VPN服務配置與管理

項目14VPN服務器的配置與管理

14.1項目內容某公司組建了單位內部的辦公網絡，業(yè)務人員需要經常出差到外地，但需要經常通過公眾信息網絡訪問單位網絡，在安全性上存在著很多問題，這時考慮使用VPN組網技術解決信息在公眾網上傳輸安全問題。第一頁，共五十七頁。14.1.3任務目標1.了解VPN的概念；2.理解VPN的工作過程；3.掌握如何在WindowsServer2003安裝與配置VPN服務；4.客戶端VPN連接的設置。第二頁，共五十七頁。14.2相關知識

14.2.1VPN的概念虛擬專用網（VirtualPrivateNetwork，VPN）技術即虛擬專用網技術，是通過ISP（Internet服務提供商）和其他NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術。第三頁，共五十七頁。14.2.2VPN服務的原理WWW服務器圖14.1VPN服務原理客戶機E-mail服務器VPN服務器Internet專用網絡第四頁，共五十七頁。14.1VPN概述圖14-1遠程撥號訪問第五頁，共五十七頁。14.2.3VPN的類型1.客戶端發(fā)起的VPN2.接入服務器發(fā)起的VPN第六頁，共五十七頁。甲網絡乙網絡ISPISPInternetVPN(PPTP,L2TP)VPN服務器VPN服務器第七頁，共五十七頁。14.2.4VPN的隧道協(xié)議VPN使用的兩種隧道協(xié)議是：(1)點到點隧道協(xié)議（PPTP）。(2)第二層隧道協(xié)議（L2TP）。(3)網絡層隧道協(xié)議IPSec以及SocksV5。第八頁，共五十七頁。14.2.5VPN的應用

1.以安全方式，通過Internet實現訪問企業(yè)局域網。2.通過Internet實現網絡互連，分別可以采用專線連接和撥號連接，這樣就可以將與當地ISP建立的連接和Internet網絡在企業(yè)分支機構和企業(yè)端路由器之間創(chuàng)建一個VPN。3.連接企業(yè)內部網絡計算機，通過使用VPN服務器來與整個企業(yè)局域網連接，并可保證數據的安全性。第九頁，共五十七頁。14.3方案設計內部應用服務器10．8．32．3/24內網接口10．8．32．253/24外網接口211．81．192．2/24Internet異地VPN客戶內部網絡第十頁，共五十七頁。14.3.2設備清單為了搭建圖14.4所示的網絡環(huán)境，需要如下設備：1.安裝Windows2003Server的PC計算機1臺；2.WindowsXP計算機1臺；3.以上兩臺計算機已連入校園網。第十一頁，共五十七頁。14.4實施步驟步驟1：配置VPN服務器的網卡IP地址步驟2：安裝和啟動VPN服務器步驟3：配置VPN服務器（1）配置遠程訪問策略（2）修改同時連接的數目（3）配置用戶的屬性步驟4：配置客戶端的VPN連接

步驟5：建立與VPN服務器的連接第十二頁，共五十七頁。14.4VPN服務器的安裝步驟二，設置服務器狀態(tài)。在控制臺左窗格中單擊與本地服務器名稱匹配的服務器圖標。如果該圖標左下角有一個紅圈，則說明尚未啟用“路由和遠程訪問”服務。如果該圖標左下角有一個指向上方的綠色箭頭，則說明已啟用“路由和遠程訪問”服務。如果先前已啟用“路由和遠程訪問”服務，則需要重新配置服務器。若要重新配置服務器，需完成下列操作步驟：1.鼠標右擊服務器對象，單擊“禁用路由和遠程訪問”，單擊“是”繼續(xù)。第十三頁，共五十七頁。第十四頁，共五十七頁。14.4VPN服務器的安裝2.鼠標右擊服務器圖標，單擊“配置并啟用路由和遠程訪問”啟動“路由和遠程訪問服務器安裝向導”，如圖14-5所示。單擊“下一步”繼續(xù)。3.在出現如圖14-6所示向導對話框中，單擊“遠程訪問（撥號或VPN）”選項，以允許遠程客戶端通過撥號或安全的虛擬專用網絡連接到此服務器，單擊“下一步”繼續(xù)。第十五頁，共五十七頁。圖14-5啟用“路由和遠程訪問”第十六頁，共五十七頁。圖14-6啟用該服務器為“遠程訪問”第十七頁，共五十七頁。作試驗時選擇第十八頁，共五十七頁。作試驗時選擇第十九頁，共五十七頁。作試驗時選擇第二十頁，共五十七頁。14.4VPN服務器的安裝步驟三，選擇遠程訪問服務器模式。在出現如圖14-7所示向導對話框中，根據應用模式選擇服務器的角色，選擇“VPN”或“撥號”，這里我們選擇“VPN”。步驟四，配置遠程訪問服務器外網連接地址。在出現如圖14-8所示向導對話框的“網絡接口”窗口中，選擇連接到Internet的網絡接口，如本例中名稱是“本地連接-外”、IP地址為的網絡接口連接著外網。然后單擊“下一步”。第二十一頁，共五十七頁。圖14-7配置服務器接受VPN連接第二十二頁，共五十七頁。圖14-8配置外網接口第二十三頁，共五十七頁。14.4VPN服務器的安裝步驟五，配置遠程訪問服務器內網連接地址。在出現如圖14-9所示的向導對話框中，為VPN服務器所連接的內部網絡指派一個接口。在“網絡連接”窗口中，單擊連接到內部網絡的接口，如本例中名稱是“本地連接-內”、IP地址為的網絡接口連接著內網。然后單擊“下一步”。第二十四頁，共五十七頁。圖14-9配置內網接口

第二十五頁，共五十七頁。14.4VPN服務器的安裝步驟六，對遠程客戶指派IP地址。如圖14-10所示，如果要使用DHCP服務器（DHCP概念參見第10章）給遠程客戶端分配地址，在IP地址指定設置對話框中選擇“自動”；如果給遠程客戶端分配靜態(tài)IP地址，選擇“來自一個指定的地址范圍”。采用DHCP管理分配IP地址更簡單方便，但若網絡中沒有安裝DHCP服務，則必須指定一個地址范圍。單擊“下一步”繼續(xù)。第二十六頁，共五十七頁。圖14-10IP地址的指定第二十七頁，共五十七頁。14.4VPN服務器的安裝步驟七，如果選擇了“來自一個指定的地址范圍”，出現如圖14-11所示地址范圍分配對話框。單擊“新建”按鈕，指定“起始IP地址”和“結束IP地址”。Windows將自動計算地址的數目。單擊“確定”以返回到地址范圍分配窗口，如圖14-11所示。本例中為遠程訪問客戶分配了從至0共20個IP地址。遠程訪問客戶在VPN客戶端設置時，可以選擇該范圍中的任何一個IP地址分配。單擊“下一步”繼續(xù)。第二十八頁，共五十七頁。圖14-11IP地址的范圍的設定第二十九頁，共五十七頁。14.4VPN服務器的安裝步驟八，在出現如圖14-12所示的身份驗證模式對話框中，選擇默認選項“否，使用路由和遠程訪問對連接請求進行身份驗證”，此時遠程訪問用戶使用本服務器中管理的用戶賬號連接本VPN服務器，并且該賬號已經授予遠程訪問權限。如果網絡中存在RADIUS服務器，可以集成該服務器驗證遠程訪問客戶。然后單擊“下一步”繼續(xù)。第三十頁，共五十七頁。圖14-12身份驗證模式設置第三十一頁，共五十七頁。14.4VPN服務器的安裝步驟九，在出現對話框中，單擊“完成”按鈕，結束安裝。系統(tǒng)啟用路由和遠程訪問服務并將該服務器配置為遠程訪問服務器。第三十二頁，共五十七頁。14.5配置VPN服務器

14.5.1配置遠程訪問策略14.5.2修改同時連接的數目14.5.3配置用戶的屬性第三十三頁，共五十七頁。14.5.1配置遠程訪問策略

配置遠程訪問策略遵循如下步驟：步驟一，單擊“開始”/“程序”/“管理工具”，運行“路由和遠程訪問”應用程序。步驟二，在出現如圖14-14所示窗口中，選擇本地遠程訪問服務器MSI，單擊“遠程訪問策略”，在右邊窗口中鼠標右擊“到Microsoft路由選擇和遠程訪問服務器的連接”，單擊“屬性”菜單項。第三十四頁，共五十七頁。圖14-14配置遠程訪問策略屬性

第三十五頁，共五十七頁。圖14-14配置撥入權限第三十六頁，共五十七頁。14.5.1配置遠程訪問策略

步驟三，在出現的如圖14-14所示“屬性”對話框中，我們可以對遠端客戶端的遠程訪問權限進行設置，如果允許遠程客戶端通過Internet訪問該服務器，則選擇“授予遠程訪問權限”；反之，選擇“拒絕遠程訪問權限”。如果還需要對配置文件進行設置，單擊“編輯配置文件”按鈕，出現如圖14-15所示“編輯撥入配置文件”對話框。第三十七頁，共五十七頁。圖14-14配置撥入權限第三十八頁，共五十七頁。圖14-15編輯撥入配置文件第三十九頁，共五十七頁。14.5.1配置遠程訪問策略

步驟四，在“編輯撥入配置文件”對話框中單擊IP選項卡，根據需要選擇IP地址的分配。共有四種選擇，其含義如下：（1）選擇“服務器必須提供一個IP地址”選項，則需要在用戶“屬性”對話框中給遠程登錄用戶配置一個靜態(tài)的IP地址，用戶屬性配置參見用戶管理，分配用戶靜態(tài)IP地址如圖14-16所示。第四十頁，共五十七頁。圖14-16設定VPN用戶屬性使用靜態(tài)IP地址第四十一頁，共五十七頁。14.5.1配置遠程訪問策略

（2）選擇“客戶端可以請求一個IP地址”選項，VPN客戶可以設置使用VPN服務器地址池中的任意IP地址，此時VPN用戶擁有固定的內網IP地址。（3）選擇“服務器設定IP地址分配”選項，VPN客戶端無需配置內部網絡IP地址，VPN客戶端軟件連接VPN服務器時，自動從VPN服務器的IP地址池中獲取一個內部IP地址。（4）選擇“分配一個靜態(tài)IP地址”選項，VPN服務器只為VPN客戶端提供一個固定的IP地址，因此，一個時刻只允許遠端一臺客戶機登錄VPN服務器。對上述內容設置完成后單擊“確定”，完成對“遠程訪問策略”的設置。第四十二頁，共五十七頁。14.5.2修改同時連接的數目圖14-17配置端口屬性第四十三頁，共五十七頁。14.5.3配置用戶的屬性對于允許遠程連接的客戶賬戶必須設定其“允許遠程訪問”，具體步驟如下：步驟一，選擇“開始”/“控制面板”/“管理工具”/“計算機管理”，打開“計算機管理”窗口，選擇“本地用戶和組”，單擊“用戶”。如圖14-18所示。步驟二，在用戶窗口中選擇要設置的用戶，鼠標右擊用戶選擇“屬性”菜單項。第四十四頁，共五十七頁。圖14-18選擇用戶屬性第四十五頁，共五十七頁。14.5.3配置用戶的屬性步驟三，在出現的“屬性”窗口中單擊“撥入”選項，然后在出現的如圖14-19所示窗口中，選擇“允許訪問”或“通過遠程訪問策略控制訪問”，則該用戶具有遠程連接權力。反之，不允許用戶遠程訪問該服務器。若選擇“通過遠程訪問策略控制訪問”，則需要按14.3.1節(jié)配置“遠程訪問控制策略”。點擊“確定”按鈕完成設置。第四十六頁，共五十七頁。圖14-19設置訪問權限第四十七頁，共五十七頁。14.5.4配置客戶端VPN連接新建“虛擬專用連接”建立與VPN服務器的連接第四十八頁，共五十七頁。新建“虛擬專用連接”在客戶計算機上新建“虛擬專用連接”，步驟如下：步驟一，在客戶計算機上，確認與Internet的連接配置正確。步驟二，“控制面板”，單擊“網絡連接”。單擊網絡任務下的“創(chuàng)建一個新的連接”，然后單擊“下一步”。步驟三，在連接建立向導上，選擇“連接到我的工作場所的網絡”，如圖14-20所示，單擊“下一步”。第四十九頁，共五十七頁。圖14-20設置網絡連接類型第五十頁，共五十七頁。新建“虛擬專用連接”步驟四，在出現的對話框中單擊“虛擬專用網絡連接”，然后單擊“下一步”。步驟五，在公司名稱對話框中為連接鍵入一個描述性的名稱，即對公司名稱的一個簡單描述，然后單擊“下一步”。步驟六，在出現如圖14-21對話框中，鍵入目標地址即VPN服務器的IP地址或主機名。然后單擊“下一步”。第五十一頁，共五十七頁。圖14-21輸入計算機的主機名或IP地址第五十二頁，共五十七頁。新建“虛擬專用連接”步驟七，在出現的對話框中，如果要允許登錄到該計算機的任何用戶都能訪問此撥號連接，則選擇“任何人使用”選項；如果限制使此連接僅供當前登錄用戶使用，則選擇“只是我使用”選項。單擊“下一步”。步驟八，單擊“完成”按鈕以保存新建的連接。第五十三頁，共五十七頁。建立與VPN服務器的連接圖14-22連接“虛擬專用連接”第五十四頁，共五十七頁。圖14-23“虛擬專用連接”連接成功第五十五頁，共五十七頁。圖14-24連接時出錯第五十六頁，共五十七頁。內容總結項目14