VPN服務(wù)配置與管理

項目14VPN服務(wù)器的配置與管理

14.1項目內(nèi)容某公司組建了單位內(nèi)部的辦公網(wǎng)絡(luò)，業(yè)務(wù)人員需要經(jīng)常出差到外地，但需要經(jīng)常通過公眾信息網(wǎng)絡(luò)訪問單位網(wǎng)絡(luò)，在安全性上存在著很多問題，這時考慮使用VPN組網(wǎng)技術(shù)解決信息在公眾網(wǎng)上傳輸安全問題。第一頁，共五十七頁。14.1.3任務(wù)目標(biāo)1.了解VPN的概念；2.理解VPN的工作過程；3.掌握如何在WindowsServer2003安裝與配置VPN服務(wù)；4.客戶端VPN連接的設(shè)置。第二頁，共五十七頁。14.2相關(guān)知識

14.2.1VPN的概念虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)即虛擬專用網(wǎng)技術(shù)，是通過ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。第三頁，共五十七頁。14.2.2VPN服務(wù)的原理WWW服務(wù)器圖14.1VPN服務(wù)原理客戶機(jī)E-mail服務(wù)器VPN服務(wù)器Internet專用網(wǎng)絡(luò)第四頁，共五十七頁。14.1VPN概述圖14-1遠(yuǎn)程撥號訪問第五頁，共五十七頁。14.2.3VPN的類型1.客戶端發(fā)起的VPN2.接入服務(wù)器發(fā)起的VPN第六頁，共五十七頁。甲網(wǎng)絡(luò)乙網(wǎng)絡(luò)ISPISPInternetVPN(PPTP,L2TP)VPN服務(wù)器VPN服務(wù)器第七頁，共五十七頁。14.2.4VPN的隧道協(xié)議VPN使用的兩種隧道協(xié)議是：(1)點到點隧道協(xié)議（PPTP）。(2)第二層隧道協(xié)議（L2TP）。(3)網(wǎng)絡(luò)層隧道協(xié)議IPSec以及SocksV5。第八頁，共五十七頁。14.2.5VPN的應(yīng)用

1.以安全方式，通過Internet實現(xiàn)訪問企業(yè)局域網(wǎng)。2.通過Internet實現(xiàn)網(wǎng)絡(luò)互連，分別可以采用專線連接和撥號連接，這樣就可以將與當(dāng)?shù)豂SP建立的連接和Internet網(wǎng)絡(luò)在企業(yè)分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個VPN。3.連接企業(yè)內(nèi)部網(wǎng)絡(luò)計算機(jī)，通過使用VPN服務(wù)器來與整個企業(yè)局域網(wǎng)連接，并可保證數(shù)據(jù)的安全性。第九頁，共五十七頁。14.3方案設(shè)計內(nèi)部應(yīng)用服務(wù)器10．8．32．3/24內(nèi)網(wǎng)接口10．8．32．253/24外網(wǎng)接口211．81．192．2/24Internet異地VPN客戶內(nèi)部網(wǎng)絡(luò)第十頁，共五十七頁。14.3.2設(shè)備清單為了搭建圖14.4所示的網(wǎng)絡(luò)環(huán)境，需要如下設(shè)備：1.安裝Windows2003Server的PC計算機(jī)1臺；2.WindowsXP計算機(jī)1臺；3.以上兩臺計算機(jī)已連入校園網(wǎng)。第十一頁，共五十七頁。14.4實施步驟步驟1：配置VPN服務(wù)器的網(wǎng)卡IP地址步驟2：安裝和啟動VPN服務(wù)器步驟3：配置VPN服務(wù)器（1）配置遠(yuǎn)程訪問策略（2）修改同時連接的數(shù)目（3）配置用戶的屬性步驟4：配置客戶端的VPN連接

步驟5：建立與VPN服務(wù)器的連接第十二頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟二，設(shè)置服務(wù)器狀態(tài)。在控制臺左窗格中單擊與本地服務(wù)器名稱匹配的服務(wù)器圖標(biāo)。如果該圖標(biāo)左下角有一個紅圈，則說明尚未啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果該圖標(biāo)左下角有一個指向上方的綠色箭頭，則說明已啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果先前已啟用“路由和遠(yuǎn)程訪問”服務(wù)，則需要重新配置服務(wù)器。若要重新配置服務(wù)器，需完成下列操作步驟：1.鼠標(biāo)右擊服務(wù)器對象，單擊“禁用路由和遠(yuǎn)程訪問”，單擊“是”繼續(xù)。第十三頁，共五十七頁。第十四頁，共五十七頁。14.4VPN服務(wù)器的安裝2.鼠標(biāo)右擊服務(wù)器圖標(biāo)，單擊“配置并啟用路由和遠(yuǎn)程訪問”啟動“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А?，如圖14-5所示。單擊“下一步”繼續(xù)。3.在出現(xiàn)如圖14-6所示向?qū)υ捒蛑校瑔螕簟斑h(yuǎn)程訪問（撥號或VPN）”選項，以允許遠(yuǎn)程客戶端通過撥號或安全的虛擬專用網(wǎng)絡(luò)連接到此服務(wù)器，單擊“下一步”繼續(xù)。第十五頁，共五十七頁。圖14-5啟用“路由和遠(yuǎn)程訪問”第十六頁，共五十七頁。圖14-6啟用該服務(wù)器為“遠(yuǎn)程訪問”第十七頁，共五十七頁。作試驗時選擇第十八頁，共五十七頁。作試驗時選擇第十九頁，共五十七頁。作試驗時選擇第二十頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟三，選擇遠(yuǎn)程訪問服務(wù)器模式。在出現(xiàn)如圖14-7所示向?qū)υ捒蛑校鶕?jù)應(yīng)用模式選擇服務(wù)器的角色，選擇“VPN”或“撥號”，這里我們選擇“VPN”。步驟四，配置遠(yuǎn)程訪問服務(wù)器外網(wǎng)連接地址。在出現(xiàn)如圖14-8所示向?qū)υ捒虻摹熬W(wǎng)絡(luò)接口”窗口中，選擇連接到Internet的網(wǎng)絡(luò)接口，如本例中名稱是“本地連接-外”、IP地址為的網(wǎng)絡(luò)接口連接著外網(wǎng)。然后單擊“下一步”。第二十一頁，共五十七頁。圖14-7配置服務(wù)器接受VPN連接第二十二頁，共五十七頁。圖14-8配置外網(wǎng)接口第二十三頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟五，配置遠(yuǎn)程訪問服務(wù)器內(nèi)網(wǎng)連接地址。在出現(xiàn)如圖14-9所示的向?qū)υ捒蛑校瑸閂PN服務(wù)器所連接的內(nèi)部網(wǎng)絡(luò)指派一個接口。在“網(wǎng)絡(luò)連接”窗口中，單擊連接到內(nèi)部網(wǎng)絡(luò)的接口，如本例中名稱是“本地連接-內(nèi)”、IP地址為的網(wǎng)絡(luò)接口連接著內(nèi)網(wǎng)。然后單擊“下一步”。第二十四頁，共五十七頁。圖14-9配置內(nèi)網(wǎng)接口

第二十五頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟六，對遠(yuǎn)程客戶指派IP地址。如圖14-10所示，如果要使用DHCP服務(wù)器（DHCP概念參見第10章）給遠(yuǎn)程客戶端分配地址，在IP地址指定設(shè)置對話框中選擇“自動”；如果給遠(yuǎn)程客戶端分配靜態(tài)IP地址，選擇“來自一個指定的地址范圍”。采用DHCP管理分配IP地址更簡單方便，但若網(wǎng)絡(luò)中沒有安裝DHCP服務(wù)，則必須指定一個地址范圍。單擊“下一步”繼續(xù)。第二十六頁，共五十七頁。圖14-10IP地址的指定第二十七頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟七，如果選擇了“來自一個指定的地址范圍”，出現(xiàn)如圖14-11所示地址范圍分配對話框。單擊“新建”按鈕，指定“起始IP地址”和“結(jié)束IP地址”。Windows將自動計算地址的數(shù)目。單擊“確定”以返回到地址范圍分配窗口，如圖14-11所示。本例中為遠(yuǎn)程訪問客戶分配了從至0共20個IP地址。遠(yuǎn)程訪問客戶在VPN客戶端設(shè)置時，可以選擇該范圍中的任何一個IP地址分配。單擊“下一步”繼續(xù)。第二十八頁，共五十七頁。圖14-11IP地址的范圍的設(shè)定第二十九頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟八，在出現(xiàn)如圖14-12所示的身份驗證模式對話框中，選擇默認(rèn)選項“否，使用路由和遠(yuǎn)程訪問對連接請求進(jìn)行身份驗證”，此時遠(yuǎn)程訪問用戶使用本服務(wù)器中管理的用戶賬號連接本VPN服務(wù)器，并且該賬號已經(jīng)授予遠(yuǎn)程訪問權(quán)限。如果網(wǎng)絡(luò)中存在RADIUS服務(wù)器，可以集成該服務(wù)器驗證遠(yuǎn)程訪問客戶。然后單擊“下一步”繼續(xù)。第三十頁，共五十七頁。圖14-12身份驗證模式設(shè)置第三十一頁，共五十七頁。14.4VPN服務(wù)器的安裝步驟九，在出現(xiàn)對話框中，單擊“完成”按鈕，結(jié)束安裝。系統(tǒng)啟用路由和遠(yuǎn)程訪問服務(wù)并將該服務(wù)器配置為遠(yuǎn)程訪問服務(wù)器。第三十二頁，共五十七頁。14.5配置VPN服務(wù)器

14.5.1配置遠(yuǎn)程訪問策略14.5.2修改同時連接的數(shù)目14.5.3配置用戶的屬性第三十三頁，共五十七頁。14.5.1配置遠(yuǎn)程訪問策略

配置遠(yuǎn)程訪問策略遵循如下步驟：步驟一，單擊“開始”/“程序”/“管理工具”，運行“路由和遠(yuǎn)程訪問”應(yīng)用程序。步驟二，在出現(xiàn)如圖14-14所示窗口中，選擇本地遠(yuǎn)程訪問服務(wù)器MSI，單擊“遠(yuǎn)程訪問策略”，在右邊窗口中鼠標(biāo)右擊“到Microsoft路由選擇和遠(yuǎn)程訪問服務(wù)器的連接”，單擊“屬性”菜單項。第三十四頁，共五十七頁。圖14-14配置遠(yuǎn)程訪問策略屬性

第三十五頁，共五十七頁。圖14-14配置撥入權(quán)限第三十六頁，共五十七頁。14.5.1配置遠(yuǎn)程訪問策略

步驟三，在出現(xiàn)的如圖14-14所示“屬性”對話框中，我們可以對遠(yuǎn)端客戶端的遠(yuǎn)程訪問權(quán)限進(jìn)行設(shè)置，如果允許遠(yuǎn)程客戶端通過Internet訪問該服務(wù)器，則選擇“授予遠(yuǎn)程訪問權(quán)限”；反之，選擇“拒絕遠(yuǎn)程訪問權(quán)限”。如果還需要對配置文件進(jìn)行設(shè)置，單擊“編輯配置文件”按鈕，出現(xiàn)如圖14-15所示“編輯撥入配置文件”對話框。第三十七頁，共五十七頁。圖14-14配置撥入權(quán)限第三十八頁，共五十七頁。圖14-15編輯撥入配置文件第三十九頁，共五十七頁。14.5.1配置遠(yuǎn)程訪問策略

步驟四，在“編輯撥入配置文件”對話框中單擊IP選項卡，根據(jù)需要選擇IP地址的分配。共有四種選擇，其含義如下：（1）選擇“服務(wù)器必須提供一個IP地址”選項，則需要在用戶“屬性”對話框中給遠(yuǎn)程登錄用戶配置一個靜態(tài)的IP地址，用戶屬性配置參見用戶管理，分配用戶靜態(tài)IP地址如圖14-16所示。第四十頁，共五十七頁。圖14-16設(shè)定VPN用戶屬性使用靜態(tài)IP地址第四十一頁，共五十七頁。14.5.1配置遠(yuǎn)程訪問策略

（2）選擇“客戶端可以請求一個IP地址”選項，VPN客戶可以設(shè)置使用VPN服務(wù)器地址池中的任意IP地址，此時VPN用戶擁有固定的內(nèi)網(wǎng)IP地址。（3）選擇“服務(wù)器設(shè)定IP地址分配”選項，VPN客戶端無需配置內(nèi)部網(wǎng)絡(luò)IP地址，VPN客戶端軟件連接VPN服務(wù)器時，自動從VPN服務(wù)器的IP地址池中獲取一個內(nèi)部IP地址。（4）選擇“分配一個靜態(tài)IP地址”選項，VPN服務(wù)器只為VPN客戶端提供一個固定的IP地址，因此，一個時刻只允許遠(yuǎn)端一臺客戶機(jī)登錄VPN服務(wù)器。對上述內(nèi)容設(shè)置完成后單擊“確定”，完成對“遠(yuǎn)程訪問策略”的設(shè)置。第四十二頁，共五十七頁。14.5.2修改同時連接的數(shù)目圖14-17配置端口屬性第四十三頁，共五十七頁。14.5.3配置用戶的屬性對于允許遠(yuǎn)程連接的客戶賬戶必須設(shè)定其“允許遠(yuǎn)程訪問”，具體步驟如下：步驟一，選擇“開始”/“控制面板”/“管理工具”/“計算機(jī)管理”，打開“計算機(jī)管理”窗口，選擇“本地用戶和組”，單擊“用戶”。如圖14-18所示。步驟二，在用戶窗口中選擇要設(shè)置的用戶，鼠標(biāo)右擊用戶選擇“屬性”菜單項。第四十四頁，共五十七頁。圖14-18選擇用戶屬性第四十五頁，共五十七頁。14.5.3配置用戶的屬性步驟三，在出現(xiàn)的“屬性”窗口中單擊“撥入”選項，然后在出現(xiàn)的如圖14-19所示窗口中，選擇“允許訪問”或“通過遠(yuǎn)程訪問策略控制訪問”，則該用戶具有遠(yuǎn)程連接權(quán)力。反之，不允許用戶遠(yuǎn)程訪問該服務(wù)器。若選擇“通過遠(yuǎn)程訪問策略控制訪問”，則需要按14.3.1節(jié)配置“遠(yuǎn)程訪問控制策略”。點擊“確定”按鈕完成設(shè)置。第四十六頁，共五十七頁。圖14-19設(shè)置訪問權(quán)限第四十七頁，共五十七頁。14.5.4配置客戶端VPN連接新建“虛擬專用連接”建立與VPN服務(wù)器的連接第四十八頁，共五十七頁。新建“虛擬專用連接”在客戶計算機(jī)上新建“虛擬專用連接”，步驟如下：步驟一，在客戶計算機(jī)上，確認(rèn)與Internet的連接配置正確。步驟二，“控制面板”，單擊“網(wǎng)絡(luò)連接”。單擊網(wǎng)絡(luò)任務(wù)下的“創(chuàng)建一個新的連接”，然后單擊“下一步”。步驟三，在連接建立向?qū)?，選擇“連接到我的工作場所的網(wǎng)絡(luò)”，如圖14-20所示，單擊“下一步”。第四十九頁，共五十七頁。圖14-20設(shè)置網(wǎng)絡(luò)連接類型第五十頁，共五十七頁。新建“虛擬專用連接”步驟四，在出現(xiàn)的對話框中單擊“虛擬專用網(wǎng)絡(luò)連接”，然后單擊“下一步”。步驟五，在公司名稱對話框中為連接鍵入一個描述性的名稱，即對公司名稱的一個簡單描述，然后單擊“下一步”。步驟六，在出現(xiàn)如圖14-21對話框中，鍵入目標(biāo)地址即VPN服務(wù)器的IP地址或主機(jī)名。然后單擊“下一步”。第五十一頁，共五十七頁。圖14-21輸入計算機(jī)的主機(jī)名或IP地址第五十二頁，共五十七頁。新建“虛擬專用連接”步驟七，在出現(xiàn)的對話框中，如果要允許登錄到該計算機(jī)的任何用戶都能訪問此撥號連接，則選擇“任何人使用”選項；如果限制使此連接僅供當(dāng)前登錄用戶使用，則選擇“只是我使用”選項。單擊“下一步”。步驟八，單擊“完成”按鈕以保存新建的連接。第五十三頁，共五十七頁。建立與VPN服務(wù)器的連接圖14-22連接“虛擬專用連接”第五十四頁，共五十七頁。圖14-23“虛擬專用連接”連接成功第五十五頁，共五十七頁。圖14-24連接時出錯第五十六頁，共五十七頁。內(nèi)容總結(jié)項目14