admin管理员组文章数量:1637795
远程访问VPN原理及相关命令解析
- 1 远程访问VPN工作原理
- 1.1 情景假设:
- 1.2 管理连接过程
- 1.3 数据连接过程:
- 2 VPN服务器的部署及远程访问
- 2.1 网络拓扑结构
- 2.2 IP配置
- 2.3 VPN服务器部署
- 2.4 VPN访问用户设置
- 2.5 新XP使用VPN访问win7
- 3 总结
1 远程访问VPN工作原理
1.1 情景假设:
- 公司在总路由搭配VPN服务器,内网接口私有IP地址172.16.1.1,外网接口公有IP地址100.1.1.1。
- VPN服务器需要先内置一个私有IP地址范围,如172.17.1.1~200,当有员工需要远程访问VPN时可以提供。
- 员工A在公司办公,私有IP地址172.18.1.1。
- 员工B居家办公,电脑安装了VPN软件,家里路由器外网接口公有IP地址200.1.1.1,内网接口私有IP地址192.168.1.254,电脑私有IP地址192.168.1.1。
1.2 管理连接过程
- 员工向VPN服务器拨号,请求连接内网。
- VPN服务器回馈,要求身份验证。
- 员工输入账号密码。
- VPN服务区验证账号密码,通过后服务器就知道200.1.1.1和自己要建立VPN通道,形成配对的表单。(本地用户身份验证或域用户身份验证)
- 通过后,VPN服务器对员工下发:(1)访问权限;(2)从原先内置配好的范围里,给一个私有IP地址,如172.17.1.1。
1.3 数据连接过程:
- 员工B与员工A通信,生成以172.17.1.1为源IP地址、以172.18.1.1为目标地址的IP包,经过VPN加密封装、路由器NAT转换后,数据帧变化如下。其中172.17.1.1如何变为192.168.1.1的后续再研究。
- 数据帧通过互联网到达公司网关,VPN服务器在上述管理连接阶段已经知道IP200.1.1.1是要以172.17.1.1身份访问内网资源,对数据帧解封装,得到IP包,得知IP包是要发往IP172.18.1.1。
- VPN对IP包进行NAT转换,将其源IP地址172.17.1.1(主机B正在使用的)替换为VPN服务器自己的172.16.1.1,并封装后发给员工A。转换过程将记录下转换表。
- 员工A收到数据帧,以为是VPN服务器在访问自己,将对VPN服务器回包。
- VPN服务器收到员工A的数据帧,解封装后,根据步骤3的地址转换记录,将IP包的目标地址进行转换,并重新加密封装。
- 数据帧经过互联网到达用户B主机,VPN软件解密解封装。
- 理解:以上数据传输过程,对于内网的主机或者其他服务器,均认为是VPN服务器在与其通信,已绕过了防火墙对外网数据帧源IP的过滤。
2 VPN服务器的部署及远程访问
2.1 网络拓扑结构
- 在虚拟机中开启三台主机,其中win2003上部署VPN服务器。
- 将winXP与win2003桥接到VMnet1网络、将win2003与win7桥接到VMnet2网络。
- 接口IP布置如下图。
2.2 IP配置
- 先为win2003新增一块网卡,并手动为两块网卡配置IP,需要搞清楚哪块网卡连接的是左边哪块是右边。
- 为winXP与win7同样手动配置好IP地址。
- 结果测试:
- 尝试用winXP ping win2003,属于同一网段内部通信,无需网关,能ping通。反之亦然。
- 尝试用win2003 ping win7,属于同一网段内部通信,无需网关,能ping通。反之亦然。
- 尝试用winXP ping win7,不属于同一网段通信,无法ping通。反之亦然。
2.3 VPN服务器部署
- Windows自带的PPTP和L2TP协议,端口号是TCP1723。
- cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→没有。
- 进入win2003系统,点击开始→管理工具→路由和远程管理访问→右键服务器→点击配置并启用路由与远程访问→下一步。
- 需要配置多个功能,勾选自定义→下一步。
- 勾选以下选项→下一步→完成→是。
- cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→有。
- 部署给远程主机使用的私有IP地址集。
- 配置地址转换所需的NAT表。右键NAT→新建→选择与win7相接的网卡→确定。
- 应用上述步骤配置的NAT表到对应接口上。
2.4 VPN访问用户设置
- 右键我的电脑→管理→展开本地用户和组→右键空白→新增用户。
- 新增用户名与密码就设置为libai。
- libai是后续用来拨通VPN服务的身份验证。右键该用户→属性→拨入→勾选允许访问。
2.5 新XP使用VPN访问win7
- PPTP和L2TP协议是Windows自带的,无需另外安装软件,但是需要启动连接,不同系统的拨号方式不一样。
- 拨号。右键网上邻居→属性→创建一个新的连接→下一步→连接到网段工作场所。
- 拨号方式采用VPN→下一步。
- 构建连接的过程中,公司名是给自己看的,随便写,在输入IP地址是需要按实际需要填写。
- 勾选生成快捷方式→完成。
- 采用本地用户的验证方式,属于VPN服务器部署时所设置的账号密码。
- 显示VPN已连接,双击可以查看详细信息。
- 测试结果:成功使用winxp ping通 win7。
3 总结
- 重点理解远程访问VPN的工作过程。
- 掌握部署VPN的过程(部署服务器、预留私有IP地址、配置及应用NAT表)。
版权声明:本文标题:第27节 远程访问虚拟专线网络原理及部署实验 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1729255739a1192635.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论