第27节 远程访问虚拟专网工作流程及实验演示
目录
- 1 远程访问虚拟专网概述回顾
- 2 远程访问虚拟专网工作流程
- 2.1 假设情景:
- 2.2 管理连接过程
- 2.3 数据连接过程:
- 3 远程访问远程访问虚拟专网莫模拟实验演示
- 3.1 网络拓扑结构
- 3.2 配置IP地址
- 3.3 部署VPN服务器
- 3.4 新建本地用户,给VPN客户端
- 3.5 winXP向VPN服务器拨号
- 3.6 winXP访问win2008
- 4 拓展
- 5 归纳
- 参考文章
本文仅用于学习交流。
1 远程访问虚拟专网概述回顾
(1) 远程访问VPN:Remote Access VPN
(2)适用性:一般用于个人安全连接到企业内部。
(3)使用情况:一般出差员工/在家办公,安全连接内网时使用。
(4)一般需要公司部署VPN服务器,员工在外拨号连接VPN即可。
(5)常见RA-VPN协议:PPTPVPN、L2TP VPN、SSTP VPN、EZVPN/easyVPN(思科私有)、SSL VPN(最常用)。
(6)一般windows自带PPTPVPN和L2TP VPN的服务器及拨号软件。
(7)为什么SSL VPN用得最多:SSL VPN服务器不仅提供VPN服务外,还提供网页访问。员工在外出差时,随便找台电脑,访问网页进行拨号,然后根据提示操作即可。
2 远程访问虚拟专网工作流程
2.1 假设情景:
(1)假设公司在总路由搭配VPN服务器,内网接口私有IP地址172.16.1.1,外网接口公有IP地址100.1.1.1。
(2)公司服务器私有IP地址172.18.1.1。
(3)员工B居家办公,电脑私有IP地址192.168.1.1,电脑安装了VPN软件,家里路由器外网接口公有IP地址200.1.1.1,内网接口私有IP地址192.168.1.254。
2.2 管理连接过程
(1)员工向VPN服务器(对公网地址100.1.1.1)拨号,请求连接内网。
(2)VPN服务器回馈,要求VPN客户端进行身份验证。(可以用服务器本地用户身份验证或域用户身份验证)
(3)员工输入账号密码。
(4)通过后服务器就知道200.1.1.1和自己要建立VPN通道,形成相映的映射表。
(5)然后VPN服务器对VPN客户端下发:(1)访问权限;(2)从原先内置配好的范围里,给一个私有IP地址,如172.17.1.1。(VPN服务器需要先内置一个私有IP地址范围,如172.17.1.1~200,当有员工需要远程访问VPN时为员工提供。)
2.3 数据连接过程:
(1)当员工B要访问公司服务器时,生成以172.17.1.1为源IP地址、以172.18.1.1为目标地址的IP包,经过VPN加密封装(客户端软件)、路由器NAT转换后,数据帧变化如下。
(2)数据帧通过互联网到达VPN服务器的接口上,VPN服务器在上述管理连接阶段已经知道IP200.1.1.1是要以172.17.1.1身份访问内网资源,对数据帧解密及解封装,得到IP包,并送至VPN服务器内部,VPN服务器根据路由表将IP包路由至内网接口。
(3)内网接口对IP包进行NAT转换,将其源IP地址172.17.1.1(主机B正在使用的)替换为VPN服务器自己的172.16.1.1,并封装后发给员工A。转换过程将记录下转换表。
(4)公司服务器收到数据帧,以为是VPN服务器在访问自己,将对VPN服务器回包。
(5)VPN服务器收到公司服务器的数据帧,解封装后,根据步骤3的NAT地址转换表,将IP包的目标地址进行转换,并重新加密及封装。
(6)数据帧经过互联网到达用户B主机,VPN软件解密及解封装。
(7)注意:以上数据传输过程,只要VPN服务器可以访问的资源,出差的员工一般都可以访问。而对于内网的主机或者其他服务器,均认为是VPN服务器在与其通信,已绕过了防火墙对外网数据帧源IP的过滤。
3 远程访问远程访问虚拟专网莫模拟实验演示
3.1 网络拓扑结构
(1)在vmware中开启三台虚拟机,分别为winxp、win2003和win2008,其中win2003上部署VPN服务器。
(2)网络拓扑结构及IP地址布置如下图。
(3)由于win2003需要桥接到两个VMnet上,因此为win2003新增一块网卡,需要搞清楚哪块网卡连接的是左边哪块是右边。
(4)按下图将winXP与win2003桥接到VMnet1网络、将win2003与win7桥接到VMnet8网络。
3.2 配置IP地址
(1)为winXP与win7手动配置好IP地址。
(2)由于win2003有两个IP,为手动为两块网卡分部配置IP,注意需要搞清楚每块网卡的IP。
(3)结果测试:
- 1)尝试用win2003 ping winXP,属于同一网段内部通信,能ping通。反之亦然。
- 2)尝试用win2003 ping win7,属于同一网段内部通信,能ping通。反之亦然。
- 3)尝试用winXP ping win7,不属于同一网段通信,无法ping通。反之亦然。
3.3 部署VPN服务器
(1)Windows自带的PPTP和L2TP协议,自带服务器软件,端口号是TCP1723。
(2)cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→没有。
(3)进入win2003系统,点击开始→管理工具→路由和远程管理访问→右键服务器→点击配置并启用路由与远程访问→下一步。
(4)需要配置多个功能,勾选自定义→下一步。
(5)勾选以下选项→下一步→完成→是。
(6)查看VPN服务器端口号的状态。cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→有。
(7)右键服务器→属性→安全→windows身份验证→IP→部署给远程主机使用的私有IP地址集。
(8)配置地址转换所需的NAT表。右键NAT→新增接口→选择与win7相接的网卡→确定。应注意NAT是配置在哪个接口上。
(9)注意,VPN的服务器需要配置哪些是根据该服务器的工作流程来的。
3.4 新建本地用户,给VPN客户端
(1)右键我的电脑→管理→展开本地用户和组→右键空白→新增用户。
(2)新增用户名与密码分部设置为aa 123。
(3)aa账户是后续用来拨通VPN服务的身份验证。但他还不具备拨入能力。右键该用户→属性→拨入→勾选允许访问。
3.5 winXP向VPN服务器拨号
(1)Windows自带PPTP和L2TP协议是Windows,无需另外安装VPN客户端软件,但是需要启动连接,不同系统的拨号方式不一样。
(2)拨号。右键网上邻居→属性→创建一个新的连接→下一步→连接到网段工作场所。
(3)拨号方式采用VPN→下一步。
(4)构建连接的过程中,公司名是给自己看的,随便写,在输入IP地址是需要按实际需要填写。
(5)勾选生成快捷方式→完成。
(6)开始给VPN服务器拨号,并进行身份验证。采用本地用户的验证方式,属于VPN服务器部署时所设置的账号密码。
(7)查看客户端信息。显示VPN已连接,双击可以查看详细信息。
3.6 winXP访问win2008
测试结果:成功使用winxp ping通 win2008。
4 拓展
问题:当主机给VPN服务器拨号成功后,什么流量走隧道呢?
(1)PC会判断当目标主机与自己在同一网段,直接找目标IP;当目标主机与自己不在同一网段,找网关。那是由于电脑其实也有路由表:一条是直连网段,非直连网段找网关。
(2)给winxp设置网关为100.1.1.254.
(3)未拨号时查看winXP的路由表:一条是直连网段,非直连网段找网关。
(4)拨号后查看winXP的路由表。有两条默认路由,一条是本身的网关,一条是隧道的网关。隧道的网关的管理距离值更小,优先级更高。所以在正常情况下,拨上VPN之后,只要访问其他网段的PC,一律走隧道,都是以VPN服务器的身份访问的。
5 归纳
(1)重点理解远程访问VPN的工作流程。
(2)根据原理来理解及掌握VPN服务器部署的过程(部署服务器、选择身份验证方式、预留私有IP地址池、配置及应用NAT表)。
(3)理解当拨号后,只要访问非本网段的PC,一律走隧道,都是以VPN服务器的身份访问的。
参考文章
[1] 《远程访问虚拟专线网络原理及部署实验》
[2] 视频传送门
第27节 远程访问虚拟专网工作流程及实验演示相关推荐
- 第25节 IPsec虚拟专网工作原理与配置详解
IPsecVPN目录 1 加密技术概述 2 虚拟专网(VPN)概述 3 虚拟专网(VPN)分类 3.1 远程访问VPN 3.2 点到点VPN 4 IPsecVPN技术 4.1 IPsecVPN概述 4 ...
- 第26节 IPsec虚拟专网配置实验详解及演示
目录 1 网络拓扑及实验要求-基于PacketTracer8.0仿真实验 1.1 实验拓扑图 1.2 实验要求 2 配置过程及命令-基于PacketTracer8.0仿真实验 2.1 配置IP及路由表 ...
- [ 笔记 ] 计算机网络安全_7_虚拟专网技术
[笔记] 计算机网络安全:(7)虚拟专网技术 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录 [笔记] 计算机网络安全:( ...
- 网络安全笔记8——虚拟专网技术
网络安全笔记8--VPN技术 参考课程:中国大学MOOC<网络安全>--北京航空航天大学 本文偏向于有关协议的概述,关于VPN的详细介绍(实现技术.作用等)可以阅读我的另一篇文章--虚拟专 ...
- 【网络基础】第30章 虚拟专网
一.VPN概述 1.VPN(Virtual Private Network):虚拟专有网络.虚拟专网 2.引入: VPN可以实现在不安全的网络上,安全的传输数据,好像专网! VPN只是一个技术,使用 ...
- 5G行业虚拟专网驱动应用规模化发展
[摘 要]5G行业虚拟专网是基于公网优化形成的面向行业服务的专用虚拟网络.通过研究5G行业虚拟专网的演进过程.组网架构以及技术与产业现状,为5G行业融合应用发展提供参考,助力5G应用规模化发展.主要 ...
- 【大数据入门笔记系列】第六节 分布式计算框架MapReduce的工作流程
[大数据入门笔记系列]第六节 分布式计算框架MapReduce的工作流程 前言 MapReduce分布式运算 MapReduceApplication MapTask ReduceTask split ...
- 第20节 核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer
核心交换机配置热备份详解及实验演示 1 网络规划 1.1 核心交换机的重要性及作用 1.2 对核心交换机做热备份 2 拓扑图分析 2.1 网络环路问题及解决方案 2.1.1 网络环路问题 2.1.2 ...
- 华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络
一.SSL配置请参考华为案例: 组网需求 企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源. 图1 移动办公用户使用SecoClient通过SSL **隧道 ...
最新文章
- 【vuejs深入三】vue源码解析之二 htmlParse解析器的实现
- php只显示指定文件类型_php强制下载指定类型的文件
- 编程笔试(解析及代码实现):字符串反转(字符串逆序输出)代码实现十多种方法对比(解析思路及其耗费时间)详细攻略
- 《Android开发从零开始》——29.Content Providers(1)
- 单片机C语言拉高1位,第二讲 单片机C语言之12864液晶显示
- spring boot+mybatisplus集成后访问项目接口404
- 异步编程到底在说啥?
- 联想服务器重装2008,联想ThinkSystem机器安装2008R2详细教程
- MySQL外键命名规范
- 1.极限——例子_2
- SAP License:煤化工企业现场调研感想
- 分布式系统建模与关键技术
- LL1分析构造法_行测技巧:比较构造法两步轻松解决方程题
- 学习.net 2.0需要讲究一下策略
- 用 servlet 来创建一个用户登录界面
- coreseek4.1
- 如何做好项目的培训工作?
- XJOI 3709 测测你的RP
- linux 查看上一级目录,du 使用详解 查看一级目录大小
- UT单元测试总结实践篇