本文仅用于学习交流。

1 远程访问虚拟专网概述回顾

（1） 远程访问VPN：Remote Access VPN
（2）适用性：一般用于个人安全连接到企业内部。
（3）使用情况：一般出差员工/在家办公，安全连接内网时使用。
（4）一般需要公司部署VPN服务器，员工在外拨号连接VPN即可。
（5）常见RA-VPN协议：PPTPVPN、L2TP VPN、SSTP VPN、EZVPN/easyVPN（思科私有）、SSL VPN（最常用）。
（6）一般windows自带PPTPVPN和L2TP VPN的服务器及拨号软件。
（7）为什么SSL VPN用得最多：SSL VPN服务器不仅提供VPN服务外，还提供网页访问。员工在外出差时，随便找台电脑，访问网页进行拨号，然后根据提示操作即可。

2 远程访问虚拟专网工作流程

2.1 假设情景：

（1）假设公司在总路由搭配VPN服务器，内网接口私有IP地址172.16.1.1，外网接口公有IP地址100.1.1.1。
（2）公司服务器私有IP地址172.18.1.1。
（3）员工B居家办公，电脑私有IP地址192.168.1.1，电脑安装了VPN软件，家里路由器外网接口公有IP地址200.1.1.1，内网接口私有IP地址192.168.1.254。

2.2 管理连接过程

（1）员工向VPN服务器（对公网地址100.1.1.1）拨号，请求连接内网。
（2）VPN服务器回馈，要求VPN客户端进行身份验证。（可以用服务器本地用户身份验证或域用户身份验证）
（3）员工输入账号密码。
（4）通过后服务器就知道200.1.1.1和自己要建立VPN通道，形成相映的映射表。
（5）然后VPN服务器对VPN客户端下发：（1）访问权限；（2）从原先内置配好的范围里，给一个私有IP地址，如172.17.1.1。（VPN服务器需要先内置一个私有IP地址范围，如172.17.1.1~200，当有员工需要远程访问VPN时为员工提供。）

2.3 数据连接过程：

（1）当员工B要访问公司服务器时，生成以172.17.1.1为源IP地址、以172.18.1.1为目标地址的IP包，经过VPN加密封装（客户端软件）、路由器NAT转换后，数据帧变化如下。

（2）数据帧通过互联网到达VPN服务器的接口上，VPN服务器在上述管理连接阶段已经知道IP200.1.1.1是要以172.17.1.1身份访问内网资源，对数据帧解密及解封装，得到IP包，并送至VPN服务器内部，VPN服务器根据路由表将IP包路由至内网接口。
（3）内网接口对IP包进行NAT转换，将其源IP地址172.17.1.1（主机B正在使用的）替换为VPN服务器自己的172.16.1.1，并封装后发给员工A。转换过程将记录下转换表。

（4）公司服务器收到数据帧，以为是VPN服务器在访问自己，将对VPN服务器回包。
（5）VPN服务器收到公司服务器的数据帧，解封装后，根据步骤3的NAT地址转换表，将IP包的目标地址进行转换，并重新加密及封装。

（6）数据帧经过互联网到达用户B主机，VPN软件解密及解封装。
（7）注意：以上数据传输过程，只要VPN服务器可以访问的资源，出差的员工一般都可以访问。而对于内网的主机或者其他服务器，均认为是VPN服务器在与其通信，已绕过了防火墙对外网数据帧源IP的过滤。

3 远程访问远程访问虚拟专网莫模拟实验演示

3.1 网络拓扑结构

（1）在vmware中开启三台虚拟机，分别为winxp、win2003和win2008，其中win2003上部署VPN服务器。
（2）网络拓扑结构及IP地址布置如下图。
（3）由于win2003需要桥接到两个VMnet上，因此为win2003新增一块网卡，需要搞清楚哪块网卡连接的是左边哪块是右边。


（4）按下图将winXP与win2003桥接到VMnet1网络、将win2003与win7桥接到VMnet8网络。

3.2 配置IP地址

（1）为winXP与win7手动配置好IP地址。

（2）由于win2003有两个IP，为手动为两块网卡分部配置IP，注意需要搞清楚每块网卡的IP。

（3）结果测试：

• 1）尝试用win2003 ping winXP，属于同一网段内部通信，能ping通。反之亦然。
• 2）尝试用win2003 ping win7，属于同一网段内部通信，能ping通。反之亦然。
• 3）尝试用winXP ping win7，不属于同一网段通信，无法ping通。反之亦然。
• 
  

3.3 部署VPN服务器

（1）Windows自带的PPTP和L2TP协议,自带服务器软件，端口号是TCP1723。
（2）cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→没有。

（3）进入win2003系统，点击开始→管理工具→路由和远程管理访问→右键服务器→点击配置并启用路由与远程访问→下一步。


（4）需要配置多个功能，勾选自定义→下一步。

（5）勾选以下选项→下一步→完成→是。

（6）查看VPN服务器端口号的状态。cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→有。

（7）右键服务器→属性→安全→windows身份验证→IP→部署给远程主机使用的私有IP地址集。


（8）配置地址转换所需的NAT表。右键NAT→新增接口→选择与win7相接的网卡→确定。应注意NAT是配置在哪个接口上。


（9）注意，VPN的服务器需要配置哪些是根据该服务器的工作流程来的。

3.4 新建本地用户，给VPN客户端

（1）右键我的电脑→管理→展开本地用户和组→右键空白→新增用户。

（2）新增用户名与密码分部设置为aa 123。

（3）aa账户是后续用来拨通VPN服务的身份验证。但他还不具备拨入能力。右键该用户→属性→拨入→勾选允许访问。

3.5 winXP向VPN服务器拨号

（1）Windows自带PPTP和L2TP协议是Windows，无需另外安装VPN客户端软件，但是需要启动连接，不同系统的拨号方式不一样。
（2）拨号。右键网上邻居→属性→创建一个新的连接→下一步→连接到网段工作场所。


（3）拨号方式采用VPN→下一步。

（4）构建连接的过程中，公司名是给自己看的，随便写，在输入IP地址是需要按实际需要填写。

（5）勾选生成快捷方式→完成。
（6）开始给VPN服务器拨号，并进行身份验证。采用本地用户的验证方式，属于VPN服务器部署时所设置的账号密码。

（7）查看客户端信息。显示VPN已连接，双击可以查看详细信息。

3.6 winXP访问win2008

测试结果：成功使用winxp ping通 win2008。

4 拓展

问题：当主机给VPN服务器拨号成功后，什么流量走隧道呢？
（1）PC会判断当目标主机与自己在同一网段，直接找目标IP；当目标主机与自己不在同一网段，找网关。那是由于电脑其实也有路由表：一条是直连网段，非直连网段找网关。
（2）给winxp设置网关为100.1.1.254.
（3）未拨号时查看winXP的路由表：一条是直连网段，非直连网段找网关。

（4）拨号后查看winXP的路由表。有两条默认路由，一条是本身的网关，一条是隧道的网关。隧道的网关的管理距离值更小，优先级更高。所以在正常情况下，拨上VPN之后，只要访问其他网段的PC，一律走隧道，都是以VPN服务器的身份访问的。

5 归纳

（1）重点理解远程访问VPN的工作流程。
（2）根据原理来理解及掌握VPN服务器部署的过程（部署服务器、选择身份验证方式、预留私有IP地址池、配置及应用NAT表）。
（3）理解当拨号后，只要访问非本网段的PC，一律走隧道，都是以VPN服务器的身份访问的。

参考文章

[1] 《远程访问虚拟专线网络原理及部署实验》
[2] 视频传送门

第27节 远程访问虚拟专网工作流程及实验演示相关推荐

1. 第25节 IPsec虚拟专网工作原理与配置详解

   IPsecVPN目录 1 加密技术概述 2 虚拟专网(VPN)概述 3 虚拟专网(VPN)分类 3.1 远程访问VPN 3.2 点到点VPN 4 IPsecVPN技术 4.1 IPsecVPN概述 4 ...

2. 第26节 IPsec虚拟专网配置实验详解及演示

   目录 1 网络拓扑及实验要求-基于PacketTracer8.0仿真实验 1.1 实验拓扑图 1.2 实验要求 2 配置过程及命令-基于PacketTracer8.0仿真实验 2.1 配置IP及路由表 ...

3. [ 笔记 ] 计算机网络安全_7_虚拟专网技术

   [笔记] 计算机网络安全:(7)虚拟专网技术 网络安全基础 internet协议的安全性 Web安全 网络扫描和网络监听 防火墙原理与设计 入侵检测系统 VPN技术 目录 [笔记] 计算机网络安全:( ...

4. 网络安全笔记8——虚拟专网技术

   网络安全笔记8--VPN技术 参考课程:中国大学MOOC<网络安全>--北京航空航天大学 本文偏向于有关协议的概述,关于VPN的详细介绍(实现技术.作用等)可以阅读我的另一篇文章--虚拟专 ...

5. 【网络基础】第30章 虚拟专网

   一.VPN概述 1.VPN(Virtual  Private Network):虚拟专有网络.虚拟专网 2.引入: VPN可以实现在不安全的网络上,安全的传输数据,好像专网! VPN只是一个技术,使用 ...

6. 5G行业虚拟专网驱动应用规模化发展

   [摘  要]5G行业虚拟专网是基于公网优化形成的面向行业服务的专用虚拟网络.通过研究5G行业虚拟专网的演进过程.组网架构以及技术与产业现状,为5G行业融合应用发展提供参考,助力5G应用规模化发展.主要 ...

7. 【大数据入门笔记系列】第六节 分布式计算框架MapReduce的工作流程

   [大数据入门笔记系列]第六节 分布式计算框架MapReduce的工作流程 前言 MapReduce分布式运算 MapReduceApplication MapTask ReduceTask split ...

8. 第20节 核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer

   核心交换机配置热备份详解及实验演示 1 网络规划 1.1 核心交换机的重要性及作用 1.2 对核心交换机做热备份 2 拓扑图分析 2.1 网络环路问题及解决方案 2.1.1 网络环路问题 2.1.2 ...

9. 华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络

   一.SSL配置请参考华为案例: 组网需求 企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源. 图1 移动办公用户使用SecoClient通过SSL **隧道 ...

最新文章

1. 【vuejs深入三】vue源码解析之二 htmlParse解析器的实现
2. php只显示指定文件类型_php强制下载指定类型的文件
3. 编程笔试(解析及代码实现)：字符串反转(字符串逆序输出)代码实现十多种方法对比(解析思路及其耗费时间)详细攻略
4. 《Android开发从零开始》——29.Content Providers(1)
5. 单片机C语言拉高1位,第二讲 单片机C语言之12864液晶显示
6. spring boot+mybatisplus集成后访问项目接口404
7. 异步编程到底在说啥？
8. 联想服务器重装2008,联想ThinkSystem机器安装2008R2详细教程
9. MySQL外键命名规范
10. 1.极限——例子_2
11. SAP License：煤化工企业现场调研感想
12. 分布式系统建模与关键技术
13. LL1分析构造法_行测技巧：比较构造法两步轻松解决方程题
14. 学习.net 2.0需要讲究一下策略
15. 用 servlet 来创建一个用户登录界面
16. coreseek4.1
17. 如何做好项目的培训工作？
18. XJOI 3709 测测你的RP
19. linux 查看上一级目录,du 使用详解 查看一级目录大小
20. UT单元测试总结实践篇

热门文章

1. 国产手游开源引擎Beyond Engine简介
2. 第十三章 半监督学习
3. Labview 运行myrio发生冲突：拒绝访问：该终端配置的语言无法兼容主机LabVIEW语言。对于实时终端，可通过MAX修改终端的语言环境，确保终端语言与主机语言一致。
4. 天线为什么会有多次谐振_天线谐振是怎么回事？
5. 阿里云StreamCompute流计算架构
6. performSelector的具体用法
7. 自己动手玩转深度学习项目
8. JS获取当前时间作为订单编号
9. 在linux系统下实现SHELL自动化批量备份交换机配置文件
10. Pythonshellcode编码+混淆免杀