通过 Windows Server 2003 建立虚拟专用网络(1)
- ·Windows server2003使用指南
·Windows Server2003防木马权限设置
·在Windows server2003下创建软RAID
·最新报道-Windows Server 2003企业版安
·Windows Server 2003 VPN基础(图)
·新版Windows Server 2008 BT种子下载
·Windows Server 2003下DNS架设攻略
·Windows Server 2003 DNS服务安装篇(图
·Windows Server 2008正式包装亮相
·Windows Server 2003中文版
Electronic, Inc. 是一家虚构的电子产品设计和制造公司,总部设在纽约,其分公司和分销商业合作伙伴遍布美国各地。Electronic, Inc. 已经实施了一个 VPN 解决方案,使用 Windows Server 2003 来连接远程访问用户、分公司和商业合作伙伴。 公司总部的 VPN 服务器同时提供了远程访问以及站点到站点(也称为路由器到路由器)点对点隧道协议 (PPTP) 和结合 Internet 协议安全的第二层隧道协议 (L2TP/IPSec) VPN 连接。此外,VPN 服务器还对 Intranet and Internet 位置提供了数据包的路由。
网络配置的要素有:
| • |
Electronic, Inc. 的公司 Intranet 使用 IP 地址为 172.16.0.0、子网掩码为 55.240.0.0 (172.16.0.0/12) 以及 IP 地址为 192.168.0.0、子网掩码为 255.255.0.0 (192.168.0.0/16) 的专用网络。公司总部的网段使用 IP 地址为 172.16.0.0 的子网,而分公司则使用 IP 地址为 192.168.0.0 的子网。 |
| • |
VPN 服务器直接连接到使用 T3(也称为 DS-3)专用 WAN 链接的 Internet。 |
| • |
对于 Internet 上的 WAN 适配器,Internet 服务提供商 (ISP) 为 Electronic, Inc. 分配的 IP 地址为 207.46.130.1。在 Internet 上,WAN 适配器的 IP 地址由域名 vpn.electronic.example.com 引用。 |
| • |
VPN 服务器直接连接到一个 Intranet 网段,该网段包含一台连接到 Electronic, Inc. 公司总部 Intranet 其他部分的路由器。该 Intranet 网段的 IP 网络 ID 为 172.31.0.0,子网掩码为 255.255.0.0。 |
| • |
VPN 服务器配置了一个属于 Intranet 网段一部分的静态 IP 地址池(子网内地址池),以向远程访问客户端以及调用路由器分配地址。 |
图 1 显示了 Electronic, Inc. VPN 服务器的网络配置。
图 1:Electronic, Inc. VPN 服务器的网络配置
基于 Electronic, Inc. 总公司 Intranet 的网络配置,VPN 服务器的配置如下:
|
1. |
在 VPN 服务器上安装硬件。 根据适配器制造商的说明,安装用于连接到 Intranet 网段的网络适配器和用于连接到 Internet 的 WAN 适配器。一旦驱动程序安装完毕并正常运行,两个适配器都将作为网络连接中的本地连接。 | ||||||||||||||||||||
|
2. |
在 LAN 和 WAN 适配器上配置 TCP/IP。 对于 LAN 适配器,其 IP 地址和子网掩码分别被配置为 172.31.0.1 和 255.255.0.0。而对于 WAN 适配器,其 IP 地址和子网掩码分别被配置为 207.46.130.1 和 255.255.255.255。未对这两个适配器配置默认网关。同时,还配置了域名系统 (DNS) 和 Windows Internet 名称服务 (WINS) 服务器地址。 | ||||||||||||||||||||
|
3. |
配置路由和远程访问服务。 路由和远程访问服务最初通过“路由和远程访问服务器安装向导”进行配置。若要运行该向导,请在“路由和远程访问”管理单元中右键单击服务器的名称,然后单击“配置并启用路由和远程访问”。通过下列设置配置 VPN 服务器: 配置:远程访问(拨号或 VPN) 远程访问:VPN VPN 连接:单击与连接到 Internet 的接口相对应的连接 IP 地址分配:单击“来自一个指定的地址范围”,并创建一个从 172.31.255.1 到 172.31.255.254 的范围。这将为多达 253 个 VPN 客户端创建一个静态地址池。 管理多台远程访问服务器:单击“否,使用路由和远程访问来对连接请求进行身份验证” 对远程访问和请求拨号连接进行身份验证的默认方法是:使用 Windows 身份验证。该方法适合于此配置(只有一台 VPN 服务器)。有关对 Electronic, Inc. 使用远程身份验证拨入用户服务 (RADIUS) 身份验证的信息,请参阅本文的“采用 RADIUS 身份验证的拨号和 VPN 连接”一节。有关使用 Windows 和 RADIUS 身份验证的详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“身份验证和授权”的主题。 | ||||||||||||||||||||
|
4. |
配置 DHCP 中继代理。 在控制台树中,定位到 IP 路由\DHCP 中继代理。右键单击“DHCP 中继代理”,然后单击“属性”。在“DHCP 中继代理属性”对话框的“服务器地址”中,键入 Intranet 动态主机配置协议 (DHCP) 服务器的 IP 地址。单击“添加”,再单击“确定”。通过配置 DHCP 中继代理路由协议组件,VPN 远程访问客户端在连接到 Intranet 时,可接收正确的 DNS 域名、DNS 服务器地址和 WINS 服务器地址。 | ||||||||||||||||||||
|
5. |
在 VPN 服务器上配置静态路由,以便到达 Intranet 和 Internet 位置。 若要到达 Intranet 位置,需通过下列设置配置静态路由:
这个静态路由通过汇总 Electronic, Inc. Intranet 上的所有目标地址,简化了路由。使用了该静态路由,就无需用一个路由协议来配置 VPN 服务器。 为了到达各个 Internet 位置,用下列设置配置了一个静态路由:
这个静态路由汇总了 Internet 上的所有目标地址。该路由允许 VPN 服务器相应来自 Internet 上任何地方的远程访问或请求拨号路由器。 注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。 | ||||||||||||||||||||
|
6. |
在 Intranet 路由器上配置一个静态路由,以到达所有分公司。 为了从 Intranet 路由器到达各个分公司位置,用下列设置配置了一个静态路由:
这个静态路由通过汇总 Electronic, Inc. 分公司处的所有目标地址,简化了路由。Intranet 路由器将该静态路由公布给邻近的路由器,从而到各分公司位置的路由就会存在于 Intranet 的每台路由器上。 |
远程访问策略配置
Electronic, Inc. 正在使用纯模式 Active Directory 域,而且 Electronic, Inc. 的网络管理员已经决定采用按组访问的管理模式。所有用户帐户的远程访问权限都被设为“通过远程访问策略控制访问”。对连接尝试的远程访问授权由首个匹配的远程访问策略上的远程访问权限设置来控制。远程访问策略用于根据组成员身份,应用不同的 VPN 连接设置。
域配置
为了能对不同类型的 VPN 连接应用不同的连接设置,创建了下列 Active Directory 组:
| • |
VPN_Users 用于远程访问 VPN 连接 |
| • |
VPN_Routers 用于自 Electronic, Inc. 分公司的站点到站点 VPN 连接 |
| • |
VPN_Partners 用于自 Electronic, Inc. 商业合作伙伴的站点到站点 VPN 连接 |
注意:在此示例部署中,所有用户和组都创建于 electronic.example.com Active Directory 域中。
安全配置
为了启用 L2TP/IPSec 连接,让远程访问客户端使用智能卡,并让路由器使用 EAP-TLS,Electronic, Inc. 域被配置为对所有域成员自动注册计算机证书。
--------------------------------------------------------------------------
Electronic, Inc. 的波特兰和达拉斯分公司使用按需的站点到站点 VPN 连接,连接到总公司。波特兰和达拉斯分公司都只有一小部分员工需要偶尔连接到总公司。波特兰和达拉斯分公司的 Window Server 2003 路由器配有一台 ISDN 适配器,可呼叫当地的 Internet 服务提供商以获得 Internet 的访问权,然后在 Internet 上建立站点到站点 VPN 连接。当 VPN 连接闲置达五分钟时,分公司的路由器将中断 VPN 连接。
达拉斯分公司使用的 IP 网络 ID 为 192.168.28.0,子网掩码为 255.255.255.0 (192.168.28.0/24)。波特兰分公司使用的 IP 网络 ID 为 192.168.4.0,子网掩码为 255.255.255.0 (192.168.4.0/24)。
为了简化连接,VPN 连接为单向启动的连接,通常由分公司路由器启动。有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接”的主题。
图 3 显示了提供按需的分公司连接的 Electronic, Inc. VPN 服务器。
图 3:提供按需的分公司连接的 Electronic, Inc. VPN 服务器
域配置
对于到达拉斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Dallas:
| • |
密码为 nY7W{q8~=z3。 |
| • |
对于 VPN_Dallas 帐户的属性,清除“用户下次登录时必须更改密码”选项,并选定“密码永不过期”选项。 |
| • |
对于 VPN_Dallas 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 192.168.28.0。 |
| • |
将 VPN_Dallas 帐户添加到 VPN_Routers 组。 |
对于到波特兰分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Portland:
| • |
密码为 P*4s=wq!Gx1。 |
| • |
对于 VPN_Portland 帐户的属性,清除了“用户下次登录时必须更改密码”,并选定“密码永不过期”选项。 |
| • |
对于 VPN_Portland 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 192.168.4.0。 |
| • |
将 VPN_Portland 帐户添加到 VPN_Routers 组。 |
远程访问策略配置
为了对 VPN 路由器定义身份验证和加密设置,创建了如下远程访问策略:
| • |
策略名:VPN 路由器 |
| • |
访问方法:VPN |
| • |
用户或组访问:选定了带有 EXAMPLE\VPN_Routers 组的组 |
| • |
身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” |
| • |
策略加密级别:选定了“强加密”和“最强加密” |
基于 PPTP 的按需的分公司连接
达拉斯分公司属于基于 PPTP 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后,如果闲置达五分钟,将中断该连接。
为了根据本文的“VPN 服务器的常规配置”和“按需的分公司连接”章节所提供的设置,部署到总公司的基于 PPTP 的单向启动的按需的站点到站点 VPN 连接,在达拉斯路由器上配置了如下设置。
到 ISP 连接的请求拨号接口
为了通过当地 ISP 将达拉斯分公司的路由器连接到 Internet,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:ISP |
| • |
连接类型:使用调制解调器、ISDN 适配器或其他物理设备进行连接 |
| • |
选择设备:选定了适当的 ISDN 设备。 |
| • |
电话号码:达拉斯分公司 ISP 的电话号码。 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了在需要建立站点到站点 VPN 连接时,创建到达拉斯 ISP 的连接,配置了如下静态路由: 目标地址:207.46.130.1 网络掩码: 255.255.255.255 跃点数:1 |
| • |
拨出凭据 用户名:达拉斯分公司的 ISP 帐户名 密码:达拉斯分公司的 ISP 帐户密码 确认密码:达拉斯分公司的 ISP 帐户密码 |
若要运行“请求拨号接口”向导,右键单击“网络接口”,然后单击“新建请求拨号接口”。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将达拉斯分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:CorpHQ |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:点对点隧道协议 (PPTP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使公司 intranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.16.0.0 网络掩码: 255.240.0.0 跃点数:1 为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由: 目标地址:192.168.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_Dallas 域:electronic.example.com 密码:nY7W{q8~=z3 确认密码:nY7W{q8~=z3 |
基于 L2TP/IPSec 的按需的分公司连接
波特兰分公司属于基于 L2TP/IPSec 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后,如果闲置达五分钟,将中断该连接。
为了根据本文的“VPN 服务器的常规配置”和“按需的分公司连接”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的单向启动的按需的站点到站点 VPN 连接,在波特兰路由器上配置了如下设置:
证书配置
波特兰的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了物理连接,随后被送往波特兰网站。波特兰路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。
到 ISP 连接的请求拨号接口
为了通过当地 ISP 将波特兰分公司的路由器连接到 Internet,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:ISP |
| • |
连接类型:使用调制解调器、ISDN 适配器或其他物理设备进行连接 |
| • |
选择设备:选定了适当的 ISDN 设备。 |
| • |
电话号码:波特兰分公司 ISP 的电话号码。 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了在需要建立站点到站点 VPN 连接时,创建到波特兰 ISP 的连接,配置了如下静态路由: 目标地址:207.46.130.1 网络掩码:255.255.255.255 跃点数: 1 |
| • |
拨出凭据 用户名:波特兰分公司的 ISP 帐户名 密码:波特兰分公司的 ISP 帐户密码 确认密码:波特兰分公司的 ISP 帐户密码 |
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接,将波特兰分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:CorpHQ |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:第二层隧道协议 (L2TP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使公司 intranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.16.0.0 网络掩码: 255.240.0.0 跃点数:1 为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由: 目标地址:192.168.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_Portland 域:electronic.example.com 密码:P*4s=wq!Gx1 确认密码:P*4s=wq!Gx1 |
------------------------------------------------------------
或
相关内容
赞助商链接