两台用作网关的计算机之间配置VPN,分别记录下服务器端和客户端在建立VPN网络连接前后的网络连接状态,在两台计算机上,做同样的Windows内置的IPSec安全策略,然后从一台计算机用ping命令测试两者之间的连接,通过记录结果做比较相关的详细属性,初步掌握了IPSec的机制,以及如何配置VPN。
