甘肃政法学院
本科生实验报告
（四）
姓名:
学院: 公安技术学院
专业:
班级:
实验课程名称:信息安全概论
实验日期: 2015年 6月 23日
指导教师及职称:
实验成绩:
开课时间：2014～2015 学年第二学期
甘肃政法学院实验管理中心印制
图3.3.1-5 远程访问
点击下一步，进入VPN连接窗体，选定服务器连接到Internet的网络接口，
图3.3.1-6 VPN连接
点击下一步，进入IP地址指定窗体，有自动和指定地址范围两项，此处选择指定地址
图3.3.1-7 IP地址指定
点击下一步，进入地址范围指定窗体，点击新建，进入IP地址编辑窗体，进行如图3.3.1-8所示；设定完成后点击确定，返回地址指定窗体，
图3.3.1-8 新建地址范围
图3.3.1-9 地址范围指定
点击下一步，进入管理多个远程访问服务器窗体，选择“否，使用路由和远程访问来对连接请求进行身份验证”。

点击下一步，进入完成窗体，点击完成。

可以看到PPTP VPN服务配置完成后，服务处
图3.3.1-11 新建用户
在右侧窗体中右击新建的用户vpn，选择属性，进入属性设置窗体，选择拨号选项卡，分配用户远程接入权限，并可设定该用户拨入后所使用的
3.3.1-12所示。

图3.3.1-12 设置远程接入权限
本地主机配置
ping172.20.3.X，结果如图3.3.1-13所示。

图3.3.1-14 VPN服务器选择
点击下一步进入完成窗体，勾选创建桌面快捷方式，点击完成，出现连接窗体。

在连接窗体中输入刚刚创建或指定的用户名密码，勾选为下列用户保存用户名和密码，选择只是我，点击连接，如图3.3.1-15所示。

图3.3.1-15 连接VPN
连接成功后，桌面右下角会有相应提示；同时网络连接中显示已连接，如图
图3.3.1-17 配置完成后ping内网IP 实验分析
远程查看VPN连接状态，如图3.3.1-18所示。

图3.3.1-19 本地查看连接状态
图3.3.1-20 新建请求拨号接口
进入新建向导，点击下一步，接口名称输入server1，该名称用于对端进行拨入连接，所示。

图3.3.1-21 输入接口名称
点击下一步，连接类型选择“使用虚拟专用网络”，如图3.3.1-22
图3.3.1-23 设定目标地址
点击下一步，协议及安全措施选择“在此接口上路由选择IP数据包”和“添加一个用户账户使远程路由器可以拨入”，如图3.3.1-24所示。

图3.3.1-24 协议及安全措施
点击下一步，点击添加，添加远程网络拨入时的静态路由，如图
确定返回向导窗体，如图3.3.1-26所示。

图3.3.1-26 添加结果
点击下一步，设置拨入凭据，输入密码为123，如图3.3.1-27
图3.3.1-27 设置拨入凭据
点击下一步，设置拨出凭据，用户名为server2，密码为
图3.3.1-30 右击选择属性
选项卡，选定静态地址池，点击编辑，如图3.3.1-31
图3.3.1-31 选择IP选项卡下的静态地址池
将起始地址修改为172.21.1.150，终止地址修改为172.21.1.254，使之对应内网网段
图3.3.1-33 输入目标地址
点击下一步，协议及安全措施选择“在此接口上路由选择IP
户帐户使远程路由器可以拨入”。

点击下一步，点击添加，添加远程网络拨入时的静态路由，如图
图3.3.1-34 设定静态路由
图3.3.1-35 设置拨入凭据
点击下一步，设置拨出凭据，用户名为server1，密码为123
图3.3.1-36 设置拨出凭据
点击下一步，点击完成。

查看“路由与远程访问”窗口，可以看到建立了一个名server2”的请求拨号连接，即为对端要拨入的连接，如图3.3.1-37
图3.3.2-4 IP安全策略向导
选择认证方式，如图3.3.2-5所示；然后对该策略进行编辑，如图3.3.2-6
图3.3.2-5 IP安全策略向导
图3.3.2-7
安全规则，选择所有ICMP通讯，如图3.3.2-8和图3.3.2-9
图3.3.2-8
图3.3.2-10 新规则(6)点击确定，完成；配置成功后如图3.3.2-11所示。

图3.3.2-11 本地安全设置
图3.3.2-12
图3.3.2-13
对两台机器同时指派，查看ping状态，如图3.3.2-14所示，可以看到两台主机已经可通。

图3.3.2-14
开启协议分析软件，查看双方加密的交互过程
密钥交换过程，如图3.3.2-15所示。

图3.3.2-16
二、网关到网关
(一)网络配置
依据实验环境，网关A上进行网络环境配置
图 3.3.2-17
图3.3.2-19
指定A主机实验台的默认网关为172.22.3.Y；如下图所示：
图 3.3.2-20 本地连接
图 3.3.2-21 IP安全策略向导图 3.3.2-22 IP安全策略向导
图 3.3.2-25 IP安全策略向导
选中“编辑属性”复选框，单击“完成”，至此已创建名为“ServerA 以下步骤为设置其属性。

实验台新建IPSec策略“ServerB”，步骤略。

安全规则
IPSec 筛选器列表
图3.3.2-28
定义IPSec筛选器操作
”属性窗口双击“a-b”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如保持完整性，如图3.3.2-28
图3.3.2-30
1)如图3.3.2-29所示，在“b-a”属性框中，清除“使用添加向导”复选框，单击
加”按钮，添加IPSec 筛选器；
2)“源地址”选择“一个特定的子网”，“目标地址”也选择“一个特定的子网”
别填上IP地址，该规则定义了从主机B到主机A的网络之间所使用的规则，如图
图3.3.2-32
(7)配置b-a规则隧道终结点
IPSec 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。

入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照 IP 筛选器列表匹配通讯。

出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。

例如，如果计算机
图3.3.2-34
主机B网络配置
a-b的IPSec 筛选器列表
图3.3.2-35
1)如图3.3.2-34所示，在“a-b”属性框中，清除“使用添加向导”复选框，
图3.3.2-36
(3)配置a-b规则隧道终结点
IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。

入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照IP筛选器列表匹配通讯。

出站筛
图3.3.2-38
添加b-a的IPSec筛选器列表
图3.3.2-39
如图3.3.2-38所示，在“b-a”属性框中，清除“使用添加向导”复选框，
图3.3.2-40 筛选器
配置身份验证方法
b-a筛选器列表”，然后单击“身份验证方法”标签。

单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥
123456”，单击“确定”，至此已配置好身份验证方法，如图
图3.3.2-41
(7)配置b-a规则隧道终结点
IPSec 需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。

入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照 IP 筛选器列表匹配通讯。

出
图3.3.2-42
定义IPSec 筛选器操作
”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”中，定义所使用的安全措施，例如“仅保持完整性，如图3.3.2-42所示。

图3.3.2-44
图3.3.2-45
【实验步骤】
一、根据实验拓扑配置环境
根据实验环境中的拓扑图，配置服务器(Windows实验台)与客户端(本地主机)的IP
二、安装与配置
这一部分是服务端跟客户端都要做的工作，操作完全相同。

具体如下：
openvpn-2.0.9.exe进行安装，点击NEXT、I Agree、NEXT之后开始选择安装路径，手动
图3.3.3-2
服务器初始化配置
在进行操作之前，首先进行初始化工作：
“开始|运行”，键入cmd，回车，进入命令提示符；或者“开始
图 3.3.3-3
上面是初始化工作，以后，在进行证书制作工作时，仍旧需要进行初始化，但只需要进入openvpn\easy-rsa目录，运行vars就可以了，不需要上面那些步骤了。

图3.3.3-5
(2)生成服务端密钥
图3.3.3-6
生成客户端密钥
build-key client1生成第一个VPN客户端密钥，如图3.3.3-7所示；
图3.3.3-9
实验总结
通过这次试验对VPN又了更深入的认识。

对vpn的调试有了基本认识，对
的优点也有了一定的体会。

VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽。