12、虚拟专用网络配置全解析

虚拟专用网络配置全解析

1. 基础概念

• 隧道服务器（Tunnel server）：指互联网上隧道服务器的域名或 IP 地址，以及处理隧道流量的端口（默认 3265）。
• 第一防火墙（First firewall）：对于单个远程 PC 通常不使用，因为流量在到达远程防火墙之前是透明的。一般是最终用户的 ISP，出站隧道流量可透明通过。在作为出站隧道客户端的 Extranet 服务器上，该参数列出局域网与互联网之间本地防火墙的地址和端口（默认 3265）。
• 第二防火墙（Second firewall）：是要访问的专用网络的物理地址和隧道端口，是隧道流量的第一个目的地，流量从防火墙上的隧道端口转发到 Extranet 服务器上的隧道端口进行验证。

2. AltaVista 与 VPN

AltaVista 的灵活性使企业能够接受来自远程局域网或远程单台机器连接的多个隧道会话到虚拟专用局域网。不过，单连接到局域网和局域网到局域网/局域网到广域网的 AltaVista 隧道实现配置略有不同。

3. 局域网到局域网隧道配置

3.1 示例配置

有两个局域网：
-LAN 1：企业办公室，通过完整 T1 连接到互联网，由防火墙保护。局域网上有四台机器：AltaVista Extranet 服务器、财务、人力资源和研发。
-LAN 2：远程销售办公室，运行第二个 AltaVista Extranet 服务器和三台主机。通过 128Kbps ISDN 连接到互联网，由防火墙保护。在此示例中，LAN 1 是入站隧道组，LAN 2 是出站隧道组。

3.2 隧道服务器配置

• LAN 1（入站隧道网络）
  • 路由表：将所有传入隧道流量路由到其本地网络地址范围（1.195.6.）。
    | 子网 | 网络掩码 | 描述 |
    | ---- | ---- | ---- |
    | 1.195.6.| 255.255.255.0 | 本地隧道客户端 |
  • 动态 IP 表：为隧道伪适配器分配 IP 地址，1.196.5.1 分配给自身端的隧道伪适配器，1.196.5.2 分配给 LAN 2 隧道服务器的伪适配器。
    | 范围名称 | 范围描述 | 第一个 IP | 总隧道数 | 网络掩码 |
    | ---- | ---- | ---- | ---- | ---- |
    | 销售隧道 | 区域销售办公室隧道 | 1.196.5.1 | 1 | 255.255.255.252 |
  • 认证表：组用户名是 LAN 2，密码是 WHO$there，提取到名为 lan2.eta 的 ETA 文件，通过安全 FTP 会话分发到 LAN 2 的隧道服务器。密钥文件由 LAN 1 的隧道服务器创建，默认名为 lan2.key，也通过安全 FTP 会话分发。
• LAN 2（出站隧道网络）
  • 隧道名称：销售
  • 隧道描述：区域销售办公室隧道
  • 网络地址：本地 IP 地址为 1.196.5.2，远程 IP 地址为 1.196.5.1
  • 路由表：将本地主机的流量路由到隧道的虚拟 IP 地址，默认路由来自网络 2.15.1.*，网络掩码为 255.255.255.0
  • 主机名：远程主机的物理 IP 地址是 1.195.6.2，默认隧道流量端口是 3265
  • 第一防火墙：设置为 2.15.1.1，默认隧道流量端口为 3265
  • 第二防火墙：LAN 1 防火墙在其互联网接口上的地址 1.195.6.1，默认隧道流量端口为 3265
  • 服务器密钥 ID：lan2.key

3.3 防火墙配置

• LAN 1：将端口 3265 上收到的、发往网络 1.196.5.* 的所有隧道流量转发到 LAN 1 隧道服务器的物理 IP 地址 1.195.6.2。
• LAN 2：将所有发往隧道网络（1.196.5.*）的流量转发到 LAN 2 隧道服务器的物理 IP 地址 2.15.1.2。

3.4 主机配置

• LAN 1：三台主机（财务、人力资源和研发）先将流量路由到防火墙（1.195.6.1），然后防火墙将隧道流量转发到隧道服务器。
• LAN 2：两台主机将 2.15.1.1 作为所有网络流量的默认路由。

3.5 VPN 上的路由

graph LR A[LAN 2 主机] -->|静态路由| B[LAN 2 防火墙 2.15.1.1] B -->|默认路由| C[LAN 2 隧道服务器 2.15.1.2] C -->|虚拟 IP 1.196.5.2| D(互联网) D -->|端口 3265| E[LAN 1 防火墙 1.195.6.1] E -->|端口 3265| F[LAN 1 隧道服务器虚拟 IP 1.196.5.1] F -->|物理 IP| G[LAN 1 财务服务器]

流量从 LAN 2 主机到 LAN 1 财务服务器的过程如下：
1. LAN 2 主机将发往隧道网络（1.196.5.*）的流量通过静态路由直接路由到防火墙（2.15.1.1）。
2. LAN 2 防火墙将所有隧道网络流量通过默认路由转发回 LAN 2 隧道服务器（2.15.1.2）。
3. LAN 2 隧道服务器将所有隧道流量路由到其隧道伪适配器端（1.196.5.2）并通过互联网传输。
4. LAN 1 防火墙在端口 3265 接收流量，将该端口的所有流量转发到本地网络上隧道服务器的虚拟 IP（1.196.5.1）。
5. 经过初始安全验证过程后，隧道服务器每 30 分钟重新生成一次会话密钥，然后隧道流量继续传输。
6. 来自 LAN 2 主机的流量被路由到 LAN 1 隧道服务器的虚拟 IP 再到其物理 IP，最后到达财务服务器。

4. 单连接到局域网隧道配置

4.1 示例配置

PC 为 Windows 95 机器，通过 64 - Kbps ISDN 连接到互联网，运行 AltaVista 隧道远程办公客户端。企业局域网通过分数 T1（256 Kbps）连接到互联网，运行 AltaVista 隧道 Extranet 服务器，为两个主机（主机 1 和 2）提供隧道连接。

4.2 隧道服务器配置

• 路由表：将所有隧道会话路由到本地局域网的物理网络 1.195.6.。
  | 子网 | 网络掩码 | 描述 |
  | ---- | ---- | ---- |
  | 1.195.6.| 255.255.255.0 | 本地主机 |
• 动态 IP 表：动态 IP 范围从 1.196.5.1 开始，包含一个 C 类网络（255 个地址）。
  | 范围名称 | 范围描述 | 第一个 IP | 总隧道数 | 网络掩码 |
  | ---- | ---- | ---- | ---- | ---- |
  | 销售隧道 | 远程隧道客户端 | 1.196.5.1 | 128 | 255.255.255.0 |
• 认证表：组名是销售，密码是 Bubba，提取到名为 sales.eta 的 ETA 文件，通过软盘分发给各个隧道客户端。密钥文件由企业局域网的隧道服务器创建，默认名为 sales.key，也通过软盘分发。

4.3 防火墙配置

本地防火墙将所有外部隧道请求（到达 1.195.6.1 端口 3265 的请求）转发到隧道服务器的物理 IP 地址 1.195.6.2，端口 3265。

4.4 本地主机配置

企业局域网上的主机将 1.195.6.2 作为默认路由，发往隧道的流量通过隧道服务器的虚拟 IP 传输，其他发往本地网络外部的流量通过防火墙到互联网。

4.5 远程 PC 配置

• 用户名：销售
• 服务器密钥 ID：sales.key
• 隧道服务器：物理 IP 地址是 1.195.6.2，隧道流量端口为 3265
• 第一防火墙：未使用
• 第二防火墙：远程局域网防火墙的 IP 地址是 1.195.6.1，隧道流量端口为 3265

4.6 数据包跟踪

graph LR A[远程 PC] -->|ISP| B(互联网) B -->|端口 3265| C[远程防火墙 1.195.6.1] C -->|物理 IP 1.195.6.2| D[隧道服务器] D -->|虚拟 IP 1.196.5.2| E[远程 PC 伪适配器] D -->|虚拟 IP 1.196.5.1| F[本地网络 1.195.6.*]

过程如下：
1. 远程 PC 通过 AltaVista 隧道远程办公客户端发起隧道请求，请求通过最终用户的 ISP 透明传输，发往远程防火墙在互联网上的 IP 接口（1.195.6.1）的隧道端口 3265。
2. 远程防火墙将该端口收到的所有流量转发到隧道服务器的物理 IP 地址（1.195.6.2）。
3. 隧道服务器根据认证表检查认证信息，使用远程客户端的私钥加密回复并发送回远程客户端，远程客户端用其私钥解密回复。
4. 双方交换会话密钥（sales.key）的部分内容，组合形成秘密会话密钥。
5. 隧道服务器为远程客户端的伪适配器分配虚拟 IP 地址 1.196.5.2，自身将 1.196.5.1 作为该隧道会话的伪适配器接口。
6. 当第二个远程 PC 连接时，新隧道从隧道服务器的动态范围分配第二对 IP 地址。隧道服务器每 30 到 1440 分钟重新生成秘密会话密钥并透明分发给远程客户端。

5. PC 到广域网隧道配置

5.1 示例配置

企业广域网由两个连接到路由器的子网组成，每个子网有几台主机，其中一个子网有 AltaVista 隧道 Extranet 服务器。广域网通过 T1 连接到互联网，由标准防火墙保护。远程用户是运行 AltaVista 隧道远程办公客户端的客户端计算机，通过不同的互联网服务提供商连接到互联网。

5.2 隧道服务器配置

• 路由表：隧道服务器有两个单独的路由表，用于在两个子网之间引导流量，均为动态隧道 IP 地址的默认路由。
  | 路由表 | 子网 | 网络掩码 | 描述 |
  | ---- | ---- | ---- | ---- |
  | 路由表 1 | 1.195.6.| 255.255.255.0 | 销售子网 |
  | 路由表 2 | 1.195.7.| 255.255.255.0 | 支持子网 |
• 动态 IP 表：动态 IP 范围从 1.196.5.1 开始，包含一个 C 类网络（255 个地址）。
  | 范围名称 | 范围描述 | 第一个 IP | 总隧道数 | 网络掩码 |
  | ---- | ---- | ---- | ---- | ---- |
  | 销售隧道 | 远程隧道客户端 | 1.196.5.1 | 128 | 255.255.255.0 |
• 认证表：组名是销售/支持，密码是 WHO$listenen，提取到名为 salsup.eta 的 ETA 文件，通过软盘分发给各个隧道客户端。密钥文件由企业局域网的隧道服务器创建，默认名为 salsup.key，也通过软盘分发。

5.3 广域网路由器配置

广域网路由器的功能是在两个子网（销售和支持）之间路由网络流量，所有主机的默认路由指向路由器。路由器还将虚拟网络（1.196.5.*）的隧道流量路由到 1.195.6.2 端口 3265 的隧道服务器。

5.4 防火墙配置

本地防火墙将所有外部隧道流量（到达 1.195.6.1 端口 3265 的流量）转发到广域网路由器的 1.195.6.5 接口，广域网路由器再将流量路由到隧道服务器。

5.5 网络主机配置

1.195.6.子网和 1.195.7.子网的所有主机都将默认路由指向广域网路由器。

5.6 远程客户端配置

远程 PC 客户端的配置与单连接到局域网隧道的配置类似，不同之处在于 ETA 和密钥文件的名称，这里使用 salsup.eta 和 salsup.key 文件。

5.7 数据包跟踪

graph LR A[远程 PC] -->|ISP| B(互联网) B -->|端口 3265| C[远程防火墙 1.195.6.1] C -->|接口 1.195.6.5| D[广域网路由器] D -->|物理 IP 1.195.6.2| E[隧道服务器] E -->|虚拟 IP 1.196.5.2| F[远程 PC 伪适配器] E -->|虚拟 IP 1.196.5.1| G[广域网路由器] G -->|子网路由| H[销售或支持子网]

过程如下：
1. 远程 PC 通过 AltaVista 隧道远程办公客户端发起隧道请求，请求通过最终用户的 ISP 透明传输，发往远程防火墙在互联网上的 IP 接口（1.195.6.1）的隧道端口 3265。
2. 远程防火墙将该端口收到的所有流量转发到广域网路由器的接口（1.195.6.5）。
3. 广域网路由器将流量路由到隧道服务器的物理 IP 地址（1.195.6.2）端口 3265。
4. 隧道服务器根据认证表检查认证信息，使用远程客户端的私钥加密回复并发送回远程客户端，远程客户端用其私钥解密回复。
5. 双方交换会话密钥（salsup.key）的部分内容，组合形成秘密会话密钥。
6. 隧道服务器为远程客户端的伪适配器分配虚拟 IP 地址 1.196.5.2，自身将 1.196.5.1 作为该隧道会话的伪适配器接口，收到该 IP 地址的流量将路由到广域网路由器进行进一步路由。
7. 当第二个远程 PC 连接时，新隧道从隧道服务器的动态范围分配第二对 IP 地址。隧道服务器每 30 到 1440 分钟重新生成秘密会话密钥并透明分发给远程客户端。

总结

不同类型的虚拟专用网络隧道配置，如局域网到局域网、单连接到局域网、PC 到广域网等，各有其特点和适用场景。在实际应用中，需要根据具体的网络架构和需求来选择合适的配置方式。通过合理配置隧道服务器、防火墙、路由器和主机等设备，可以实现安全、高效的网络通信。同时，数据包跟踪过程展示了数据在网络中的传输路径和安全验证机制，确保了数据的保密性和完整性。