实训项目3教学设计

实训项目3基于WINDOWS实现VPN连接一、实训题目：基于WINDOWS实现VPN连接二、实训目的：1.知道VPN技术原理及特点，熟悉常用的VPN隧道协议；2.能够将VPN技术应用于实际中，解决特定的网络连接需求；3.学会VPN技术在WINDOWS2003上的配置，以实现外部用户总部内部网络的资源访问。三、实训要求：1.准备WINDOWS2003中的路由和远程访问模块；2.准备虚拟机软件（可选）；四、引导文本：1.VPN技术介绍；2.VPN的应用分类；3.VPN所采用的隧道协议特点分类；4.VPN接入方式分类；5.VPN技术优势；6.工具软件使用-VMwareWorkstation虚拟机软件。五、实训步骤：（一）规划设计VPN连接1.远程访问VPN的规划与设计2．点对点通信结构VPN的规划与设计（二）基于WINDOWS实现VPN连接1．远程访问VPN的配置（1）配置VPN服务器在开始-程序-管理工具-选择路由和远程访问。步骤如下：第一步：在本地服务器上右键，选择配置并启用路由和远程访问。第二步：在公共配置中选择虚拟专用网络VPN服务器，后下一步。互联网ISP总公司远程或家庭办公用户互联网ISP总公司BA第三步：选择VPN访问所需的协议。第四步：指定服务器与互联网相连接的网卡。第五步：指定服务器上与内部网络相连接的网卡。第六步：选择远程拔入客户的IP地址来源。第七步：为了安全的客户端拔入，可以设置一个RADIUS服务器，也可以用VPN服务器来进行验证。第八步：点完成后就可以看到正在完成初始化的过程，等完成后就可以接受VPN客户端的拔入了。选择开始-程序-管理工具中的服务，可以看到在服务中的路由和远程访问已经启动了。最后可以看到下面图所示的情况，可以进一步设置远程访问策略。（2）VPN网络的客户端的设置第一步：通过网上邻居右键、属性、选择新建连接。第二步：按要求填写好后点下一步，接下来选择通过Internet连接到专用网络后，下一步。第三步：接着输入VPN服务器的IP地址，按提示下一步最后即可完成。第四步：点完成后出现下图，要求输入VPN服务器上的允许远程拔入的用户名和密码。连接成功后会在右下角的任务栏处有一个网络连接图标。2．点对点通信结构VPN连接的配置（1）学习任务环境设置（2）创建IPSec策略第一步：单击“开始”，“运行”，然后键入secpol.msc以启动“IP安全策略管理”管理单元。互联网ISP总公司BA第二步：右键单击“本地计算机上的IP安全策略”，然后单击“创建IP安全策略”。第三步：单击“下一步”，然后键入策略的名称（例如IPSecTunnelwithnon-MicrosoftGateway）。单击“下一步”。注意：您也可以在“说明”框中键入信息。第四步：单击清除“激活默认响应规则”复选框，然后单击“下一步”。第五步：单击“完成”（让“编辑”复选框保持选中状态）。（3）建立从A到B的筛选器列表第一步：在新策略属性中，单击“使用添加向导”复选框，将其清除，然后单击“添加”以创建新规则。第二步：单击“IP筛选器列表”选项卡，然后单击“添加”。如图所示。第三步：为筛选器列表键入相应的名称，单击“使用添加向导”复选框，将其清除，然后单击“添加”。第四步：在“源地址”框中，单击“一个特定的IP子网”，然后键入A的“IP地址”和“子网掩码”。第五步：在“目标地址”框中，单击“一个特定的IP子网”，然后键入B的“IP地址”和“子网掩码”。第六步：单击“镜像”复选框，将其清除。第七步：单击“协议”选项卡。一定要将“协议类型”设置为“任何”，因为IPSec隧道不支持协议或端口特定的筛选器。第八步：如果要为筛选器键入说明，请单击“说明”选项卡。通常，为筛选器和筛选器列表指定相同的名称不失为一个良策。当隧道为活动状态时，筛选器名称显示在IPSec监视器中。第九步：单击“确定”。（4）建立从B到A的筛选器列表第一步：单击“IP筛选器列表”选项卡，然后单击“添加”。第二步：为筛选器列表键入相应的名称，单击“使用添加向导”复选框，将其清除，然后单击“添加”。第三步：在“源地址”框中，单击“一个特定的IP子网”，然后键入B的“IP地址”和“子网掩码”。第四步：在“目标地址”框中，单击“一个特定的IP子网”，然后键入A的“IP地址”和“子网掩码”。第五步：单击“镜像”复选框，将其清除。第六步：如果要为筛选器键入说明，请单击“说明”选项卡。最后单击“确定”。（5）为A到B隧道配置规则第一步：单击“IP筛选器列表”选项卡，然后单击创建的筛选器列表，将其选中。第二步：单击“隧道设置”选项卡，单击“隧道终结点由此IP地址指定”框，然后键入ip（此处的ip是分配给非Microsoft网关外部网络适配器的IP地址）。第三步：单击“连接类型”选项卡，单击“所有网络连接”（如果不是ISDN、PPP或直连串行连接，则单击“局域网(LAN)”）。第四步：单击“筛选器操作”选项卡，单击“使用添加向导”复选框，将其清除，然后单击“添加”以创建新的筛选器操作，因为默认操作允许明文形式的传入通信流。第五步：保持“协商安全”选项为启用状态，单击“接受不安全的通讯，但总是用IPSec响应”复选框，将其清除。只有这样做才能确保安全操作。第六步：单击“添加”，保持“完整性和加密”选项为选中状态（或者，如果要定义特定的算法和会话密钥寿命，则可选择“自定义（专家用户）”选项）。“封装式安全措施负载”(ESP)是两个IPSec协议之一。第七步：单击“确定”。单击“常规”选项卡，键入新筛选器操作的名称（例如IPSectunnel:ESPDES/MD5），然后单击“确定”。第八步：单击刚创建的筛选器操作，将其选中。第九步：单击“身份验证方法”选项卡，配置所需的身份验证方法（如果为了进行测试，则使用“预共享密钥”，否则使用“证书”）。如果隧道的两个终结点都在受信任域中，并且在隧道的IKE协商期间（在建立隧道前），隧道的两个终结点都可以访问网络上每个受信任域的IP地址（域控制器的IP地址），那么从技术上说，Kerberos是可行的。不过这种情况很少见。最后单击“关闭”。（6）为B到A隧道配置规则第一步：在IPSec策略属性中，单击“添加”以创建新规则。第二步：单击“IP筛选器列表”选项卡，单击您创建的筛选器列表（从B到A），将其选中。第三步：单击“隧道设置”选项卡，单击“隧道终结点由此IP地址指定”框，然后键入IP（此处的IP是分配给WindowsServer2003网关外部网络适配器的IP地址）。第四步：单击“连接类型”选项卡，单击“所有网络连接”（如果不是ISDN、PPP或直连串行连接，则单击“局域网(LAN)”）。与筛选器匹配的接口类型上的所有出站通信流都将尝试通过隧道传输到在规则中指定的隧道终结点。与筛选器匹配的入站通信流将被丢弃，因为它的接收应受到IPSec隧道的安全保护。第五步：单击“筛选器操作”选项卡，然后单击创建的筛选器操作，将其选中。第六步：单击“身份验证方法”选项卡，然后配置在第一个规则中使用的同一种方法（两个规则中必须使用相同的方法）。第七步：单击“确定”，确保您创建的这两个规则在策略中都已启用，然后再次单击“确定”。（7）将新的IPSec策略指派在“本地计算机MMC”管理单元上的“IP安全策略”中，右键单击新策略，然后单击“指定”。该策略旁边的文件夹图标中将出现一个绿色箭头。（三）VPN连接检测1．远程访问VPN的检测在VPN客户端通过VPN服务器连接以后，可以在VPN客户机的系统运行CMD命令，执行Ipconfig可以查看到客户机已经获取的新地址与内部网络中一致了。此时在A主机上ping主机B，发现已经可以连通了。也可以在VPN服务器的路由和远程管理中的“端口”下看到有用户已经连接了。2．点对点通信结构VPN连接的测试可以这样来启动隧道：从A上的计算机向B上的计算机（或从B向A）发出ping命令。如果正确地创建了筛选器并指派了正确的策略，这两个网关将建立一条IPSec隧道，以便通过ping命令以加密格式发送ICMP通信流。即使ping命令能够执行，也应当确认ICMP通信流在这两个网关之间是否以加密格式发送。可以使用以下工具实现这一点。如利用Sniffer软件对数据包进行分析。