全程图解windows 2003下的虚拟网络.doc-道客多多

资源描述

1、全程图解 Windows 2003 下的虚拟网络简介本白皮书介绍如何使用 Windows Server 2003 和 Windows XP 操作系统，为一家虚构的公司配置常见的虚拟专用网络。虽然您的网络配置可能与这里描述的配置有所不同，但是您仍可在网络环境中应用虚拟专用网络的一些基本概念。同时使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。VPN 是专用网络的扩展( 包含共享或公用网络(如:Internet)上的链接)。借助 VPN，用户可以通过模拟点对点专用链接的方式，在共享或公用网络上的两台计算机间发送数据。建立虚拟专用网络即创建并配置虚拟专用网络。为了模拟点对点链接，数据将

2、随提供路由信息(允许数据遍历共享或公用网络以到达端点)的标头一起封装或包装。为了模拟专用链接，数据将被加密以实现机密性。如果没有加密密钥，将无法破译共享或公用网络上截获的数据包。封装并加密专用数据的链接即为 VPN 连接。Electronic, Inc. 是一家虚构的电子产品设计和制造公司，总部设在纽约，其分公司和分销商业合作伙伴遍布美国各地。Electronic, Inc. 已经实施了一个 VPN 解决方案，使用 Windows Server 2003 来连接远程访问用户、分公司和商业合作伙伴。公司总部的 VPN 服务器同时提供了远程访问以及站点到站点 (也称为路由器到路由器 )点对点隧道协

3、议 (PPTP) 和结合 Internet 协议安全的第二层隧道协议 (L2TP/IPSec) VPN 连接。此外，VPN 服务器还对 Intranet and Internet 位置提供了数据包的路由。根据 VPN 服务器的常规配置，介绍了下列 VPN 配置: 员工的 VPN 远程访问。按需的分公司访问。持续的分公司访问。商业合作伙伴的 Extranet。采用 RADIUS 身份验证的拨号和 VPN 连接。注意:此处列举的公司、组织、产品、人员和事件均属虚构。不应与真实的公司、组织、产品、人员或事件相联系，也不应随意推测。VPN 服务器的常规配置为了对 Electronic, Inc

4、. 部署一个 VPN 解决方案，网络管理员针对下列几个方面进行了分析，并制定了设计决策: 网络配置 : 远程访问策略配置。域配置。安全配置。网络配置网络配置的要素有: Electronic, Inc. 的公司 Intranet 使用 IP 地址为 172.16.0.0、子网掩码为 55.240.0.0 (172.16.0.0/12) 以及 IP 地址为 192.168.0.0、子网掩码为 255.255.0.0 (192.168.0.0/16) 的专用网络。公司总部的网段使用 IP 地址为 172.16.0.0 的子网，而分公司则使用 IP 地址为 192.168.0.0 的子网。 VPN

5、服务器直接连接到使用 T3(也称为 DS-3)专用 WAN 链接的 Internet。对于 Internet 上的 WAN 适配器，Internet 服务提供商 (ISP) 为 Electronic, Inc. 分配的 IP 地址为 207.46.130.1。在 Internet 上，WAN 适配器的 IP 地址由域名引用。 VPN 服务器直接连接到一个 Intranet 网段，该网段包含一台连接到 Electronic, Inc. 公司总部 Intranet 其他部分的路由器。该 Intranet 网段的 IP 网络 ID 为 172.31.0.0，子网掩码为 255.255.0.0

6、。 VPN 服务器配置了一个属于 Intranet 网段一部分的静态 IP 地址池 (子网内地址池)，以向远程访问客户端以及调用路由器分配地址。图 1 显示了 Electronic, Inc. VPN 服务器的网络配置。图 1:Electronic, Inc. VPN 服务器的网络配置基于 Electronic, Inc. 总公司 Intranet 的网络配置，VPN 服务器的配置如下 :1. 在 VPN 服务器上安装硬件。根据适配器制造商的说明，安装用于连接到 Intranet 网段的网络适配器和用于连接到 Internet 的 WAN 适配器。一旦驱动程序安装完毕并正常运行，两个适配器都

7、将作为网络连接中的本地连接。2. 在 LAN 和 WAN 适配器上配置 TCP/IP。对于 LAN 适配器，其 IP 地址和子网掩码分别被配置为 172.31.0.1 和 255.255.0.0。而对于 WAN 适配器，其 IP 地址和子网掩码分别被配置为 207.46.130.1 和 255.255.255.255。未对这两个适配器配置默认网关。同时，还配置了域名系统 (DNS) 和 Windows Internet 名称服务 (WINS) 服务器地址。3. 配置路由和远程访问服务。路由和远程访问服务最初通过“路由和远程访问服务器安装向导” 进行配置。若要运行该向导，请在“ 路由和远程访问”

8、管理单元中右键单击服务器的名称，然后单击“ 配置并启用路由和远程访问” 。通过下列设置配置 VPN 服务器:配置:远程访问(拨号或 VPN)远程访问:VPNVPN 连接:单击与连接到 Internet 的接口相对应的连接IP 地址分配:单击“来自一个指定的地址范围”，并创建一个从 172.31.255.1 到 172.31.255.254 的范围。这将为多达 253 个 VPN 客户端创建一个静态地址池。管理多台远程访问服务器:单击“否，使用路由和远程访问来对连接请求进行身份验证”对远程访问和请求拨号连接进行身份验证的默认方法是:使用 Windows 身份验证。该方法适合于此配置( 只有一台

9、VPN 服务器 )。有关对 Electronic, Inc. 使用远程身份验证拨入用户服务 (RADIUS) 身份验证的信息，请参阅本文的“采用 RADIUS 身份验证的拨号和 VPN 连接” 一节。有关使用 Windows 和 RADIUS 身份验证的详细信息，请在 Windows Server 2003“帮助和支持” 中参阅名为“身份验证和授权”的主题。4. 配置 DHCP 中继代理。在控制台树中，定位到 IP 路由DHCP 中继代理。右键单击“DHCP 中继代理”，然后单击“属性” 。在“DHCP 中继代理属性”对话框的“服务器地址” 中，键入 Intranet 动态主机配置协议 (DH

10、CP) 服务器的 IP 地址。单击“添加” ，再单击“ 确定”。通过配置 DHCP 中继代理路由协议组件，VPN 远程访问客户端在连接到 Intranet 时，可接收正确的 DNS 域名、DNS 服务器地址和 WINS 服务器地址。5. 在 VPN 服务器上配置静态路由，以便到达 Intranet 和 Internet 位置。若要到达 Intranet 位置，需通过下列设置配置静态路由: 接口 :连接到 Intranet 的 LAN 适配器目标地址 :172.16.0.0 网络掩码 :255.240.0.0 网关 :172.31.0.2 跃点数 :1这个静态路由通过汇总 Electronic

11、, Inc. Intranet 上的所有目标地址，简化了路由。使用了该静态路由，就无需用一个路由协议来配置 VPN 服务器。为了到达各个 Internet 位置，用下列设置配置了一个静态路由: 接口 :连接到 Internet 的 WAN 适配器目标地址 :0.0.0.0 网络掩码 :0.0.0.0 网关 :0.0.0.0 跃点数 :1这个静态路由汇总了 Internet 上的所有目标地址。该路由允许 VPN 服务器相应来自 Internet 上任何地方的远程访问或请求拨号路由器。注意:由于 WAN 适配器创建了到 ISP 的点对点连接，因此可以为网关输入任何地址。网关地址的一个例子是 0.

12、0.0.0。0.0.0.0 是未指定的 IP 地址。6. 在 Intranet 路由器上配置一个静态路由，以到达所有分公司。为了从 Intranet 路由器到达各个分公司位置，用下列设置配置了一个静态路由: 接口 :连接到 Intranet 的 LAN 适配器目标地址 :192.168.0.0 网络掩码 :255.255.0.0 网关 :172.31.0.1 跃点数 :1这个静态路由通过汇总 Electronic, Inc. 分公司处的所有目标地址，简化了路由。 Intranet 路由器将该静态路由公布给邻近的路由器，从而到各分公司位置的路由就会存在于 Intranet 的每台路由器上。远程

13、访问策略配置Electronic, Inc. 正在使用纯模式 Active Directory 域，而且 Electronic, Inc. 的网络管理员已经决定采用按组访问的管理模式。所有用户帐户的远程访问权限都被设为“通过远程访问策略控制访问”。对连接尝试的远程访问授权由首个匹配的远程访问策略上的远程访问权限设置来控制。远程访问策略用于根据组成员身份，应用不同的 VPN 连接设置。有关详细信息，请参阅 Windows Server 2003“帮助和支持” 中的“远程访问策略介绍”主题。域配置为了能对不同类型的 VPN 连接应用不同的连接设置，创建了下列 Active Directory 组:

14、 VPN_Users用于远程访问 VPN 连接 VPN_Routers用于自 Electronic, Inc. 分公司的站点到站点 VPN 连接 VPN_Partners用于自 Electronic, Inc. 商业合作伙伴的站点到站点 VPN 连接注意:在此示例部署中，所有用户和组都创建于 Active Directory 域中。安全配置为了启用 L2TP/IPSec 连接，让远程访问客户端使用智能卡，并让路由器使用 EAP-TLS，Electronic, Inc. 域被配置为对所有域成员自动注册计算机证书。有关详细信息，请在 Windows Server 2003“帮助和支持” 中参阅名

15、为“清单:配置证书自动注册”的主题。员工的 VPN 远程访问根据本文的“VPN 服务器的常规配置” 一节中提供的设置以及下列一些其他设置，使用 Internet 上的远程访问 VPN 连接，对 Electronic, Inc. 的员工部署了远程访问。图 2 显示了提供远程访问 VPN 连接的 Electronic, Inc. VPN 服务器。图 2:提供远程访问 VPN 连接的 Electronic, Inc. VPN 服务器域配置对于得到 VPN 访问许可的每位员工 : 用户帐户的拨入属性上的远程访问权限被设为“ 通过远程访问策略控制访问”。该用户帐户被添加到 VPN_Users Acti

16、ve Directory 组。远程访问策略配置为了对远程访问 VPN 客户端定义身份验证和加密设置，创建了下列常见的远程访问策略: 策略名 :远程访问 VPN 连接访问方法 :VPN 用户或组访问:选定了带有 EXAMPLEVPN_Users 组的组身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”、“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”以及“Microsoft 加密身份验证 (MS-CHAP)” 策略加密级别:选定了“强加密”和“最强加密”基于 PPTP 的远程访问客户端配置在 Windows XP 远程访问客户端计算机上，使用“新

17、建连接向导”创建带有如下设置的 VPN 连接: 网络连接类型:从我的工作地点连接到网络网络连接 :虚拟专用网络连接连接名 :Electronic, Inc. VPN 服务器选择: 连接可用性:供任何人使用基于 L2TP/IPSec 的远程访问客户端配置远程访问计算机使用一个到 Electronic, Inc. Intranet 的局域网 (LAN) 连接，登录 Electronic, Inc. 域，并通过自动注册接收计算机证书。然后，使用“新建连接向导” 创建带有下列设置的 VPN 连接: 网络连接类型:从我的工作地点连接到网络网络连接 :虚拟专用网络连接连接名 :Electronic

18、, Inc. VPN 服务器选择: 连接可用性:供任何人使用在“连接 Electronic, Inc.”对话框中，单击“属性”，然后单击“ 网络”选项卡。在“网络” 选项卡上，“VPN 类型”被设为“L2TP/IPSec VPN”。当“VPN 类型”被设为“ 自动”时，将先尝试建立 PPTP 连接。在这种情况下，Electronic, Inc. 的网络管理员不想让可建立 L2TP/IPSec 连接的远程访问客户端使用 PPTP。按需的分公司连接Electronic, Inc. 的波特兰和达拉斯分公司使用按需的站点到站点 VPN 连接，连接到总公司。波特兰和达拉斯分公司都只有一小部分员工需要偶尔

19、连接到总公司。波特兰和达拉斯分公司的 Window Server 2003 路由器配有一台 ISDN 适配器，可呼叫当地的 Internet 服务提供商以获得 Internet 的访问权，然后在 Internet 上建立站点到站点 VPN 连接。当 VPN 连接闲置达五分钟时，分公司的路由器将中断 VPN 连接。达拉斯分公司使用的 IP 网络 ID 为 192.168.28.0，子网掩码为 255.255.255.0 (192.168.28.0/24)。波特兰分公司使用的 IP 网络 ID 为 192.168.4.0，子网掩码为 255.255.255.0 (192.168.4.0/24)。为

20、了简化连接，VPN 连接为单向启动的连接，通常由分公司路由器启动。有关详细信息，请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接” 的主题。图 3 显示了提供按需的分公司连接的 Electronic, Inc. VPN 服务器。图 3:提供按需的分公司连接的 Electronic, Inc. VPN 服务器为了根据本文的“VPN 服务器的常规配置” 一节所提供的设置，部署按需的站点到站点 VPN 连接，以将波特兰和达拉斯分公司连接到总公司，配置了如下这些附加的设置。域配置对于到达拉斯分公司的 VPN 连接，通过下列设置创建了用户帐户 VPN_Dall

21、as: 密码为 nY7Wq8=z3。对于 VPN_Dallas 帐户的属性，清除“用户下次登录时必须更改密码 ”选项，并选定“密码永不过期”选项。对于 VPN_Dallas 帐户的拨入属性，将远程访问权限设为“通过远程访问策略控制访问 ”，并添加子网掩码为 255.255.255.0 的静态路由 192.168.28.0。将 VPN_Dallas 帐户添加到 VPN_Routers 组。对于到波特兰分公司的 VPN 连接，通过下列设置创建了用户帐户 VPN_Portland: 密码为 P*4s=wq!Gx1。对于 VPN_Portland 帐户的属性，清除了“ 用户下次登录时必须更改密

22、码 ”，并选定“密码永不过期”选项。对于 VPN_Portland 帐户的拨入属性，将远程访问权限设为“ 通过远程访问策略控制访问 ”，并添加子网掩码为 255.255.255.0 的静态路由 192.168.4.0。将 VPN_Portland 帐户添加到 VPN_Routers 组。远程访问策略配置为了对 VPN 路由器定义身份验证和加密设置，创建了如下远程访问策略: 策略名 :VPN 路由器访问方法 :VPN 用户或组访问:选定了带有 EXAMPLEVPN_Routers 组的组身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密

23、身份验证版本 2 (MS-CHAP v2)” 策略加密级别:选定了“强加密”和“最强加密”下面几节介绍了达拉斯分公司中基于 PPTP 的按需的分公司连接，以及波特兰分公司中基于 L2TP/IPSec 的按需的分公司连接。基于 PPTP 的按需的分公司连接达拉斯分公司属于基于 PPTP 的分公司，使用一台 Windows Server 2003 路由器，根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后，如果闲置达五分钟，将中断该连接。为了根据本文的“VPN 服务器的常规配置” 和“按需的分公司连接”章节所提供的设置，部署到总公司的基于 PPTP 的单向启动的按需的站

24、点到站点 VPN 连接，在达拉斯路由器上配置了如下设置。到 ISP 连接的请求拨号接口为了通过当地 ISP 将达拉斯分公司的路由器连接到 Internet，通过“ 请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :ISP 连接类型 :使用调制解调器、ISDN 适配器或其他物理设备进行连接选择设备 :选定了适当的 ISDN 设备。电话号码 :达拉斯分公司 ISP 的电话号码。协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程网络的静态路由为了在需要建立站点到站点 VPN 连接时，创建到达拉斯 ISP 的连接，配置了如下静态路由:目标地址:207.46.13

25、0.1网络掩码: 255.255.255.255跃点数:1 拨出凭据用户名:达拉斯分公司的 ISP 帐户名密码:达拉斯分公司的 ISP 帐户密码确认密码:达拉斯分公司的 ISP 帐户密码若要运行“请求拨号接口”向导，右键单击“网络接口” ，然后单击“新建请求拨号接口”。站点到站点 VPN 连接的请求拨号接口为了使用 Internet 上的站点到站点 VPN 连接将达拉斯分公司的路由器连接到 VPN 服务器，通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :CorpHQ 连接类型 :使用虚拟专用网络 (VPN) 进行连接 VPN 类型:点对点隧道协议 (PPTP) 目标地址

26、:207.46.130.1 协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程网络的静态路由为了使公司 intranet 上的所有位置可达，配置了以下静态路由:目标地址:172.16.0.0网络掩码: 255.240.0.0跃点数:1为了使 Electronic, Inc. 分支机构上的所有位置可达，配置了以下静态路由 :目标地址:192.168.0.0网络掩码: 255.255.0.0跃点数:1 拨出凭据用户名:VPN_Dallas域:密码:nY7Wq8=z3确认密码:nY7Wq8=z3基于 L2TP/IPSec 的按需的分公司连接波特兰分公司属于基于 L2TP/IPSe

27、c 的分公司，使用一台 Windows Server 2003 路由器，根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后，如果闲置达五分钟，将中断该连接。为了根据本文的“VPN 服务器的常规配置” 和“按需的分公司连接”章节所提供的设置，部署到总公司的基于 L2TP/IPSec 的单向启动的按需的站点到站点 VPN 连接，在波特兰路由器上配置了如下设置:证书配置波特兰的路由器原先由 Electronic, Inc. 的网络管理员配置。那时，该路由器与 Electronic, Inc. Intranet 建立了物理连接，随后被送往波特兰网站。波特兰路由器在连接到 E

28、lectronic, Inc. Intranet 时，通过自动注册安装了一个计算机证书。到 ISP 连接的请求拨号接口为了通过当地 ISP 将波特兰分公司的路由器连接到 Internet，通过“ 请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :ISP 连接类型 :使用调制解调器、ISDN 适配器或其他物理设备进行连接选择设备 :选定了适当的 ISDN 设备。电话号码 :波特兰分公司 ISP 的电话号码。协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程网络的静态路由为了在需要建立站点到站点 VPN 连接时，创建到波特兰 ISP 的连接，配置了如下静态路

29、由:目标地址:207.46.130.1网络掩码:255.255.255.255跃点数: 1 拨出凭据用户名:波特兰分公司的 ISP 帐户名密码:波特兰分公司的 ISP 帐户密码确认密码:波特兰分公司的 ISP 帐户密码站点到站点 VPN 连接的请求拨号接口为了使用 Internet 上的站点到站点 VPN 连接，将波特兰分公司的路由器连接到 VPN 服务器，通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :CorpHQ 连接类型 :使用虚拟专用网络 (VPN) 进行连接 VPN 类型:第二层隧道协议 (L2TP) 目标地址 :207.46.130.1 协议和安全:选定了“在

30、此接口上路由选择 IP 数据包” 复选框。远程网络的静态路由为了使公司 intranet 上的所有位置可达，配置了以下静态路由:目标地址:172.16.0.0网络掩码: 255.240.0.0跃点数:1为了使 Electronic, Inc. 分支机构上的所有位置可达，配置了以下静态路由 :目标地址:192.168.0.0网络掩码: 255.255.0.0跃点数:1 拨出凭据用户名:VPN_Portland域:密码:P*4s=wq!Gx1确认密码:P*4s=wq!Gx1持续的分公司连接芝加哥和菲尼克斯分公司使用每天 24 小时都保持连接的持续的站点到站点 VPN 连接，与总公司建立了连接。芝

31、加哥和菲尼克斯分公司处的 Windows Server 2003 路由器配有 T1 WAN 适配器，与当地的 Internet 服务提供商建立了持续连接，以访问 Internet。芝加哥分公司使用的 IP 网络 ID 为 192.168.9.0，子网掩码为 255.255.255.0 (192.168.9.0/24)。芝加哥分公司路由器对其 Internet 接口使用的公共 IP 地址为 131.107.0.1。菲尼克斯分公司使用的 IP 网络 ID 为 192.168.14.0，子网掩码为 255.255.255.0 (192.168.14.0/24)。菲尼克斯分公司路由器对其 Intern

32、et 接口使用的公共 IP 地址为 159.60.0.1。所采用的 VPN 连接为双向启动的连接。由分公司路由器或 VPN 服务器启动连接。双向启动的连接要求在该连接两头的路由器上，创建请求拨号接口、远程访问策略、IP 地址池和数据包筛选器。图 4 显示了提供持续的分公司连接的 Electronic, Inc. VPN 服务器。图 4:提供持续的分公司连接的 Electronic, Inc. VPN 服务器为了根据本文的“VPN 服务器的常规配置” 一节所提供的设置，部署持续的站点到站点 VPN 连接，以将芝加哥和菲尼克斯分公司连接到总公司，配置了如下这些附加的设置。域配置对于由芝加哥路由器启

33、动的芝加哥分公司的 VPN 连接，通过下列设置创建了用户帐户 VPN_Chicago: 密码为 U9!j5dP(%q1。对于 VPN_Chicago 帐户的属性，清除了“用户下次登录时必须更改密码”选项，并选定了“密码永不过期”选项。对于 VPN_Chicago 帐户的拨入属性，将远程访问权限设为“通过远程访问策略控制访问”。将 VPN_Chicago 帐户添加到 VPN_Routers 组。对于由菲尼克斯路由器启动的菲尼克斯分公司的 VPN 连接，通过下列设置创建了用户帐户 VPN_Phoenix: 密码为 z2F%s)bW$4f。对于 VPN_Phoenix 帐户的属性，清除了 “

34、用户下次登录时必须更改密码”选项，并选定了“密码永不过期”选项。对于 VPN_Phoenix 帐户的拨入属性，将远程访问权限设为 “通过远程访问策略控制访问”。将 VPN_Phoenix 帐户添加到 VPN_Routers 组。对于由 VPN 服务器启动的芝加哥分公司和菲尼克斯分公司的 VPN 连接，通过下列设置创建了用户帐户 VPN_CorpHQ: 密码为 o3Dn6-J4。对于 VPN_CorpHQ 帐户的拨入属性，将远程访问权限设为“通过远程访问策略控制访问”。将 VPN_CorpHQ 帐户添加到 VPN_Routers 组。远程访问策略配置必须在 VPN 服务器以及位于芝加哥和

35、菲尼克斯的路由器上，配置远程访问策略。VPN 服务器的远程访问策略配置VPN 服务器的远程访问策略配置如本文中“按需的分公司连接” 一节说明的具体配置。芝加哥路由器的远程访问策略配置为了对 VPN 连接定义身份验证和加密设置，删除了名为 “如启用拨入权限则允许访问 ”的默认策略，并创建了如下远程访问策略: 策略名 :VPN 路由器访问方法 :VPN 用户或组访问:选定了带有 VPN_Routers 组的组身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” 策略加密级别:选定了“强加密”和“最强加

36、密”菲尼克斯路由器的远程访问策略配置为了对 VPN 连接定义身份验证和加密设置，删除了名为 “如启用拨入权限则允许访问 ”的默认策略，并创建了如下远程访问策略: 策略名 :VPN 路由器访问方法 :VPN 用户或组访问:选定了带有 VPN_Routers 组的组身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” 策略加密级别:选定了“强加密”和“最强加密”IP 地址池配置必须在 VPN 服务器以及位于芝加哥和菲尼克斯的路由器上，配置 IP 地址池。VPN 服务器的 IP 地址池配置VPN 服务器

37、的 IP 地址池配置如本文中“VPN 服务器的常规配置 ”一节说明的具体配置。芝加哥路由器的 IP 地址池配置配置了起始 IP 地址为 192.168.9.248、结束 IP 地址为 192.168.9.253 的静态 IP 地址池。这样最多可为五个 VPN 客户端创建一个静态地址池。有关详细信息，请在 Windows Server 2003“帮助和支持” 中参阅名为“创建静态 IP 地址池”的主题。菲尼克斯路由器的 IP 地址池配置配置了起始 IP 地址为 192.168.14.248、结束 IP 地址为 192.168.14.253 的静态 IP 地址池。这样最多可为五个 VPN 客户端创

38、建一个静态地址池。有关详细信息，请在 Windows Server 2003“帮助和支持” 中参阅名为“创建静态 IP 地址池”的主题。下面几节介绍了针对芝加哥分公司的基于 PPTP 的持续的分公司连接，以及针对菲尼克斯分公司的基于 L2TP/IPSec 的持续的分公司连接。基于 PPTP 的持续的分公司连接芝加哥分公司属于基于 PPTP 的分公司，使用一台 Windows Server 2003 VPN 服务器，根据需要与纽约的 VPN 服务器创建持续的站点到站点 VPN 连接。永不中断该连接，即使在闲置时也是如此。为了根据本文的“VPN 服务器的常规配置” 和“持续的分公司连接”章节所提供

39、的设置，部署到总公司的基于 PPTP 的双向启动的持续的站点到站点 VPN 连接，在 VPN 服务器和芝加哥路由器上配置了如下设置。VPN 服务器配置对 VPN 服务器配置了一个请求拨号接口、一些静态路由和一些 PPTP 数据包筛选器。站点到站点 VPN 连接的请求拨号接口为了使用 Internet 上的站点到站点 VPN 连接将 VPN 服务器连接到芝加哥分公司的路由器，通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :VPN_Chicago 连接类型 :使用虚拟专用网络 (VPN) 进行连接 VPN 类型:点对点隧道协议 (PPTP) 目标地址 :131.107.0.1

40、协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程网络的静态路由为了使芝加哥网络上的所有位置可达，配置了以下静态路由:目标地址:192.168.9.0网络掩码: 255.255.255.0跃点数:1 拨出凭据用户名:VPN_CorpHQ域:密码:o3Dn6-J4确认密码:o3Dn6-J4创建完请求拨号接口后，就进行了如下更改: 对于请求拨号接口的属性，在“ 选项”选项卡的“连接类型” 下，选择了“ 持续连接”。芝加哥路由器配置对芝加哥路由器配置了一个请求拨号接口和一些静态路由。站点到站点 VPN 连接的请求拨号接口为了使用 Internet 上的站点到站点 VPN 连接将

41、芝加哥分公司的路由器连接到 VPN 服务器，通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :VPN_CorpHQ 连接类型 :使用虚拟专用网络 (VPN) 进行连接 VPN 类型:第二层隧道协议 (L2TP) 目标地址 :207.46.130.1 协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程网络的静态路由为了使公司 intranet 上的所有位置可达，配置了以下静态路由:目标地址:172.16.0.0网络掩码: 255.240.0.0跃点数:1为了使 Electronic, Inc. 分支机构上的所有位置可达，配置了以下静态路由 :目标地址:19

42、2.168.0.0网络掩码: 255.255.0.0跃点数:1 拨出凭据用户名:VPN_Chicago域:密码:U9!j5dP(%q1确认密码:U9!j5dP(%q1创建完请求拨号接口后，就进行了如下更改: 对于请求拨号接口的属性，在“ 选项”选项卡的“连接类型” 下，选择了“ 持续连接”。Electronic, Inc. VPN 服务器的静态路由为了使 Internet 上的 Electronic, Inc. VPN 服务器可达，配置了如下静态路由 : 接口 :连接到 Internet 的 WAN 适配器目标地址 :207.46.130.1 网络掩码 : 255.255.255.255 网

43、关 :0.0.0.0 跃点数 : 1注意:由于 WAN 适配器创建了到 ISP 的点对点连接，因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。基于 L2TP/IPSec 的持续的分公司连接菲尼克斯分公司属于基于 L2TP/IPSec 的分公司，使用一台 Windows Server 2003 路由器，根据需要与纽约的 VPN 服务器创建持续的站点到站点 VPN 连接。永不中断该连接，即使在闲置时也是如此。为了根据本文的“VPN 服务器的常规配置” 和“持续的分公司连接”章节所提供的设置，部署到总公司的基于 L2TP/IPSec 的双向

44、启动的持续的站点到站点 VPN 连接，在 VPN 服务器和菲尼克斯路由器上配置了如下设置。VPN 服务器配置对 VPN 服务器配置了一个请求拨号接口和一个静态路由。站点到站点 VPN 连接的请求拨号接口为了使用 Internet 上的站点到站点 VPN 连接将 VPN 服务器连接到菲尼克斯分公司的路由器，通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :VPN_Phoenix 连接类型 :使用虚拟专用网络 (VPN) 进行连接 VPN 类型:第二层隧道协议 (L2TP) 目标地址 :159.60.0.1 协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程

45、网络的静态路由为了使菲尼克斯网络上的所有位置可达，配置了以下静态路由:目标地址:192.168.14.0网络掩码: 255.255.255.0跃点数:1 拨出凭据用户名:VPN_CorpHQ域:密码:o3Dn6-J4确认密码:o3Dn6-J4创建完请求拨号接口后，就进行了如下更改: 对于请求拨号接口的属性，在“ 选项”选项卡的“连接类型” 下，选择了“ 持续连接”。菲尼克斯路由器配置菲尼克斯的路由器原先由 Electronic, Inc. 的网络管理员配置。那时，该路由器与 Electronic, Inc. Intranet 建立了连接，随后被送往菲尼克斯网站。菲尼克斯路由器在连接到 Elec

46、tronic, Inc. Intranet 时，通过自动注册安装了一个计算机证书。此外，还对菲尼克斯路由器计算机配置了一个请求拨号接口和一个静态路由。站点到站点 VPN 连接的请求拨号接口为了使用 Internet 上的站点到站点 VPN 连接将菲尼克斯分公司的路由器连接到 VPN 服务器，通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口: 接口名 :VPN_CorpHQ 连接类型 : 使用虚拟专用网络 (VPN) 进行连接 VPN 类型:第二层隧道协议 (L2TP) 目标地址 :207.46.130.1 协议和安全:选定了“在此接口上路由选择 IP 数据包” 复选框。远程网络的静态

47、路由为了使公司 intranet 上的所有位置可达，配置了以下静态路由:目标地址:172.16.0.0网络掩码: 255.240.0.0跃点数:1为了使 Electronic, Inc. 分支机构上的所有位置可达，配置了以下静态路由 :目标地址:192.168.0.0网络掩码:255.255.0.0跃点数: 1 拨出凭据用户名:VPN_Phoenix域:密码:z2F%s)bW$4f确认密码:z2F%s)bW$4f创建完请求拨号接口后，就进行了如下更改: 对于请求拨号接口的属性，在“ 选项”选项卡的“连接类型” 下，选择了“ 持续连接”。Electronic, Inc. VPN 服务器的静态路由

48、为了使 Internet 上的 Electronic, Inc. VPN 服务器可达，配置了如下静态路由 : 接口 :连接到 Internet 的 WAN 适配器目标地址 :207.46.130.1 网络掩码 :255.255.255.255 网关 :0.0.0.0 跃点数 : 1注意:由于 WAN 适配器创建了到 ISP 的点对点连接，因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。商业合作伙伴的 ExtranetElectronic, Inc. 的网络管理员已经创建了一个 Extranet。该 Extranet 属于 Electronic, Inc. 专用网络的一部分。商业合作伙伴可通过安全的 VPN 连接访问此专用网络。Electronic, Inc. Extranet 连接到 Electronic, Inc. VPN 服务器，并包含一台文件服务器和一台 Web 服务器。零件分销商 Tasmanian Traders 和 Parnell Aerospace 是 Electronic, Inc. 的商业合

展开阅读全文