第27节 远程访问虚拟专网工作流程及实验演示

本文仅用于学习交流。

1 远程访问虚拟专网概述回顾

（1） 远程访问VPN：Remote Access VPN
（2）适用性：一般用于个人安全连接到企业内部。
（3）使用情况：一般出差员工/在家办公，安全连接内网时使用。
（4）一般需要公司部署VPN服务器，员工在外拨号连接VPN即可。
（5）常见RA-VPN协议：PPTPVPN、L2TP VPN、SSTP VPN、EZVPN/easyVPN（思科私有）、SSL VPN（最常用）。
（6）一般windows自带PPTPVPN和L2TP VPN的服务器及拨号软件。
（7）为什么SSL VPN用得最多：SSL VPN服务器不仅提供VPN服务外，还提供网页访问。员工在外出差时，随便找台电脑，访问网页进行拨号，然后根据提示操作即可。

2 远程访问虚拟专网工作流程

2.1 假设情景：

（1）假设公司在总路由搭配VPN服务器，内网接口私有IP地址172.16.1.1，外网接口公有IP地址100.1.1.1。
（2）公司服务器私有IP地址172.18.1.1。
（3）员工B居家办公，电脑私有IP地址192.168.1.1，电脑安装了VPN软件，家里路由器外网接口公有IP地址200.1.1.1，内网接口私有IP地址192.168.1.254。

2.2 管理连接过程

（1）员工向VPN服务器（对公网地址100.1.1.1）拨号，请求连接内网。
（2）VPN服务器回馈，要求VPN客户端进行身份验证。（可以用服务器本地用户身份验证或域用户身份验证）
（3）员工输入账号密码。
（4）通过后服务器就知道200.1.1.1和自己要建立VPN通道，形成相映的映射表。
（5）然后VPN服务器对VPN客户端下发：（1）访问权限；（2）从原先内置配好的范围里，给一个私有IP地址，如172.17.1.1。（VPN服务器需要先内置一个私有IP地址范围，如172.17.1.1~200，当有员工需要远程访问VPN时为员工提供。）

2.3 数据连接过程：

（1）当员工B要访问公司服务器时，生成以172.17.1.1为源IP地址、以172.18.1.1为目标地址的IP包，经过VPN加密封装（客户端软件）、路由器NAT转换后，数据帧变化如下。

（2）数据帧通过互联网到达VPN服务器的接口上，VPN服务器在上述管理连接阶段已经知道IP200.1.1.1是要以172.17.1.1身份访问内网资源，对数据帧解密及解封装，得到IP包，并送至VPN服务器内部，VPN服务器根据路由表将IP包路由至内网接口。
（3）内网接口对IP包进行NAT转换，将其源IP地址172.17.1.1（主机B正在使用的）替换为VPN服务器自己的172.16.1.1，并封装后发给员工A。转换过程将记录下转换表。

（4）公司服务器收到数据帧，以为是VPN服务器在访问自己，将对VPN服务器回包。
（5）VPN服务器收到公司服务器的数据帧，解封装后，根据步骤3的NAT地址转换表，将IP包的目标地址进行转换，并重新加密及封装。

（6）数据帧经过互联网到达用户B主机，VPN软件解密及解封装。
（7）注意：以上数据传输过程，只要VPN服务器可以访问的资源，出差的员工一般都可以访问。而对于内网的主机或者其他服务器，均认为是VPN服务器在与其通信，已绕过了防火墙对外网数据帧源IP的过滤。

3 远程访问远程访问虚拟专网莫模拟实验演示

3.1 网络拓扑结构

（1）在vmware中开启三台虚拟机，分别为winxp、win2003和win2008，其中win2003上部署VPN服务器。
（2）网络拓扑结构及IP地址布置如下图。
（3）由于win2003需要桥接到两个VMnet上，因此为win2003新增一块网卡，需要搞清楚哪块网卡连接的是左边哪块是右边。


（4）按下图将winXP与win2003桥接到VMnet1网络、将win2003与win7桥接到VMnet8网络。

3.2 配置IP地址

（1）为winXP与win7手动配置好IP地址。

（2）由于win2003有两个IP，为手动为两块网卡分部配置IP，注意需要搞清楚每块网卡的IP。

（3）结果测试：

• 1）尝试用win2003 ping winXP，属于同一网段内部通信，能ping通。反之亦然。
• 2）尝试用win2003 ping win7，属于同一网段内部通信，能ping通。反之亦然。
• 3）尝试用winXP ping win7，不属于同一网段通信，无法ping通。反之亦然。
• 
  

3.3 部署VPN服务器

（1）Windows自带的PPTP和L2TP协议,自带服务器软件，端口号是TCP1723。
（2）cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→没有。

（3）进入win2003系统，点击开始→管理工具→路由和远程管理访问→右键服务器→点击配置并启用路由与远程访问→下一步。


（4）需要配置多个功能，勾选自定义→下一步。

（5）勾选以下选项→下一步→完成→是。

（6）查看VPN服务器端口号的状态。cmd输入命令 netstat -an 查看现在启动的端口是否包含该项。→有。

（7）右键服务器→属性→安全→windows身份验证→IP→部署给远程主机使用的私有IP地址集。


（8）配置地址转换所需的NAT表。右键NAT→新增接口→选择与win7相接的网卡→确定。应注意NAT是配置在哪个接口上。


（9）注意，VPN的服务器需要配置哪些是根据该服务器的工作流程来的。

3.4 新建本地用户，给VPN客户端

（1）右键我的电脑→管理→展开本地用户和组→右键空白→新增用户。

（2）新增用户名与密码分部设置为aa 123。

（3）aa账户是后续用来拨通VPN服务的身份验证。但他还不具备拨入能力。右键该用户→属性→拨入→勾选允许访问。

3.5 winXP向VPN服务器拨号

（1）Windows自带PPTP和L2TP协议是Windows，无需另外安装VPN客户端软件，但是需要启动连接，不同系统的拨号方式不一样。
（2）拨号。右键网上邻居→属性→创建一个新的连接→下一步→连接到网段工作场所。


（3）拨号方式采用VPN→下一步。

（4）构建连接的过程中，公司名是给自己看的，随便写，在输入IP地址是需要按实际需要填写。

（5）勾选生成快捷方式→完成。
（6）开始给VPN服务器拨号，并进行身份验证。采用本地用户的验证方式，属于VPN服务器部署时所设置的账号密码。

（7）查看客户端信息。显示VPN已连接，双击可以查看详细信息。

3.6 winXP访问win2008

测试结果：成功使用winxp ping通 win2008。

4 拓展

问题：当主机给VPN服务器拨号成功后，什么流量走隧道呢？
（1）PC会判断当目标主机与自己在同一网段，直接找目标IP；当目标主机与自己不在同一网段，找网关。那是由于电脑其实也有路由表：一条是直连网段，非直连网段找网关。
（2）给winxp设置网关为100.1.1.254.
（3）未拨号时查看winXP的路由表：一条是直连网段，非直连网段找网关。

（4）拨号后查看winXP的路由表。有两条默认路由，一条是本身的网关，一条是隧道的网关。隧道的网关的管理距离值更小，优先级更高。所以在正常情况下，拨上VPN之后，只要访问其他网段的PC，一律走隧道，都是以VPN服务器的身份访问的。

5 归纳

（1）重点理解远程访问VPN的工作流程。
（2）根据原理来理解及掌握VPN服务器部署的过程（部署服务器、选择身份验证方式、预留私有IP地址池、配置及应用NAT表）。
（3）理解当拨号后，只要访问非本网段的PC，一律走隧道，都是以VPN服务器的身份访问的。

参考文章

[1] 《远程访问虚拟专线网络原理及部署实验》
[2] 视频传送门