前言

为了帮助学生完成艰苦的实验课程设计,作者将他的实验结果和代码贴在CSDN上,用于学习目的,如果有缺陷或描述不完善,请叫他们出来,欢迎你加入斧头!

一、实验目的

1. 掌握道德网络的理念和业务原则
2. 将PPTP外地网络配置为视窗系统;
3. 在Windows系统中配置 IPSec 公共私人网络。

二、实验原理

1. 道德网络理念
虚拟专用网，这是一个专门网络,在许多地方实际分布。一个虚拟子网络,通过使用不受信任的公共网络建立逻辑信任。进行安全通信。它们加盖为“虚拟”标记,因为它们不允许使用“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”或“虚拟”。这是因为它采用基于实际连接的逻辑连接。客户应用程序不知道实际的实际连接。在通过互联网的旅行完成之后,与专用网络相同的路由器安全。
互联网是该国私营部门首次创建的。这是一种广域网技术,可用于取代专门网络。在合作使用网络资源的同时,用户网络的安全、稳定和管理可能都得到保证。监管网络使用不是Virtuary私人网络的责任。它可以建在互联网上的IP网络或ISP上。也可以使用架子中继器或无同步传输方法等网络来建造。
道德网络系统的组成部分包括道德私人网络服务器。隧道和虚拟私人网络客户因为互联网被用于传输而不是线路租赁,费用极为低廉，由于采用虚拟私人网络,各组织现在可以安全、负担得起地在因特网上发送私人秘密信息。
2. 道德网络的分类和特征
在应用方面,道德网络有三种类型:
(1) 远程数字专用网络接入从这个意义上讲,远程用户不再像传统的远程网络接入一样。这是公司远程入口的拨号连接用户的住址由ISP拨打。利用道德网络技术,在公共网络上建造了通往道德网络网关的安全传输隧道。图3.52显示。

远程访问(图3.52)。
在外地需要移动办公室的情况下,远程访问道德网络是适当的,不仅能确保连通性安全,而且能大大减少通信费用。
(二) 私营内联网网。您可以使用道德网络功能在互联网上创建全球内联网数字网络。因特网线路被用来确保网络连通。除了隧道、加密和其他能力之外,还可以利用数字私人网络。数据可通过内联网虚拟私人网络安全发送。可通过使用共享基础设施和专用连接,利用内联网数字专用网络作为信息交流工具。将机构总部、分支办事处和遥远办事处联系起来。见图3.53。

内联网虚拟私人网络(图3.53)。
内部私人网络适合于外地设立分支机构的情况,当时,外国分支机构通过ISP与该部建立了与虚拟私人网络的安全联系。
(3) 外联网私人网络(外联网私人网络)。外联网民间私人网络主要扩大了内联网民间私人网络的覆盖范围。这一类别与前一类没有明显区别。然而,各种企业的网络相互沟通。应更多地考虑设备连接、地址协调、隧道启动和安全战略讨论。利用道德网络技术建立的安全外联网。它能够向客户和合作伙伴提供有效的信息服务。它还确保其内部网络的安全。图3.54显示。

图3.54 民间私人网络外联网
外联公私网络是同业务伙伴建立联系的理想办法。这时，为了连接公共基础设施,常常需要专用线路。它还利用电子商务软件等,建立与新闻部虚拟私人网络的连接。
3．隧道技术
简言之,隧道是一种技术,采用一种形式的协议转让另一种形式的协议。
1 根据隧道协定,拟转让的数据集(框架)是密封的,待密封的数据(或装载)可以是数据框架或不同协议的包件。
新的包头包含路径信息, 能够将封装的载荷数据传输到互联网上。 “ 隧道” 一词是指密封的数据集在公共网络上的逻辑路径 。
密封数据包到达网络端点后,将拆包并交付主机。
因此,隧道技术涵盖整个过程,包括数据封装、传输和拆解。
隧道可分为两类。
客户计算机要求配置和通过传输道德网络形成自愿隧道。 在此点上,用户端计算机成为隧道客户,成为隧道终点。
强制隧道。利用道德网络能力网络访问服务器(NAS)建立和建造必要的隧道。用户的计算机不能作为隧道的终止。相反,客户电脑和隧道服务器之间的NAS充当隧道客户。成为隧道的终点
4．隧道协议
下文列举了一些共同隧道协议的例子。
(1) 点对点隧道议定书。PPTP(点对点隧道议定书)是一项包封协定,得到微软、Ascend、3Com等的支持。确保PPTP客户端与服务器之间的安全连接。这是无法想象的,因为微软的服务器操作系统拥有很大的市场份额。因此,PPTP成为PPTP的关键技术,成为PPVateNetwork的核心基础设施。因此,PPTP成为隧道技术中最常用的协议。
PPTP在数据链层运作。允许对 IP，通过 IPX 或 NetBEUI 传输的数据已加密 。然后包裹在IP包中,通过公司IP网络或公共互联网传送。它从囊括数据链层次开始。形成 PPP帧。然后，包括GRE包装信头这是政府第一次使用互联网作为工具。允许将任何链层数据发送到 IP 网络 。之后，使用源代码和目的IP地址完成 IP 页眉 。图3.55说明了所附的PPTP数据包格式。

图 3.55
(2) 知识产权担保协议。为通过知识产权获得安全连接的保证,IETF IPSec创建了一系列协议,以确保IP通信的安全。它在IP层运作。知识产权层及以上的协议受到保护。IPSEC提供安全服务,如出入控制、数据完整性断开、数据源认证、保密等。
《AH(核证议定书负责人)协定》和《ESP(安全覆盖)协定》是两项网络安全协定,《IKE(因特网钥匙交换)协定》是关键谈判协定之一。
ESP和AH协议目前正在封存 IPSec 数据。采用了若干安全要素,例如加密方法、钥匙等。两个IPsec连接的PC或网关必须使用相同的参数。这是结束一端的唯一方法另一端进行解封。要做到这一点,需要在两个目的之间进行协商。在 IPSec 中,SA(安全联盟)界定了安全标准。
(3) GRE(《公路覆盖总协定》)。GRE是一种封装技术,将任何网络层数据包都包在另一个网络层数据包中。首先,原始数据包包裹在GRE数据包中。后来在一项新的协议中正式确定。因此,任何网络层数据现在都可以封装。见图3.56。

GRE 治疗指示(图3.56)。
(4) 第二级隧道议定书(L2TP)。L2TP具体规定了公共网络基础设施(如购买力平价框架)使用IP网络、自动取款机网络或框架中继网络的包件交换机制进行加密的方式。L2TP结合了PPTP和L2F的好处。允许对 IP，通过 IPX 或 NetBEUI 传输的数据已加密 。然后通过允许点对点数据传输的任何网络传输。L2TP是远程访问的最佳选择。

三、实验环境

(1) 2003年一台带有Windows服务器的PC,2003年一台带有Windows 200/XP/2003服务器操作系统的PC2。
(二) 运行Windows 2003服务器的PC(PC1)将用作道德私人网络服务器。这台电脑应该安装两张以太网卡一块与互联网相连，另一个组成部分与局域网连接,PC4可上网进入虚拟私人网络服务器。PC1和PC4可立即连接互联网。实验用局域网取代互联网(局域网)(实验设置见图3)。抱歉,我不知道该说什么。

图3.57 实验环境

四、实验内容

在 Windows 上配置 PPTP 虚拟私人网络 。
(1) 道德网络服务器配置
要让 Windows 2003 服务器能够接受客户的虚拟私人网络, 必须首先配置道德网络服务器 。
1个在微软Windows 2003服务器,管理工具开放了线路和远程访问。在弹出界面上,在左面板中选择 SERVER (服务器名称) 。在其上右击，应选择 " 配置和启用路线及远程访问 " 。见图3.58。

图3.58:远程接入接口和线路
②进行上述操作后，“ 麻烦和远程访问服务器设置向导” 已被弹出 。图3.59显示。应选择“远程访问(数字或数字私人网络)” 。然后按下下一个按钮 。图3选取了“虚拟私人网络”。允许人们通过公共网络连接到此服务器 。

图3.59 路线和远程访问服务的向导安装

图3.60 选择远程访问类型
③然后按下下一个按钮 。进入如图 3.61 的页面，按照系统提示选择一个该服务器所使用的 Internet 连接。

图3.61 选择互联网连接
④然后按下下一个按钮 。进入如图 3.62 的页面，按照系统提示为Virtual Private Network客户端指定想要使用的网络。

图3.62界定道德网络客户将使用的网络。
⑤然后按下下一个按钮 。在为远程客户端指定 IP 地址的界面中，进行选择。如果已在服务器端安装好了 DHCP 服务器，可以选“自动”；否则选择“来自一个指定的地址范围”。如图 3.63 所示。

图3. 选择63个IP 地址指定方法
⑥然后按下下一个按钮 。进入如图 3.64 所示的页面，选择是否使用 RADIUS 服务器管理所有远程访问服务器，选择默认的“否，使用路由和远程访问来对连接请求进行身份认证”，即可完成最后的设置。

图3.64:RADIUS服务器是否处理若干远程访问服务器?
打开管理工具中的“ 服务” 标签, 以验证“ 运行和远程访问” 选项设置为“ 启动 ” 。
虚拟专用网络端口的设置如下。打开管理工具的路径和远程访问。在左面板中,请选择端口,它显示指定的端口 。图3:该项目是我们对2011年埃及抗议的特别报道的一部分。由于PPTP虚拟私人网络尚不存在,目前使用PPTP链接不可行。因此,港口地位是“不活跃的”。

图3.65:远程接入接口和路线
右键单击“ 端口 ”, 选择“ 属性 ”, 并设置该端口使用的虚拟私人网络协议, 如图3. 66所示 。

图3.66:虚拟私营网络港口的特点
选择“WAN Mini-Interface (PPTP) ” 。单击“配置”按钮。在弹出框中,选择“远程连接连接”和“请求拨号线路选择连接”。在“ Max Ports” 中, 您可以选择道德网络连接同时打开的连接数量 。见图3.67。单击“确定”按钮，虚拟私人网络端口配置已完成 。

图3.67:虚拟私营网络港口的特点
由于默认,任何用户都被拒绝访问服务器。因此,为了允许用户访问该服务器,必须启动管理工具的用户管理员。启动了“计算机管理管理工具”。从本地用户和组列表中选择所需的用户 。在其上右击，选择“属性”，现在,我们选择署长的用户。见图3.68。然后选择 " 拨入 " 标签,打开用户属性窗口。选中“允许访问”，可以利用因特网向用户提供信息,使客户能够作为管理员访问虚拟私人网络服务器。见图3.69。单击“确定”按钮，这样您就可以完成向用户提供访问权限的过程 。

3.68 显示用户属性

图3.69 配置拨号权限
(2) 建立虚拟私人网络客户
1 打开客户端控制面板中的网络连接,并进入新连接向导界面。在已建网络连接类型界面中,选择“连接我工作场所的网络”,如图3.70所示。

图3.70 确定网络连接类型
2 在新建的网络连接界面上,选择“虚拟私人网络连接”,例如图3.71显示。单击下一个按钮。

图3.71 网络连接界面
3 在弹出连接名称界面中,输入连接到它的连接的名称,例如图3.72 显示。单击下一个按钮。

连接名称接口(图3.72)
4岁儿童将在未来的接口中有所作为。要具体说明第一个连接是否应该预写,这是首次建立公共网络以确保其连通性。我们用"没有初始连接。"下一位,按下按钮必须把道德网络服务器的 IP 地址或主机名放在新接口中 。见图3.73。

图3:73个虚拟私营网络服务器服务器终端配置
根据最后提示,您可以完成连接建设 。
要激活虚拟私人网络连接,请打开先前创建的新连接,并在弹出框中输入用户名和密码,如图3.74所示。

图3.74:连接接口
在连接界面上,单击“属性”按钮,然后在弹出属性配置框中选择“安全”页面,如图3.75所示。

财产配置窗口(图3.75)
选择“ 高级”, 然后单击“ 设置” 按钮, 以进一步修改道德网的加密和识别程序, 如图3. 76所示 。

图3.76 强化安保财产设置
在 Windows 上配置 IPSec 数字专用网络 。
(1) 在Windows上制定内部IPSec安全政策。
以下是使用Windows 2003的例子。
1 如图3.77所示,在管理工具中显示地方安全政策。在右窗格中,可显示Windows内置的 " 安全服务器 " 、 " 服务器 " 和 " 客户 " 的三个安全选项。

图3.77 视窗内部安全战略
右键点击“ 安全服务器” 项目两次 。选择“指派”，图3.77 中右侧的选择“战略分配”将从“否”改为“是”。下面是如何配置此机器为“ 安全服务器 ” 。“ 安全服务器” 应当双击 。在弹出窗口中显示三个 IP 安全规则,这是"所有IP通讯","所有IPCMP通讯", "所有ICCMP通讯","动力", 依此顺序。图3.78显示。

图3.78:安全服务器属性窗口
每个 IP 安全 规则都有 5 项 : “ IP 过滤列表 ” 、 “ 过滤操作 ” 、 “ 识别方法 ” 、 “ 隧道配置 ” 和 “ 连接类型 ” 。
选择“ 所有 ICMP 通讯 ”, 单击 编辑 按钮, 将会出现一个与图3类似的窗口。 此窗口允许更改安全规则 。

图3.79 规则编辑窗口
选择过滤器操作页面, 然后选择“ 需要安全”, 如图3. 80所示。 “ 所有 IPC 通讯” 安全规则被配置为创建安全连接的必要性 。

编辑过滤器操作( 图3.80)
选择“识别方法”页面,单击“添加”按钮,并显示一个窗口,其中显示三种识别技术,选择“预共享密钥”方法,并设置共享密钥“123”,如图3.单击“确定”按钮所示。

识别方法(图3)
图3显示78个实施伙伴所有通信的相同安排。
同时,在另一台Windows 2003服务器计算机上进行了相同的配置,然后用计算机按键指令测试了两者之间的连接,记录了结果并进行了分析。
(2) 制定单独的IPSEC安全政策。
除了Windows的内在IPSec安全计划之外,互联网是世界上最常见的安全技术之一。我们还可以调整我们的IPSec安全办法。依据创用CC BY-NC-SA 2.在本地计算机”，选择“创建 IP 安全政策 ” 。在 IP 安全政策向导弹出界面中,下一位,按下按钮然后,在显示的界面中,提供新的知识产权安全政策的名称和描述。图3.82显示。

图3.82:新的 IPSec 政策命名
然后按下下一个按钮 。弹出安全通讯请求界面，选择“激活默认响应规则”，如图 3.83所示。

安全通信请求见图3.83。
然后按下下一个按钮 。弹出选择默认安全规则身份验证方法界面，选择“此字符串用来保护密钥交换”，并设置共享密钥为“123”，如图 3.84 所示。

图3.84 默认识别方法的识别
然后按下下一个按钮 。在弹出的界面中选择“编辑属性”后单击“完成”按钮，即可完成新 IP 规则的创建。
如图3.85所示,在您出现的属性编辑框中单击“添加”按钮。

图3.85 新的IPIP 担保政策属性窗口
3 如图3.85所示,建筑IP安全规则向导框出现时,单击 " 下一步 " 并按顺序设置下列项目:隧道模式;网络类型,如图3.86所示。

隧道技术(图3.86)

图3:网络配置
4 如图3.88所示,在IP过滤器列表的接口中,地址和网络协议将使用 IPSec 安全连接配置,如图3.88所示。

图3.88 IP 过滤列表配置
单击“添加”按钮向列表添加一个新的 IP 过滤器。在弹出式 IP 过滤列表框中,单击“添加”按钮添加一个新的 IP 过滤器,如图3.89所示。

IP 过滤过滤列表窗口( Picture 3.89)
图3.90: 所显示设置的 IP 通信源界面。 选择 " 我的 IP 地址 " 作为源地址 。

图3.90 源源地址配置
然后按下下一个按钮 。出现设置 IP 通信目标的界面，如图 3.91 所示。选择“任何 IP 地址”。

图3:目标方位配置
然后按下下一个按钮 。进入定义 IP 筛选器所过滤的协议的界面，如图 3.92 所示。选择“任意”，表示不针对专有协议。

图3.92 筛选程序设置
然后按下下一个按钮 。在出现的界面中选中“编辑属性”，单击“完成”按钮，则完成IP 筛选器编辑。
图3中的5,在以93为代表的联系人中,选择“新 IP 过滤列表” 选项 。然后按下下一个按钮 。此过滤器功能列表已被修改 。“过滤器列表操作”是指IP数据包满足过滤器中规定的要求。IPSec 处理合适的数据包,如何操作。

图3.93 IP 筛选列表选择
在弹出窗口上,单击“添加”按钮添加过滤操作,例如图3.94 显示。

图3.94 包含过滤操作
在出现的筛选器操作向导中，然后按下下一个按钮 。直到出现筛选器操作常规选项界面，如图 3.95 所示。选中“协商安全”，让其进行 IPSec 安全协商，单击“下一步”。

图3.95:一般过滤器操作选项
在紧接着弹出的界面中选中“不与不支持 IPSec 的计算机通讯”，如图 3.96 所示。以要求必须在 IPSec 基础上进行连接，下一位,按下按钮

图3.96显示非IPSec计算机通信。
图3. 要提高所用协议的透明度,请选择 " 自定义 ",然后单击 " 成套 " 按钮,以选择是否在整个连接过程中进行加密和完成测试。

图3.97 IPIP通信安全措施
图3.98显示了AH和ESP协议的不同作用,以及自定义的安全措施设置对话框中适用的算法。单击“确定”按钮来完成 IP 过滤操作程序。

图3.98 海关安全措施配置
⑥在如图 3.99 所示的窗口中，我们可以看到上面新建立的筛选器操作名称，选中它，下一位,按下按钮

图3.99:新过滤器的操作
图3.100显示,在弹出式识别界面中,选择 " 此字符串用于保障关键交换 ",并将共享键设为 " 123 " 。

识别方法(图3.100)
然后按下下一个按钮 。即完成了新增 IP 安全规则向导的设置，我们会看到新增加的安全规则，如图 3.101 所示。

图3.101:新的知识产权安全规则已经完成。
102. IPSec加密安全连接可通过在IPSec通信的两端配置具体的IP安全政策来完成。

图3.102说明了新的知识产权安全政策。

五、思考题

1. 利用协议分析工具,分析PPTP、IPSec隧道建设、数据传输和隧道释放过程,了解协议的覆盖结构。
答：
PPP:

GRE：

2. 比较SSL私人网络、IPSEC民间私人网络和MPLS私人网络的特点和应用。
Q: SSL私人网络设备可以提供与传统的 IPSec 数字私人网络产品一样强大的终端网络功能。SSL数字专用网络是连接网络的最佳途径。就IP通信而言,IPSEC数字私营网络技术使用加密隧道。除了向公共网络提供内联网材料外,使用因特网交流因特网内容也是可行的。为维护内部数据的机密性,因此,数据、音频和视频现在由企业总部及其分支机构共享。世界上500个顶级组织中,有几个组织依靠道德网络将偏远分支和移动消费者联系起来。• 为公司建立一个虚拟商业网络。该国许多企业开始重新考虑其目前的做法。并逐渐开始实施。MPLS 民间私人网络可以跨省考虑;如果是跨国的,也可以考虑作为一种替代办法。总体建议是考虑MPLS公共私营网络。在多点组网方面，这篇文章是全球之声在线特稿的一部分。完整的网状网络结构,安全性也更强，另外有COS保证，还有其他QOS服务。扩容资源灵活方便，是企业的首选。