第 15 章 VPN 服务的配置与应用

本章导读 VPN 服务概述 VPN 服务器的安装与配置 启动和停止 VPN 服务 VPN 客户端的配置

VPN 服务概述 • VPN 简介 • VPN 的原理 • 流行的 VPN 协议

VPN 简介 如一个员工在北京出差，其企业总部在广州，一个星期下来，光电话费都不少，而且最多也只能达到 ISDN 的连接速度。此外，为了支持多用户同时访问，企业还需要配备多条连接线路。虚拟专用网络（ Virtual Private Network ，缩写为 VPN ）技术正好解决了这个问题，它能够利用廉价的 Internet 或其他公共网络传输数据，即能达到传统专用网络的安全性。远程用户只要能连接上 Internet 随时随地可以安全地接入企业内部网络，在连接时只需要向当地 ISP 支付廉价的 Internet 连接费用即可，而且还可以充分利用宽带接入（如 ADSL ）的速度。

VPN 简介

VPN 的原理 假定现在有一台主机想要通过公共网络（如 Internet ）连入公司的内部网。首先该主机通过拨号等方式连接到公共网络，然后再通过 VPN 拨号方式与公司的 VPN 服务器建立一条虚拟连接。在建立连接的过程中，双方必须确定采用何种 VPN 协议和链接线路的路由路径等。 当隧道建立完成后，用户与公司内部网之间要利用该虚拟专用网进行通信时，发送方会根据所使用的 VPN 协议，对所有的通信信息进行加密，并重新添加上数据报的首部封装成为在公共网络上发送的外部数据报。然后通过公共网络将数据发送至接受方。接受方在接收到该信息后也根据所使用的 VPN 协议，对数据进行解密。 由于在隧道中传送的外部数据报的数据部分（即内部数据报）是加密的，因此在公共网络上所经过的路由器都不知道内部数据报的内容，确保了通信数据的安全。同时也因为会对数据报进行重新封装，所以可以实现其他通信协议数据报在 TCP/IP 网络中传输。

VPN 的原理

流行的 VPN 协议 1 ． L2TP 协议（第二层隧道协议） 2 ． PPTP 协议（点对点隧道协议）

3 ． IPSec （因特网协议安全性）

VPN 服务器的安装与配置 • 配置网络环境 • 安装 VPN 服务器 • 配置 VPN 服务器

配置网络环境 VPN 服务器硬件环境配备了两块网卡，分别为 eth0 和 eth1 ，其中 eth0 连接到内部网络， IP 地址为 192.168.16.177 ； eth1 连接到Internet ， IP 地址为 61.144.55.2 。

安装 VPN 服务器 安装 PPTP 需要内核支持微软点对点加密 MPPE 和 2.4.3 及以上版本的PPP 。 Red Hat Enterprise Linux 5 默认已安装了 2.4.4 版本的 PPP ，而2.6.18 内核也已经集成了 MPPE ，因此只需再安装 PPTP 软件包即可。使用 Web 浏览器访问 http://poptop.sourceforge.net/ yum/stable/rhel5/i386/ ，下载 PPTP 软件包的最新安装版 pptpd-1.3.4-1.rhel5.1.i386.rpm 。然后使用命令 rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm 进行安装。

配置 VPN 服务器 可以通过修改 /etc/pptpd.conf 和 /etc/ppp/chap-secrets 文件来配置 VPN 服务器的运行参数。 1 ．配置主配置文件 （ 1 ）设置 VPN 服务器本地的地址 localip 192.168.16.2 （ 2 ）设置分配给 VPN 客户机的地址段 remoteip 192.168.16.10-200,192.168.16.250

2 ．配置账号文件 账号文件 /etc/ppp/chap-secrets 保存了 VPN 客户机拨入时所使用的账户名、口令和分配的 IP 地址，该文件中每个账户的信息为一行，格式是：账户名 服务 口令 分配给该账户的 IP 地址 3 ．打开 Linux 内核的路由功能 echo "1">/proc/sys/net/ipv4/ip_forward

启动和停止 VPN 服务 1 ．启动 VPN 服务/etc/init.d/pptpd start2 ．停止 VPN 服务/etc/init.d/pptpd stop3 ．重新启动 VPN 服务/etc/init.d/pptpd restart

启动和停止 VPN 服务4 ．自动启动 VPN 服务

如果需要让 VPN 服务随系统启动而自动加载，可以执行“ ntsysv”命令启动服务配置程序，找到“ pptpd” 服务，在其前面加上星号（ * ），然后选择“确定”即可。

15.4 VPN 客户端的配置 1 ．建立 VPN 连接① 鼠标右键单击桌面的“网上邻居”图标，选择快捷菜单中的“属性”命令。② 双击“新建连接向导”图标。③ 在出现的“欢迎使用新建连接向导”对话框中单击“下一步”按钮。

15.4 VPN 客户端的配置④ 在出现的“网络连接类型”对话框中选择“连接到我的工作场所的网络”单选按钮，单击“下一步”按钮 。

15.4 VPN 客户端的配置⑤ 在出现的“网络连接”对话框中选择“虚拟专用网连接”单选按钮，单击“下一步”按钮。

15.4 VPN 客户端的配置⑥ 在出现的“连接名”对话框中输入连接的名称，单击“下一步”按钮 。

15.4 VPN 客户端的配置⑦ 在出现的“ VPN 服务器选择”对话框中输入 VPN 服务器的域名或

IP 地址，单击“下一步”按钮 。

15.4 VPN 客户端的配置⑧ 最后连接向导显示新建连接完成的信息，单击“完成”按钮 。

15.4 VPN 客户端的配置2 ．连接 VPN 服务器① 鼠标右键单击桌面的“网上邻居”图标，选择快捷菜单中的“属性”命令，这时可以在“虚拟专用网络”中看到前面建立的 VPN 连

接图标。

15.4 VPN 客户端的配置② 双击“ VPN 连接图标”图标，在出现的连接对话框中输入登录 VPN 服务器的用户名和密码，然后单击“连接”按钮。③ 这时客户端就开始与 VP

N 服务器连接，并核对用户名和密码。

15.4 VPN 客户端的配置④ 如果连接成功，就会在任务栏的右下角新增加一个网络连接图标。双击该网络连接，然后选择“详细信息”选项卡，如果是使用 PPT

P 和 MPPE 128 加密，则表明 VPN 服务器配置成功，同时还显示当前 VPN 连接获得的 IP 地址。

15.4 VPN 客户端的配置3 ．访问内部网络的资源

由于在 VPN 服务器上使用了命令“echo ”1“>/proc/sys/net/ipv4/ip_forward”打开了 Linux 内核的路由功能，因此客户端可以像在内部网络里一样直接访问各种资源 。

15.5 练习题 【练习 1】建立基于 PPTP 的 VPN 服务器，并根据以下要求配置 VPN 服务器。（ 1 ） VPN 服务器本地的地址为 192.168.16.5 。（ 2 ）分配给 VPN 客户机的地址段为 192.168.16.

100～ 200 。（ 3 ）建立一个名为 abc ，口令为 xyz 的 VPN 拨号账户。【练习 2】在 Windows XP 中建立 VPN 连接，测试 VPN 服务器。