Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程（第二版）課件：配置與管理VPN服務(wù)器

Linux網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程（第二版）

配置與管理VPN服務(wù)器項目12配置與管理VPN服務(wù)器

項目描述：某高校組建了校園網(wǎng)，并且已經(jīng)架設(shè)了Web、FTP、DNS、DHCP、Mail等功能的服務(wù)器來為校園網(wǎng)用戶提供服務(wù)，現(xiàn)有下面問題需要解決。只要能夠訪問互聯(lián)網(wǎng)，不論是在家中還是出差在外，都可以輕松訪問未對外開放的校園網(wǎng)內(nèi)部資源（文件和打印共享、Web服務(wù)、FTP服務(wù)、OA系統(tǒng)等）。要解決這個問題則需要開通校園網(wǎng)遠程訪問功能。即在Linux服務(wù)器上安裝與配置VPN服務(wù)器。

項目目標(biāo)：●理解遠程訪問VPN的構(gòu)成和連接過程●掌握配置并測試遠程訪問VPN的方法12.1

相關(guān)知識12.3項目實施12.5

練習(xí)題12.6

超級鏈接項目12配置與管理VPN服務(wù)器12.2項目設(shè)計與準(zhǔn)備12.4

項目實錄

12.1

相關(guān)知識12.1.1VPN工作原理VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是專用網(wǎng)絡(luò)的延伸，它模擬點對點專用連接的方式通過Internet或Intranet在兩臺計算機之間傳送數(shù)據(jù)，是“線路中的線路”，具有良好的保密性和抗干擾能力。虛擬專用網(wǎng)提供了通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)遠程訪問的連接方式。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展，虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可靠的安全連接，并保證數(shù)據(jù)安全傳輸。虛擬專用網(wǎng)是使用Internet或其他公共網(wǎng)絡(luò)來連接分散在各個不同地理位置的本地網(wǎng)絡(luò)，在效果上和真正的專用網(wǎng)一樣。如圖所示，說明了如何通過隧道技術(shù)實現(xiàn)VPN。12.1.2VPN的特點和應(yīng)用1．VPN的特點VPN具有以下特點。（1）費用低廉。（2）安全性高。（3）支持最常用的網(wǎng)絡(luò)協(xié)議。（4）有利于IP地址安全。（5）管理方便靈活。（6）完全控制主動權(quán)。12.1.2VPN的特點和應(yīng)用2．VPN的應(yīng)用場合一般來說，VPN使用在以下兩種場合。（1）遠程客戶端通過VPN連接到局域網(wǎng)。（2）兩個局域網(wǎng)通過VPN互連。除了使用軟件方式實現(xiàn)外，VPN的實現(xiàn)需要建立在交換機、路由器等硬件設(shè)備上。目前，在VPN技術(shù)和產(chǎn)品方面，最具有代表性的當(dāng)數(shù)Cisco和華為3Com。12.1.3VPN協(xié)議

12.1.3VPN協(xié)議

12.1.3VPN協(xié)議

12.2項目設(shè)計及準(zhǔn)備

12.2.1項目設(shè)計在進行VPN網(wǎng)絡(luò)構(gòu)建之前，我們有必要進行VPN網(wǎng)絡(luò)拓撲規(guī)劃。圖所示是一個小型的VPN實驗網(wǎng)絡(luò)環(huán)境（可以通過VMWare虛擬機實現(xiàn)該網(wǎng)絡(luò)環(huán)境）。12.2.2項目準(zhǔn)備12.3項目實施12.3.1任務(wù)1安裝VPN服務(wù)器12.3.1任務(wù)1安裝VPN服務(wù)器1．下載所需要的安裝包文件●dkms--1.noarch.rpm●kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm●ppp-2.4.4-14.1.rhel5.i386.rpm●pptpd-1.3.4-2.rhel5.i386.rpm12.3.1任務(wù)1安裝VPN服務(wù)器執(zhí)行如下命令（也可以直接登錄/yum/stable/packages/網(wǎng)站，根據(jù)目錄列表下載相關(guān)的軟件包）。[root@vpn～]#wget/yum/stable/packages/dkms--1.noarch.rpm[root@vpn～]#wget/yum/stable/packages/kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm[root@vpn～]#wget/yum/stable/packages/ppp-2.4.4-14.1.rhel5.i386.rpm[root@vpn～]#wget/yum/stable/packages/pptpd-1.3.4-2.rhel5.i386.rpm12.3.1任務(wù)1安裝VPN服務(wù)器2．依次安裝已下載的安裝包文件，執(zhí)行如下命令12.3.1任務(wù)1安裝VPN服務(wù)器12.3.2任務(wù)2配置VPN服務(wù)器1．網(wǎng)絡(luò)環(huán)境配置為了能夠正常監(jiān)聽VPN客戶端的連接請求，VPN服務(wù)器需要配置兩個網(wǎng)絡(luò)接口。一個和內(nèi)網(wǎng)連接，另外一個和外網(wǎng)連接。在此我們?yōu)閂PN服務(wù)器配置了eth0和eth1兩個網(wǎng)絡(luò)接口。其中eth0接口用于連接內(nèi)網(wǎng)，IP地址為；eth1接口用于連接外網(wǎng)，IP地址為。12.3.2任務(wù)2配置VPN服務(wù)器2．修改主配置文件PPTP服務(wù)的主配置文件“/etc/pptpd.conf”有如下兩項參數(shù)的設(shè)置工作非常重要，只有在正確合理地設(shè)置這兩項參數(shù)的前提下，VPN服務(wù)器才能夠正常啟動。12.3.2任務(wù)2配置VPN服務(wù)器12.3.2任務(wù)2配置VPN服務(wù)器3．配置賬號文件賬戶文件“/etc/ppp/chap-secrets”保存了VPN客戶機撥入時所使用的賬戶名、口令和分配的lP地址，該文件中每個賬戶的信息為獨立的一行，格式如下。賬戶名 服務(wù) 口令 分配給該賬戶的IP地址本例中文件內(nèi)容如下所示。本例中分配給long賬戶的IP地址參數(shù)值為“*”，表示VPN客戶機的IP地址由PPTP服務(wù)隨機在地址段中選擇，這種配置適合多人共同使用的公共賬戶。12.3.2任務(wù)2配置VPN服務(wù)器4．/etc/ppp/options-pptpd該文件各項參數(shù)及具體含義如下所示?？梢愿鶕?jù)自己網(wǎng)絡(luò)的具體環(huán)境設(shè)置該文件。至此，我們安裝并配置的VPN服務(wù)器已經(jīng)可以連接了。12.3.2任務(wù)2配置VPN服務(wù)器12.3.2任務(wù)2配置VPN服務(wù)器12.3.2任務(wù)2配置VPN服務(wù)器12.3.2任務(wù)2配置VPN服務(wù)器（4）自動啟動VPN服務(wù)。需要注意的是，上面介紹的啟動VPN服務(wù)的方法只能運行到計算機關(guān)機之前，下一次系統(tǒng)重新啟動后就又需要重新啟動它了。能不能讓它隨系統(tǒng)啟動而自動運行呢？答案是肯定的，而且操作起來還很簡單。在桌面上單擊右鍵，選擇“打開終端”，在打開的“終端”窗口輸入“ntsysv”就打開了RedHatEnterpriseLinux5下的“服務(wù)”配置小程序，找到“pptpd”服務(wù)，并在它前面按空格鍵加個“*”號。這樣，VPN服務(wù)就會隨系統(tǒng)啟動而自動運行了。12.3.2任務(wù)2配置VPN服務(wù)器12.3.3任務(wù)3配置VPN客戶端1．建立VPN連接建立VPN連接的具體步驟如下。（1）用鼠標(biāo)右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo)，在彈出的快捷菜單中選擇“屬性”選項，打開“網(wǎng)絡(luò)連接”窗口。（2）雙擊“新建連接向?qū)А眻D標(biāo)，會打開“新建連接向?qū)А睂υ捒?。?）單擊“下一步”按鈕，打開“網(wǎng)絡(luò)連接類型”設(shè)置對話框，我們選擇“連接到我的工作場所的網(wǎng)絡(luò)”選項，如圖（4）單擊“下一步”按鈕，打開“網(wǎng)絡(luò)連接”設(shè)置對話框，我們選擇“虛擬專用網(wǎng)絡(luò)連接”選項，如圖12.3.3任務(wù)3配置VPN客戶端（5）單擊“下一步”，設(shè)置是否允許所有用戶使用此連接，在此我們選擇“所有用戶使用此連接”。（6）單擊“下一步”按鈕，打開“連接名”對話框，這里設(shè)置公司名為“jn-VPN”，如圖（7）單擊“下一步”按鈕，選擇VPN客戶端接入Internet網(wǎng)絡(luò)的連接方式。在此選擇“不撥初始連接”。（8）單擊“下一步”按鈕，打開“VPN服務(wù)器選擇”對話框，我們設(shè)置VPN服務(wù)器的IP地址為“”，如圖12.3.3任務(wù)3配置VPN客戶端12.3.3任務(wù)3配置VPN客戶端（4）在客戶端以smile用戶登錄，在連接成功之后在VPN客戶端利用ipconfig命令可以看到多了一個ppp連接，如圖所示。在VPN服務(wù)器端利用ifconfig命令可以看到多了一個ppp0連接，如圖12.3.3任務(wù)3配置VPN客戶端12.3.3任務(wù)3配置VPN客戶端

（1）VPN服務(wù)器有兩個網(wǎng)絡(luò)接口：eth0、eth1。eth0接內(nèi)部網(wǎng)絡(luò)，IP是/24，eth1接入Internet，IP是/24。

（2）內(nèi)部局域網(wǎng)的網(wǎng)段為/24，其中內(nèi)部網(wǎng)的一臺用作測試的計算機的IP是00/24。（3）VPN客戶端是Internet上的一臺主機，IP是/24。實際上客戶端和VPN服務(wù)器通過Internet連接，為了實驗方便省略了其間的路由，這一點請讀者要注意。

3．不同網(wǎng)段IP地址小結(jié)12.3.3任務(wù)3配置VPN客戶端（4）主配置文件“/etc/pptpd.conf”的配置項“l(fā)ocalip00”定義了VPN服務(wù)器連接后的ppp0連接的IP地址。