1、第十二章大型VPN系统配置示例与故障排除,本章重点 Windows 98/2000 Professional/XP系统远程访问VPN的建立 远程访问VPN服务器的配置 PPTP路由器到路由器VPN方案的部署 L2TP路由器到路由器VPN方案的部,11.1 总体方案说明,【本章示例】小王所在公司是一个国际跨国公司,在广东省有三家子公司(分别位于广州市、珠海市和东莞市)和两个分支办公室(都位于广州市)。因被VPN通信的优势吸引,广州子公司要求广东省的三个子公司和两个分支办公室统一采用VPN通信方式连接。然后位于广州的子公司再集中以专线方式与大陆广州子公司连接。三个子公司在互联网上有独立的域名,现假
2、设为、和;而两个分支办公室在互联网上没有申请域名。而且广州子公司要求,各子公司在建设VPN服务器时要同时考虑到公司外出员工也可以通过VPN方式与公司网络通信;而各子公司间则需要能进行双向VPN通信。同时三个子公司和其合作伙伴间也可以进行VPN通信。,总体网络结构如下图所示。,11.2 广州子公司VPN服务器的安装,在Windows 2000 Server/Server 2003系统中,均可利用系统自带的“路由和远程访问”服务来配置VPN服务器,grfw集团的三个子公司均采用Windows Server 2003系统部署VPN服务器。 在这两个系统所支持的VPN技术中,有两种不同的VPN通信方式
3、,适用于两类不同用户选择使用,它们就是俗称的“远程访问VPN”和“路由器到路由器VPN”。前者也称之为“Access VPN”(远程访问VPN),后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联VPN)”。前者是采用Client-to-LAN(客户端到局域网)的模式;而后者所采用的是LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业VPN服务器之间的VPN通信连接,如本示例中的移动办公用户和分支办公室用户与相应公司的VPN服务器之间的通信,只需要一方配置VPN服务器即可;而后者适用于两个企业局域网VPN服务器之间的VPN通信,如各
4、子公司,以及主要合作伙伴与相应子公司间的VPN通信,需要通信的双方都部署了VPN服务器。,远程访问VPN是一种在计算机(VPN客户端)与企业服务器(VPN服务器)之间的点对点连接。这种远程访问VPN连接只能是单向的,即由远程客户端向VPN服务器发起连接请求,VPN服务器端不可能向客户机发起连接请求。典型的网络结构如下图所示。,“路由器到路由器VPN连接”。这种VPN连接是双向的,即连接的双方用户都可以对对方发起VPN通信连接,所访问的资源通常也是对方整个网络资源。通过Internet被路由的VPN连接逻辑上作为专用的WAN链接来操作。这种路由器到路由器VPN连接的典型网络结构如下面左图所示,而
5、其逻辑等价网络结构如下面右图所示。,在Windows 2000 Server以前版本系统中是把两种不同类型的VPN服务器放在一起来部署的,但在Windows Server 2003系统中以上远程访问VPN服务器和路由器到路由器VPN则分开了。本节采用自定义的方式来安装VPN服务器 在Windows Server 2003系统中,安装VPN服务器的基本方法是在如下面左图所示的“路由和远程访问” 控制台窗口中进行的。在本地服务器名上单击鼠标右键,选择“配置并启用路由和远程访问服务”快捷菜单选项,打开 “欢迎使用路由和远程访问服务器安装向导”对话框。然后在下面右图所示对话框中选择“自定义配置”单选项
6、。,在上页右图所示对话框中单击“下一步”按钮后,在打开的下面左图所示对话框中选择“VPN访问”、“请求拨号连接”、“NAT和基本防火墙”和“LAN路由”四个复选项。后面的步骤参见书中介绍。安装了VPN服务器后的“路由和远程访问”控制台窗口台下面右图所示。,11.3 广州子公司VPN服务器的通用网络配置,VPN服务器的通用配置主要需从以下几个方面进行充分考虑: 网络配置。 远程访问策略配置。 域配置。 安全配置。 11.3.1 网络配置 网络配置的关键要点如下: 因广州子公司的网络规模较大,工作站数达到了近2000个,远大于C类IP地址所允许的最大数254,所以大陆子公司采用了一个专用的B类IP
7、地址,网络ID为172.16.0.0。然后划分成了32个子网,各子网的子网掩码为255.255.248.0。,广州子公司使用的网段为172.16.9.0172.16.16.255。公司域控制器所使用的IP地址为172.16.9.1、172.16.9.2、172.168.9.3三个;VPN服务器分配的局域网IP地址为172.16.9.10。 VPN服务器计算机通过使用T3(也叫DS-3,传输速率达44.736Mbps)的专用WAN链接可以直接连接到Internet。 广州子公司的VPN服务器直接与互联网连接,WAN适配器的IP地址是207.46.130.1,由公司的Internet服务提供商分配
8、。公司VPN服务器WAN适配器的IP地址所对应的Internet域名为“”(在其上先要安装配置好IIS,配置一个相应域名的Web站点)。 公司准备使用IP地址静态池配置VPN服务器,以分配远程访问客户端和呼叫路由器IP地址。这个IP地址池确定为172.16.16.1172.16.16.254,共254个。 具体配置参见书中介绍。,11.3.2 配置“路由和远程访问”服务,“路由和远程访问”服务的基本配置方法是如下左图所示属性对话框中选择“远程访问服务器”和“路由器”两个复选项,并选择“用于局域网和请求拨号路由选择”单选项;在下面右图所示对话框中选择“IP地址指派”项下的“静态地址池”单选项,并
9、为其添加一个从172.16.16.1到172.16.16.254的静态IP地址池。具体配置方法参见书中介绍。,11.3.3 启用EAP身份验证方法,为了允许使用基于智能卡的远程访问VPN客户和基于证书的呼叫路由器,所以需要启用VPN服务器上的“可扩展身份验证协议”(EAP)。 基本配置方法是在下面左图所示对话框中单击“身份验证方法”按钮,打开如下右图所示的对话框。在这个对话框中选择“可扩展的身份验证协议(EAP)”复选项,然后再单击“EAP方法”按钮,在打开的对话框中选择“智能卡或其他证书”EAP身份验证方式。具体配置方法参见书中介绍。,11.3.4 配置静态路由以访问Intranet和Int
10、ernet站点,要确保VPN客户通过VPN服务器所进行的VPN连接能到达公司企业网Intranet内部位置,需用以下设置配置VPN服务器的静态路由: 接口:连接到公司Intranet的LAN适配器。注意这个接口不是请求拨号接口,而是VPN服务器本地连接物理接口。 目标:172.16.0.0(这是整个集团公司共用的Intranet网络ID)。 子网掩码:255.255.248.0(划分成32个子网后的子网掩码)。 网关:172.16.9.11(企业Intranet路由器连接VPN服务器相应端口IP地址)。 跃点数:1。 配置方法是在“路由和远程访问”窗口左侧“IP路由选择”项下的“静态路由”选项
11、上单击鼠标右键,在弹出的快捷菜单中选择“新建静态路由”选项,打开如下页左图所示的对话框。在其中按以上配置即可。,同时,要确保广州子公司Intranet用户能通过VPN服务器到达Internet(因特网)位置,需用以下设置配置VPN服务器的静态路由(参见下面右图所示对话框): 接口:公司VPN服务器上与Internet连接的WAN适配器,因为广州子公司是采用T3专用WAN线路与Internet ISP连接的,所以这个接口也是用于本地连接的物理端口。 目标:0.0.0.0(默认路由)。 子网掩码:0.0.0.0。 网关:0.0.0.0(默认网关)。 跃点数:1。,11.3.5 增加PPTP和L2T
12、P端口数,在默认情况下,在Windows Server 2003系统中的VPN服务器只有128个L2TP端口和128个PPTP端口可启用VPN连接(Windows 2000 Server系统中只默认提供各5个端口)。为了满足广州子公司的VPN通信需求,现需将VPN服务器的L2TP和PPTP协议端口数各增加到254个(与前面配置的静态IP地址池一致)。 基本配置方法是在“路由和远程访问”窗口左侧的“端口”选项上单击鼠标右键,在弹出的快捷菜单中选择“属性”选项,打开如下页左图所示的对话框。选择“WAN微型端口(PPTP)”项,单击“配置”按钮,打开如下页右图所示的对话框。在其中的“最多端口数”栏中
13、将值设为254。同时为了满足公司远程访问VPN和路由器到路由器VPN连接的需求,还需选择对话框中的“请求拨号路由选择连接(入站,和出站)”复选项。因为还要允许移动办公用户远程访问VPN连接,所以还需要选择“远程访问连接(仅入站)”复选项。 具体配置方法参见书中介绍。,11.3.6 配置PPTP和IPSec L2TP数据包筛选器,因为默认情况下,在Intranet接口和与Internet连接相对应的接口上会启用IP路由,运行Windows Server 2003操作系统的计算机在Internet和Intranet之间转发IP数据包。这在Intranet和Internet上可能的入侵者之间提供一个
14、直接、路由的连接。为了保护Intranet,以使转发到Intranet的惟一通信是通过安全VPN连接发送或接收的,必须在Internet接口上使用PPTP或L2TP/IPSec筛选器。如果网络中有防火墙,则必须在防火墙上配置数据包筛选器才能使VPN路由器和Internet路由器之间进行通信。 要设置PPTP输入/输出筛选器,则必须配置三个输入/输出筛选器,并选择适当的筛选器操作。六个筛选器一起工作以完成PPTP筛选,除非六个筛选器都设置正确,否则PPTP筛选是不安全的。,1PPTP配置筛选器配置 先配置入站筛选器。基本配置方法是在“路由和远程访问”窗口左侧单击“IP路由选择”项下的“常规”选项
15、,在右边详细列表窗口中选择VPN服务器用于WAN链接的网络适配器,单击鼠标右键,在弹出的快捷菜单中选择“属性”选项,打开如下面左图所示对话框。单击“入站筛选器”按钮,打开如下右图所示对话框。单击“新建”按钮,在打开的对话框中选中“目标网络”复选项,然后在“IP地址”文本框输入WAN适配器的IP地址“207.46.130.1”,在“子网掩码”文本框中输入“255.255.255.255”。在“协议”下拉列表中选择“其他”协议,这时会在下面出现“协议号”选项,在“协议号”文本框中输入“47”,如下页上排左图所示。,按上述同样的方法添加其他两个PPP筛选器。只不过,对应的筛选器配置不一样而已。对应的
16、配置参见下面上排右图和下面的下排左图所示。最终的PPP筛选器配置如下面的下排右图所示。具体配置方法参见书中介绍。,出站筛选器的配置方法与入站筛选器的配置类似,三个出站筛选器的配置图分别如下面的上排左图、右和下排左图所示。具体配置方法参见书中介绍。,2IPSec的L2TP筛选器的配置 同样,在正式添加、配置基于IPSec的L2TP筛选器之前,也需要注意:要设置基于IPSec的L2TP输入/输出筛选器,必须配置两个筛选器并选择适当的筛选器操作。所有四个基于IPSec的L2TP输入/输出筛选器协同工作完成基于IPSec的L2TP筛选。除非所有四个筛选器都设置正确,否则基于IPSec的L2TP筛选器是
17、不安全的。 基本配置方法是在“路由和远程访问”窗口左侧“IP路由选择”项下的“常规”选项,在右边详细列表中选择要启用L2TP筛选器的接口上单击鼠标右键,选择“属性”选项,在打开的对话框如下面左图所示。然后单击“入站筛选器”按钮,打开如下面右图所示对话框。,单击“新建”按钮,打开如下面右图所示的对话框。选择“目标网络”复选项,然后在“IP地址”文本框中输入VPN服务器的WAN IP地址“207.46.130.1”,后面输入子网掩码“255.255.255.255”。在“协议”下拉列表中选择“UDP”,在新出现的“源端口”文本框中输入“0”,在“目标端口”文本框中输入“500”。 然后用同样方法配
18、置第二个、第三个L2TP入站筛选器。第二个入站L2TP筛选器的配置与第一个基本一样,不同的只是端口号。在这个筛选器的“源端口”也为“0”、“目标端口”为“1701”。 第三个入站L2TP筛选器的配置不同也只是源端口和目标端口值,此处“源端口”值为“0”,“目标端口”值为“4500”。,用以上同样的方法在VPN服务器的WAN适配器接口上添加L2TP出站筛选器,不同的只是先要在上页左图所示的对话框中单击“出站筛选器”按钮,在打开的对话框中添加两个出站筛选器即可。 以上具体配置方法参见书中介绍。,11.3.7 域配置,要利用对不同类型的VNP连接应用不同的连接设置的功能,需在广州子公司服务器(不是V
19、PN服务器,是域控制器)上创建不同的用户组。 按需求分别创建了五个组:VPN_GZ、VPN_ZH、VPN_DG、VPN_Pals、VPN_Users,分别用于容纳广州两个分支办公室、珠海子公司路由器到路由器VPN通信用户、东莞子公司路由器到路由器VPN通信用户、合作伙伴路由器到路由器VPN通信用户和公司移动办公用户。,11.4 远程访问策略创建与配置,为了对用户的VPN通信进行控制,通常需要为种类不同的用户的VPN通信先创建相应的组,然后再针对不同的用户组VPN通信需求配置相应的远程访问策略。 11.4.1 VPN_Users用户组的远程访问策略配置 这个远程访问策略可以通过编辑系统提供的两个
20、默认远程访问策略得到。本节采用编辑系统默认提供的“到其他访问服务器的连接”远程访问策略。 基本方法是在“路由和远程访问”窗口中单击“远程访问策略”选项双击“到其他访问服务器的连接”远程访问策略,打开如下页左图所示的对话框。然后在其中通过单击“添加”按钮,在打开的如下页右图所示对话框配置各项所需添加的属性。 最后编辑远程访问策略配置文件。在下页左图中单击 “编辑配置文件”按钮,打开如下页下排左图所示对话框。在其中编辑各选项卡所需属性即可。 具体配置方法参见书中介绍。,11.4.2 珠海和东莞子公司路由器到路由器VPN远程访问策略配置,因为这两个子公司与广州子公司的远程访问权限基本上一样,在此就可
21、用一个远程访问策略来进行统一配置了。同样采取编辑系统提供的默认远程访问策略“到Microsoft路由选择和远程访问服务器的连接”,先重命名为“珠海和东莞子公司的远程访问策略”。策略配置方法参见上节介绍。 11.4.3 与合作伙伴之间的路由器到路由器VPN远程访问策略创建 具体配置方法参见书中介绍。,11.5 远程访问VPN方案部署,远程访问VPN应用是最为基本的,它主要是为终端用户(如公司移动、SOHO办公用户及小分支办公室等)与企业网络VPN服务器连接而设计的。这种VPN应用方案所采用的网络连接方法通常是基于拨号的。,右图所示的是广州子公司远程访问VPN网络结构示意图。它是一种典型的远程访问
22、VPN连接网络结构,其他公司的远程访问VPN网络结构基本上都是一样的。,11.5.1 创建远程访问VPN网络连接的两种方式,创建远程访问VPN连接的方法可以有两种:一种是通过MODEM或ISDN拨号网络拨号到ISP,这种方法比较传统,因速度等原因,在当前并不十分受欢迎;另一种是在企业用户已有直接公网连接(如ADSL、Cable、帧中继等专线连接方式)的情况下,用户可以直接通过VPN连接进行宽带高速远程访问,而不需事先进行公网连接。 在第一种方法中,远程访问VPN连接首先是通过拨号网络呼叫ISP。在建立连接之后,该连接将再呼叫通过建立PPTP或L2TP隧道来访问远程访问服务器。通过身份验证之后,
23、就可以访问企业网络。网络连接结构如下页左图所示。 在第二种方法中,是对已有专线固定连接到因特网的,用户所使用的。此类用户包括其计算机连接到以太光纤局域网、电缆调制解调器或ADSL之类的专线宽带用户。这种情况下在用户的计算机在打开后即建立IP连接。PPTP或L2TP驱动程序将通过因特网建立隧道,并连接到启用PPTP或L2TP的远程访问服务器。通过身份验证之后,用户就可以访问企业网络,与前一种方法具有相同的功能。这种连接网络结构如下页右图所示。 具体内容参见书中介绍。,11.5.2 Windows 98基于PPTP协议的远程访问VPN连接创建,在为Windows 98系统客户机创建VPN连接前,首
24、先要确定当前客户机是否已安装了“虚拟专用网络(VPN)”组件选项,如果没有安装这个选项,利用系统的“拨号网络”程序项是无法建立任何VPN连接的。查看的方法是在控制面板中双击 “添加/删除程序”选项,在打开的对话框中选择“Windows安装程序”选项卡,如下左图所示。然后选择“通讯”选项,单击“详细资料”按钮,打开如下右图所示对话框。在这个对话框中查看是否选择了“虚拟专用网络”复选项,如果没有请选择。,添加了“虚拟专用网络”组件后,就可以创建VPN连接了。它是在“拨号网络”窗口中进行的。具体步骤参见书中介绍。,11.5.3 Windows 98系统VPN连接的配置与实施,在Windows 98系
25、统中创建了VPN客户端连接后,还需要对其属性进行必要的配置。基本配置谅是在VPN连接项单击鼠标右键,在弹出的快捷菜单中选择“属性”选项,打开如下左图所示的对话框。在这里的各个选项卡进行一一配置即可。随后还要对该VPN客户机的TCP/IP协议进行配置。具体要根据整个VPN网络的IP地址规划进行,如下面右图所示。,11.5.4 Windows XP 远程访问VPN连接的创建,在Windows XP系统中建立客户端VPN连接的方法与其他Windows系统中建立网络连接的方法类似。创建远程访问VPN客户端连接的方法是在“网络连接”窗口中单击“创建一个新的连接”链接项,利用向导创建一个新的网络连接。只需
26、在向导中如下左图所示对话框中选择“连接到我的工作场所的网络”单选项;在如下右图所示对话框中选择“虚拟专用网络连接”单选项。然后按照向导提示一步步配置即可。具体配置步骤参见书中介绍。,11.5.5 Windows XP远程访问VPN连接的配置与实施,Windows XP系统的远程访问VPN连接在配置好后基本无需配置,就可以直接使用。如果需要了解VPN连接的配置选项,可在相应连接上单击鼠标右键,然后在弹出的快捷菜单中选择“属性”选项,即可打开如下左图所示的对话框。其中就包括几个选项卡,其中最主要的是如下右图所示的“网络”选项卡中的VPN类型设置一定要与所支持的VPN连接类型一致。其他设置参见书中介
27、绍即可。,11.6 安装计算机证书的条件及基本步骤,要用IPSec证书身份验证创建L2TP/IPSec远程访问VPN连接,必须在VPN客户端和VPN服务器上安装计算机证书(也称为机器证书)。Windows Server 2003家族支持基于L2TP/IPSec(通过Internet协议安全性的第二层隧道协议)的VPN连接的两种身份验证方法:计算机证书(也称“机器证书”)和预先共享的密钥。 为了使用计算机证书身份验证方法创建L2TP/IPSec连接,必须在VPN客户端和VPN服务器计算机上的本地计算机证书存储区中安装证书。要安装计算机证书,必须有证书颁发机构颁发证书。 配置好证书颁发机构后,就可
28、以按三种不同的方式安装证书了。 通过配置Windows Server 2003域中计算机的计算机证书自动或手动注册。 使用证书管理单元获取计算机证书。 使用浏览器连接到CA Web注册页以便在本地计算机上安装证书,或者利用软盘在另一台计算机上执行安装,例如用户的家庭计算机。,11.6.1 域控制器上计算机证书的安装,要配置CA并安装计算机证书,首先得在服务器上安装“证书服务”组件。如果你没有企业根CA,则要把作为CA的计算机升级为域控制器(DC)(本章示例中各子公司的企业根CA都安装在域控制器上,无需升级)。然后将“证书服务”组件作为企业根CA安装在运行Windows Server 2003家
29、族的计算机上。安装了证书服务组件后,还需要为域控制器和用户计算机注册计算机证书。注册证书的方式可以是自动的,也可以是手动的。 在域控制器上安装证书的方法很简单,只需在如下页左图所示“Windows组件向导”对话框中,选中“证书服务”复选框,然后在如下页右图所示对话框中选择“企业根CA”,再按照向导提示一步步配置即可。具体安装步骤参见书中介绍。,11.6.2 自动注册计算机证书,安装了“证书服务”组件后,还需要在域控制器和VPN客户机上注册计算机证书,只有这样,L2TP VPN用户才可以使用计算机证书进行L2TP/IPSec VPN通信。 基本配置方法是在域组策略中的“自动证书申请”选项(如下面
30、左图所示)中单击右键,在弹出菜单中选择“新建”下的“自动证书申请” 选项,在打开的向导中选择自动申请证书时所用的“计算机”证书模板(如下面右图所示)。,11.6.3 手动注册计算机证书,除了自动注册方法外,更多的是采用手动注册方法,因为它可以在远程进行,更加方便。 基本方法是在MMC控制台中添加“证书”管理单元。在添加的过程中要在如下左图所示对话框中选择“计算机证书”选项,然后在下面右图所示对话框中选择“另一台计算机”单选项,然后输入要注册证书的用户计算机完整域名即可。具体步骤参见书中介绍。,11.6.4 证书申请,证书的获得不仅可以通过证书注册的方式为计算机注册证书,还可以由用户提出用户证书
31、的申请。在Windows Server 2003系统中有两种明确申请证书的主要方法: 使用证书申请向导申请证书。 使用Windows Server 2003证书服务网页申请证书。 1使用证书申请向导申请证书 基本方法是在为本地计算机添加了“证书”管理单元的MMC控制台中选择“个人”选项后单击鼠标右键,在弹出的快捷菜单中执行“所有任务”“申请新证书”菜单操作,打开一个用户证书申请向导。在如下页左图所示对话框列表中选择所要申请的证书类型为“用户”类型,即选择“用户”选项。同时为了配置更全面的证书,选择了“高级”复选项。然后在如下页右图所示对话框中选择密钥长度。随后的步骤参见书中介绍。 2使用Win
32、dows Server 2003证书服务网页申请证书,利用Web网页申请证书首先要确保IIS中的默认Web网站是正常运行的,否则打不开申请证书的网页。 基本配置方法是先在浏览器地址中输入http:/servername/certsrv,其中servername是主持证书颁发机构的服务器名称。进入后打开如下页左图所示页面。单击“申请一个证书”链接项来申请证书。在首先打开的页面中单击“高级证书申请”链接项,在打开的页面中单击“创建并向此CA提交一个申请”链接,打开如下页左图所示页面,在其中进行各选项配置。然后单击“提交”按钮即可成功颁发用户证书。具体步骤参见书中介绍。,11.7 广州分支办公室A的
33、PPTP按需型路由器到路由器VPN连接配置,本示例中,在grfw集团公司广州子公司与它在广州的两个分支办公室之间是采用按需型(需要时发起,不需要时可以断开,而不是持续型)路由器到路由器VPN连接的。而三个子公司之间,以及各子公司与其合作伙伴之间则是采用持续型的路由器到路由器VPN连接。下面先介绍广州子公司与两家分支办公室之间的按需型路由器到路由器VPN连接配置方法。在这其中分支办公室A与广州子公司的按需型路由器到路由器VPN连接采用的是PPTP协议;而分支办公室B则采用的是L2TP协议。 11.7.1 按需型分支办公室路由器到路由器VPN连接通用配置 A分支办公室的内部网络使用IP地址为192
34、.168.4.0、子网掩码为255.255.255.0的C类网段。B分支办公室的内部网络使用IP地址为192.168.29.0、子网掩码为255.255.255.0的C类网段。为简化配置,路由器到路由器VPN连接总是由分支办公室路由器初始化的单向初始化连接。下图所显示的是广州子公司与两家分支办公室之间的路由器到路由器VPN连接网络结构图。,因为广州分公司分支办公室的其他设置在前面的广州子公司VPN服务器属性配置和远程访问策略中已配置好了,下面着重要进行的是在广州子公司和两个分支办公室路由器上创建路由器到路由器VPN所需的请求拨号接口。,11.7.2 分支办公室A到ISP之间按需型VPN连接的请
35、求拨号接口创建,拨号路由器到路由器的VPN连接由VPN客户端(呼叫路由器)上配置的两个请求拨号接口和两个静态路由组成: 请求拨号接口拨入到本地Internet服务提供商(ISP)。 路由器到路由器VPN连接的请求拨号接口。 静态主路由动态连接到Internet。 到达企业办公室位置的静态路由。 当将通信路由到特定位置时,将自动建立拨号路由器到路由器的VPN连接。例如,在分支机构配置中,当将数据包接收到路由的企业办公室时,分支机构路由器使用拨号连接来连接到本地Internet服务提供商(ISP),然后使用位于Internet中的企业办公室路由器创建路由器到路由器的VPN连接。 基本方法是在分支办
36、公室A的VPN服务器“路由和远程访问”窗口中选择“网络接口”选项,单击鼠标右键,选择“新建请求拨号接口”选项,打开一个创建请求拨号接口向导。在向导中关键的配置是在如下页左图所示对话框中选择,正确的请求拨号接口类型,也就是请求拨号时所使用的网络连接类型;在如下页右图所示对话框中配置请求拨号凭据。也就是让“路由和远程访问”服务自动拨号的帐户信息。 具体配置方法参见书中介绍。,11.7.3 分支办公室A与广州子公司间按需型VPN连接的请求拨号接口创建 因为创建方法与上节完全一样,只是具体接口配置不一样,所以在此不再赘述,参见即可。,11.7.4 请求拨号接口上的PPTP数据包筛选器配置,除了要为相应
37、连接创建请求拨号接口外,还需要为相应请求拨号接口配置数据包筛选器,以确保在与相应路由器间建立的连接上只允许使用基于PPTP的通信。首先要进行的是在前面创建的与ISP之间连接所用的“ISP请求拨号接口”上配置PPTP数据包筛选器。 基本配置方法是在“路由和远程访问”窗口中单击“网络接口”选项,在右边详细列表中选择前面所创建的“ISP请求拨号接口”,单击鼠标右键,在弹出的右键菜单中选择“设置IP请求拨号筛选器”选项,打开如下左图所示的窗口。在其中单击“新建”按钮,打开类似如下右图所示对话框。然后按本章前面11.3.6小节介绍的方法创建3个入站筛选器和3个出站筛选器,而且各筛选器的配置与11.3.6
38、小节在广州子公司VPN服务器配置的PPTP对应筛选器完全一样。,通过以上的配置,分支办公室A与广州子公司所进行的按需型PPTP路由器到路由器VPN连接全部配置好了。当需要发起VPN连接时,只需先在与ISP的请求拨号接口单击鼠标右键,在弹出的快捷菜单中选择“连接”选项(如下图所示),成功后再在与广州子公司连接的请求拨号接口上同样单击鼠标右键,选择“连接”选项,即可完成由分支办公室A向广州子公司发起按需型PPTP路由器到路由器连接。要断开时只需在相应请求拨号接口单击鼠标右键,选择“中断连接”选项即可。,至于分支办公室B与L2TP按需型路由器到路由器VPN连接的配置方法基本上与分支办公室A的配置方法
39、一样,不同的只是对应的ISP不一样、所配置的拨号用户账户不一样,以及所选择的隧道协议不一样。,11.8 广州子公司与珠海子公司间的持续型分支办公室VPN方案,广州子公司和珠海子公司间的VPN是使用PPTP协议持续型路由器到路由器VPN类型进行连接的,两公司间的VPN网络连接一天24小时保持不断。广州子公司和珠海子公司的VPN服务器均采用Windows Server 2003路由器,并配置了T1线路WAN适配器,此适配器可以与本地Internet服务提供商建立持续型连接来访问Internet。 广州子公司内部网络使用IP地址采用172.16.9.0172.16.16.0网段,子网掩码为255.2
40、55.248.0。珠海子公司内部网络采用172.16.0.0网络中的172.16.17.0172.16.32.0这个网段,子网掩码也是255.255.248.0。广州子公司的VPN服务器的Internet接口IP地址为“207.46.130.1”;而珠海子公司路由器的Internet接口IP地址为“131.109.129.1”。grfw集团在广东的三家子公司间的VPN连接网络结构如下图所示。,在子公司间所进行的持续型路由器到路由器VPN连接是双路初始化的,而在前面的分支办公室A与分支办公室B与广州子公司间的VPN连接是按需型的路由器到路由器VPN连接,是仅可由分支办公室向广州子公司发起连接的。
41、双向初始连接需要在连接双方的路由器上创建请求拨号连接接口、远程访问策略、IP地址池和数据筛选器,也需要在双方配置拨出凭据。,11.8.1 广州子公司路由器请求拨号接口配置,需使用请求拨号接口向导在广州子公司VPN服务器上创建具有以下属性的请求拨号接口(具体的创建方法参照前面介绍即可): 接口名称:VPN_ZH_1(代表与珠海子公司进行持续型路由器到路由器VPN连接的第1个请求拨号接口)。 连接类型:选中“使用虚拟专用网络连接(VPN)”单选项。 VPN类型:选中“点对点隧道协议”单选项。 目标地址:131.109.129.1(珠海子公司T1 WAN适配器IP地址。 协议与安全:选中“在此接口上
42、路由选择IP数据包”复选项。可选择“添加一个用户账户使远程路由器可以拨入”复选项,若选择的话,最后面在珠海子公司的VPN服务器的对应请求拨号接口的拨入凭据也就与此处配置一致。因为这样配置起来比较麻烦,所以通常不选择“添加一个用户账户使远程路由器可以拨入”这个复选项,这样后面的分支办公室的请求拨号接口配置就自由了。后面都一样,不再另外解释。 静态路由:目标IP地址为172.16.17.11 (珠海子公司VPN服务器LAN适配器IP地址);子网掩码为255.255.248.0;跃点数为1。 拨出凭据:用户名为:VPN_ZH_A(这个用户账户需要先在珠海子公司的域控制器上创建好,并把它放置在与广州子
43、公司进行VPN通信的用户组VPN_GZ中);域为,为珠海子公司的域名;加设密码。,创建了请求拨号接口后,在这个请求拨号接口上单击鼠标右键,在打开的对话框中选择“选项”选项卡,然后在“连接类型”栏中选择“持续型连接”单选项,如下图所示。,11.8.2 珠海子公司路由器请求拨号接口配置,需在珠海子公司创建具有以下属性的请求拨号接口: 接口名称:VPN_GZ_1(这是珠海子公司专门为与广州子公司进行路由器到路由器VPN连接而创建的第一个请求拨号接口)。 连接类型:选中“使用虚拟专用网络连接(VPN)”单选项。 VPN类型:选中“点对点隧道协议”单选项。 目标地址:207.46.130.1(这是广州子
44、公司VPN服务器WAN接口的IP地址)。 协议与安全:选中“在此接口上的路由选择IP数据包”复选项,其他不选。 静态路由:目标IP地址为172.16.9.11(广州子公司VPN服务器的LAN适配器IP地址);子网掩码为255.255.248.0;跃点数为1。 拨出凭据:“用户名”为“VPN_GZ_A”(这个用户账户在广州子公司域控制器处已创建好);“域”为“GRFWGZ.COM”,并对账户加设密码保护。,创建了请求拨号接口后在请求拨号接口属性对话框的“选项”选项卡中选定“连接类型”栏中“持续型连接”单选项,参见上页图示。 最后,为了确保在与Internet建立的连接上只允许使用基于PPTP的通
45、信,需在广州子公司和珠海子公司上的Internet接口上配置PPTP数据包筛选器,配置方法参见本章11.3.6小节。 经过以上配置,广州子公司与珠海子公司间的PPTP持续型路由器到路由器VPN连接就全部配置好了,任何一方都可以主动发起VPN连接。连接方法与前面介绍的按需型PPTP、L2TP路由器到路由器VPN连接方法一样,不再赘述。 至于东莞子公司与广州子公司或珠海子公司的PPTP或L2TP持续型路由器到路由器VPN连接的配置方法完全正确一样,参照即可。最后要做的是防火墙的配置。,11.9 配置广州和珠海两子公司防火墙数据包筛选器,因为在前面介绍的各子公司分支办公室网络边缘仍采用硬件防火墙来保
46、护内部网络的安全。为了VPN通信的顺利进行,需要对各公司内部的防火墙配置特定的数据包筛选器。本节仍以广州和珠海两子公司的防火墙数据包筛选器为例进行介绍,因为它们两个公司网络中的防火墙部署的位置不一样,广州子公司的防火墙是部署在VPN服务器之前,而珠海子公司的防火墙是部署在VPN防火墙之后。 11.9.1 广州子公司防火墙前的 VPN 服务器配置 广州子公司的防火墙配置如下图所示。当VPN服务器位于防火墙之前并连接至Internet时,你需要将数据包筛选器添加到VPN服务器的Internet接口上,该接口只允许VPN通信从VPN服务器的Internet接口的IP地址中进出。对于传入通信,当VPN
47、服务器加密了通过隧道的数据后,会将其转发到防火墙。通过使用其筛选器,防火墙允许通信转发到Intranet资源。因为验证过的VPN客户端是通过VPN服务器的惟一通信,所以在此情况下,防火墙筛选可以用于防止VPN用户访问特定Intranet资源。,对于VPN服务器上的Internet接口,可使用“路由和远程访问”服务配置两种隧道协议下的输入和输出筛选器。这方面已在本章11.3.6小节详细进行了介绍,不再赘述。,11.9.2 珠海子公司防火墙后的VPN服务器配置,在更普通的配置中,防火墙直接连接到Internet,而VPN服务器连接于防火墙与公司内部网络中的外围网络(包含Internet用户可用的资
48、源,例如Web服务器和虚拟专用网(VPN)服务器)的IP网络段,也称为“屏蔽子网”或“网络隔离(DMZ)”)之间,如下图所示。VPN服务器在外围网络和Intranet上都有接口,珠海子公司就是采用这种防火墙部署的。 在此情况下,防火墙必须在Internet接口上用输入和输出筛选器进行配置,该接口允许隧道维护通信和通过隧道的数据传送到VPN服务器。其他筛选器可以允许通信传送到Web、FTP和外围网络上其他类型的服务器。对于其他层的安全,VPN服务器还能够在其外围网络接口上用PPTP或L2TP/IPSec数据包筛选器被配置。,因为防火墙没有用于所有VPN连接的加密密钥,所以它只能够在通过隧道的数据
49、的明文标头上筛选。也就是,所有通过隧道的数据都将通过防火墙进行传递。不要认为这是一个安全问题,因为VPN连接要求能够防止在VPN服务器之上的未授权访问的身份验证过程,而不是要求防止未授权用户访问防火墙。,1防火墙Internet 接口上的PPTP数据包输入筛选器 利用防火墙自带的配置软件为防火墙Internet接口上配置以下PPTP数据包输入筛选器,以便允许相应类型的VPN通信通过:“目标IP地址”为珠海子公司VPN服务器外围网络接口IP地址(172.16.17.13,此IP地址在网络中已配置);“协议”为“TCP”;“目标端口”为“1723”(0x6BB)。配置此数据包筛选器以允许PPTP隧道维护从PPTP客户端到珠海子公司的PPTP VPN服务器的通信。“目标IP地址”为珠海子公司VPN服务器的外围网络接口IP地址(172.16.17.13);“协议”为“其他”;“协议号”为“47”(IP协议,0x2F)。此筛选器允许从PPTP客户端到珠海子公司PPTP VPN服务器的PPTP隧道数据。“目标IP地址”为珠海子公司VPN服务器的外围网络接口IP地址(172.16.17.13);“协议”为“TCP”;“源端口”为“1723”(0x6BB)。,
