实验任务

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

实验任务

任务一 使用IP命令搭建基于隧道的虚拟专有网络
任务二 使用加密工具OpenSSL创建加密密钥
任务三 SSL VPN之OpenVPN的安装配置
任务四 IPsecVPN原理及安装配置
任务五 云计算中基于Overlay技术的隧道网络实现

实验目的

掌握如何搭建基于隧道的虚拟专有网络
掌握加密算法了解及其应用
掌握如何安装部署配置openvpn服务端与客户端
掌握IPsecVPN原理及安装部署
了解公有云中overlay的实现

实验环境

操作系统 IP地址 服务器角色 登录账户密码
Windows2012 192.168.0.11 操作机 用户名:administrator;密码:Simplexue123
centos7_1 192.168.1.11 目标机 用户名:root;密码:Simplexue123
centos7_2 192.168.2.11 目标机 用户名:administrator;密码:Simplexue123

任务一

使用IP命令搭建基于隧道的虚拟专有网络

实现两不同网络内的内网通过ip隧道使之互通并检测。

image-20210422151231083

修改主机名

1
2
# hostnamectl set-hostname vpn1
# hostnamectl set-hostname vpn2
1
[root@vpn1 ~]# modprobe ip_gre

加载ip_gre内核模块

image-20210422152129613

配置tunnel(GRE隧道)使它们互通

1
2
[root@vpn1 ~] ip tunnel add gre1 mode gre remote 192.168.2.11 local 192.168.1.11 ttl 255
[root@vpn1 ~] ip a | grep gre1

启动gre1并分配ip地址10.10.10.1

vpn2创建一个GRE类型隧道设备gre1, 并设置对端IP为192.168.1.11

测试隧道是否通

image-20210422152200036

最后卸载GRE模块。

任务二

使用加密工具OpenSSL创建加密密钥

查看帮助信息

image-20210422153402076

生产RSA私钥

生成rsa_private.key私钥对应的公钥

生成RAS含密码(使用aes256加密)公私钥

1
[root@vpn1 ~]# openssl genrsa -aes256 -passout pass:simple -out rsa__aes_private.key 2048

加密与非加密之间的转换

生成 RSA 私钥和自签名证书

image-20210422155013278

任务三

SSL VPN之OpenVPN的安装配置

【任务描述】
本实验任务基于真实企业网络环境,在两台台服务器搭建的典型企业局域网环境中,主要完成以下内容:
(1)搭建openvpn服务端与客户端。
(2)实现客户端可访问服务端机器
【实验目标】
1.了解企业级别openvpn的使用场景。
2.掌握企业级别openvpn搭建和使用。
3.掌握openvpn客户端与服务端的搭建配置。

在vpn1机器安装openvpn并验证

1
2
[root@vpn1 ~]# yum clean all
[root@vpn1 ~]# yum install openvpn -y

修改openvpn的配置文件server.conf配置文件的内容

image-20210422160021557

修改openvpn服务端的配置文件

设置启动用户

安装密钥生成软件

配置生成证书的环境变量.并使之生效

1
systemctl start
1
systemctl enable
1
systemctl status

启动openvpn客户端并挂后台运行

image-20210422160050158

查看网卡信息

openvpn nat配置

任务四

【任务描述】
本实验任务基于真实企业网络环境,在两台台服务器搭建的典型企业局域网环境中,主要完成以下内容:
(1)搭建ipsec服务端与客户端。
(2)实现客户端可访问服务端机器
【实验目标】
1.了解企业级别ipsec的使用场景。
2.掌握企业级别ipsec搭建和使用。
3.掌握ipsec客户端与服务端的搭建配置。
4.掌握ipsec多种验证方式的实现

添加配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@vpn1 ~]# vim  /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0

image-20210422160332518

安装openswan、libreswan并验证安装

启动服务看是否正常

1
2
3
[root@vpn1 ~]# yum install openswan libreswan  -y
[root@vpn1 ~]# ipsec --version
Linux Libreswan U3.20/K(no kernel code presently loaded) on 3.10.0-693.5.2.el7.x86_64

两端重新启动服务,并验证

1
2
[root@vpn1 ~]# systemctl restart   ipsec.service
[root@vpn1 ~]# ipsec auto --up net-to-net

在VPN1和VPN2上分别生成一个新的RSA密钥对

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
conn net-to-net
    # 一端IP地址
    left=192.168.1.11
    #一端内网网段地址
    leftsubnet=10.0.0.0/24
    #一端的标识符,可以任意填写,如果多个连接需要区分
    leftid=@vpn1
    leftnexthop=%defaultroute
    leftrsasigkey=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
    right=192.168.2.11
    rightsubnet=10.0.1.0/24
    rightid=@vpn2
    rightnexthop=%defaultroute
    rightrsasigkey=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
    #add代表只是添加,但并不会连接,如果为start则代表着启动自动连接
    auto=add
1
2
[root@vpn1 ~]# systemctl restart   ipsec.service
[root@vpn1 ~]# ipsec auto --up net-to-net

任务五

【任务描述】
本实验任务基于真实企业网络环境,在两台台服务器搭建的典型企业局域网环境中,主要完成以下内容:
(1)搭建overlay网络实现不同宿主机之间同网段机器相通。
(2)检测网络联通性。
【实验目标】
1.了解overlay网络的使用场景。
2.掌握overlay搭建和使用。
3.掌握openvswitch的使用。

在VPN1和VPN2分别安装openvswitch并启动服务

1
[root@vpn1 ~]# yum install openvswitch -y

启动服务

1
[root@vpn1 ~]# systemctl start openvswitch.service

配置VPN1,2

搭建VXLAN隧道

1
ifconfig br0 10.1.0.2/24 up

image-20210422160925462

1
ovs-vsctl add-port br0 vx1 -- set interface vx1 type=vxlan options:remote_ip=192.168.1.11

image-20210422160953588