通过 Windows Server 2003 建立虚拟专用网络
Electronic, Inc. 是一家虚构的电子产品设计和制造公司,总部设在纽约,其分公司和分销商业合作伙伴遍布美国各地。Electronic, Inc. 已经实施了一个 VPN 解决方案,使用 Windows Server 2003 来连接远程访问用户、分公司和商业合作伙伴。 公司总部的 VPN 服务器同时提供了远程访问以及站点到站点(也称为路由器到路由器)点对点隧道协议 (PPTP) 和结合 Internet 协议安全的第二层隧道协议 (L2TP/IPSec) VPN 连接。此外,VPN 服务器还对 Intranet and Internet 位置提供了数据包的路由。
网络配置的要素有:
• Electronic, Inc. 的公司 Intranet 使用 IP 地址为 172.16.0.0、子网掩码为 55.240.0.0 (172.16.0.0/12) 以及 IP 地址为 192.168.0.0、子网掩码为 255.255.0.0 (192.168.0.0/16) 的专用网络。公司总部的网段使用 IP 地址为 172.16.0.0 的子网,而分公司则使用 IP 地址为 192.168.0.0 的子网。
• VPN 服务器直接连接到使用 T3(也称为 DS-3)专用 WAN 链接的 Internet。
• 对于 Internet 上的 WAN 适配器,Internet 服务提供商 (ISP) 为 Electronic, Inc. 分配的 IP 地址为 207.46.130.1。在 Internet 上,WAN 适配器的 IP 地址由域名 vpn.electronic.example.com 引用。
• VPN 服务器直接连接到一个 Intranet 网段,该网段包含一台连接到 Electronic, Inc. 公司总部 Intranet 其他部分的路由器。该 Intranet 网段的 IP 网络 ID 为 172.31.0.0,子网掩码为 255.255.0.0。
• VPN 服务器配置了一个属于 Intranet 网段一部分的静态 IP 地址池(子网内地址池),以向远程访问客户端以及调用路由器分配地址。
图 1 显示了 Electronic, Inc. VPN 服务器的网络配置。
图 1:Electronic, Inc. VPN 服务器的网络配置
基于 Electronic, Inc. 总公司 Intranet 的网络配置,VPN 服务器的配置如下:
1.
在 VPN 服务器上安装硬件。
根据适配器制造商的说明,安装用于连接到 Intranet 网段的网络适配器和用于连接到 Internet 的 WAN 适配器。一旦驱动程序安装完毕并正常运行,两个适配器都将作为网络连接中的本地连接。
2.
在 LAN 和 WAN 适配器上配置 TCP/IP。
对于 LAN 适配器,其 IP 地址和子网掩码分别被配置为 172.31.0.1 和 255.255.0.0。而对于 WAN 适配器,其 IP 地址和子网掩码分别被配置为 207.46.130.1 和 255.255.255.255。未对这两个适配器配置默认网关。同时,还配置了域名系统 (DNS) 和 Windows Internet 名称服务 (WINS) 服务器地址。
3.
配置路由和远程访问服务。
路由和远程访问服务最初通过“路由和远程访问服务器安装向导”进行配置。若要运行该向导,请在“路由和远程访问”管理单元中右键单击服务器的名称,然后单击“配置并启用路由和远程访问”。通过下列设置配置 VPN 服务器:
配置:远程访问(拨号或 VPN)
远程访问:VPN
VPN 连接:单击与连接到 Internet 的接口相对应的连接
IP 地址分配:单击“来自一个指定的地址范围”,并创建一个从 172.31.255.1 到 172.31.255.254 的范围。这将为多达 253 个 VPN 客户端创建一个静态地址池。
管理多台远程访问服务器:单击“否,使用路由和远程访问来对连接请求进行身份验证”
对远程访问和请求拨号连接进行身份验证的默认方法是:使用 Windows 身份验证。该方法适合于此配置(只有一台 VPN 服务器)。有关对 Electronic, Inc. 使用远程身份验证拨入用户服务 (RADIUS) 身份验证的信息,请参阅本文的“采用 RADIUS 身份验证的拨号和 VPN 连接”一节。有关使用 Windows 和 RADIUS 身份验证的详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“身份验证和授权”的主题。
4.
配置 DHCP 中继代理。
在控制台树中,定位到 IP 路由\DHCP 中继代理。右键单击“DHCP 中继代理”,然后单击“属性”。在“DHCP 中继代理属性”对话框的“服务器地址”中,键入 Intranet 动态主机配置协议 (DHCP) 服务器的 IP 地址。单击“添加”,再单击“确定”。通过配置 DHCP 中继代理路由协议组件,VPN 远程访问客户端在连接到 Intranet 时,可接收正确的 DNS 域名、DNS 服务器地址和 WINS 服务器地址。
5.
在 VPN 服务器上配置静态路由,以便到达 Intranet 和 Internet 位置。
若要到达 Intranet 位置,需通过下列设置配置静态路由:
• 接口:连接到 Intranet 的 LAN 适配器
• 目标地址:172.16.0.0
• 网络掩码:255.240.0.0
• 网关:172.31.0.2
• 跃点数:1
这个静态路由通过汇总 Electronic, Inc. Intranet 上的所有目标地址,简化了路由。使用了该静态路由,就无需用一个路由协议来配置 VPN 服务器。
为了到达各个 Internet 位置,用下列设置配置了一个静态路由:
• 接口:连接到 Internet 的 WAN 适配器
• 目标地址:0.0.0.0
• 网络掩码:0.0.0.0
• 网关:0.0.0.0
• 跃点数:1
这个静态路由汇总了 Internet 上的所有目标地址。该路由允许 VPN 服务器相应来自 Internet 上任何地方的远程访问或请求拨号路由器。
注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
6.
在 Intranet 路由器上配置一个静态路由,以到达所有分公司。
为了从 Intranet 路由器到达各个分公司位置,用下列设置配置了一个静态路由:
• 接口:连接到 Intranet 的 LAN 适配器
• 目标地址:192.168.0.0
• 网络掩码:255.255.0.0
• 网关:172.31.0.1
• 跃点数:1
这个静态路由通过汇总 Electronic, Inc. 分公司处的所有目标地址,简化了路由。Intranet 路由器将该静态路由公布给邻近的路由器,从而到各分公司位置的路由就会存在于 Intranet 的每台路由器上。
远程访问策略配置
Electronic, Inc. 正在使用纯模式 Active Directory 域,而且 Electronic, Inc. 的网络管理员已经决定采用按组访问的管理模式。所有用户帐户的远程访问权限都被设为“通过远程访问策略控制访问”。对连接尝试的远程访问授权由首个匹配的远程访问策略上的远程访问权限设置来控制。远程访问策略用于根据组成员身份,应用不同的 VPN 连接设置。
域配置
为了能对不同类型的 VPN 连接应用不同的连接设置,创建了下列 Active Directory 组:
• VPN_Users
用于远程访问 VPN 连接
• VPN_Routers
用于自 Electronic, Inc. 分公司的站点到站点 VPN 连接
• VPN_Partners
用于自 Electronic, Inc. 商业合作伙伴的站点到站点 VPN 连接
注意:在此示例部署中,所有用户和组都创建于 electronic.example.com Active Directory 域中。
安全配置
为了启用 L2TP/IPSec 连接,让远程访问客户端使用智能卡,并让路由器使用 EAP-TLS,Electronic, Inc. 域被配置为对所有域成员自动注册计算机证书。
--------------------------------------------------------------------------
Electronic, Inc. 的波特兰和达拉斯分公司使用按需的站点到站点 VPN 连接,连接到总公司。波特兰和达拉斯分公司都只有一小部分员工需要偶尔连接到总公司。波特兰和达拉斯分公司的 Window Server 2003 路由器配有一台 ISDN 适配器,可呼叫当地的 Internet 服务提供商以获得 Internet 的访问权,然后在 Internet 上建立站点到站点 VPN 连接。当 VPN 连接闲置达五分钟时,分公司的路由器将中断 VPN 连接。
达拉斯分公司使用的 IP 网络 ID 为 192.168.28.0,子网掩码为 255.255.255.0 (192.168.28.0/24)。波特兰分公司使用的 IP 网络 ID 为 192.168.4.0,子网掩码为 255.255.255.0 (192.168.4.0/24)。
为了简化连接,VPN 连接为单向启动的连接,通常由分公司路由器启动。有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接”的主题。
图 3 显示了提供按需的分公司连接的 Electronic, Inc. VPN 服务器。
图 3:提供按需的分公司连接的 Electronic, Inc. VPN 服务器
域配置
对于到达拉斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Dallas:
• 密码为 nY7W{q8~=z3。
• 对于 VPN_Dallas 帐户的属性,清除“用户下次登录时必须更改密码”选项,并选定“密码永不过期”选项。
• 对于 VPN_Dallas 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 192.168.28.0。
• 将 VPN_Dallas 帐户添加到 VPN_Routers 组。
对于到波特兰分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Portland:
• 密码为 P*4s=wq!Gx1。
• 对于 VPN_Portland 帐户的属性,清除了“用户下次登录时必须更改密码”,并选定“密码永不过期”选项。
• 对于 VPN_Portland 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 192.168.4.0。
• 将 VPN_Portland 帐户添加到 VPN_Routers 组。
远程访问策略配置
为了对 VPN 路由器定义身份验证和加密设置,创建了如下远程访问策略:
• 策略名:VPN 路由器
• 访问方法:VPN
• 用户或组访问:选定了带有 EXAMPLE\VPN_Routers 组的组
• 身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”
• 策略加密级别:选定了“强加密”和“最强加密”
基于 PPTP 的按需的分公司连接
达拉斯分公司属于基于 PPTP 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后,如果闲置达五分钟,将中断该连接。
为了根据本文的“VPN 服务器的常规配置”和“按需的分公司连接”章节所提供的设置,部署到总公司的基于 PPTP 的单向启动的按需的站点到站点 VPN 连接,在达拉斯路由器上配置了如下设置。
到 ISP 连接的请求拨号接口
为了通过当地 ISP 将达拉斯分公司的路由器连接到 Internet,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:ISP
• 连接类型:使用调制解调器、ISDN 适配器或其他物理设备进行连接
• 选择设备:选定了适当的 ISDN 设备。
• 电话号码:达拉斯分公司 ISP 的电话号码。
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了在需要建立站点到站点 VPN 连接时,创建到达拉斯 ISP 的连接,配置了如下静态路由:
目标地址:207.46.130.1
网络掩码: 255.255.255.255
跃点数:1
• 拨出凭据
用户名:达拉斯分公司的 ISP 帐户名
密码:达拉斯分公司的 ISP 帐户密码
确认密码:达拉斯分公司的 ISP 帐户密码
若要运行“请求拨号接口”向导,右键单击“网络接口”,然后单击“新建请求拨号接口”。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将达拉斯分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:CorpHQ
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:点对点隧道协议 (PPTP)
• 目标地址:207.46.130.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使公司 intranet 上的所有位置可达,配置了以下静态路由:
目标地址:172.16.0.0
网络掩码: 255.240.0.0
跃点数:1
为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由:
目标地址:192.168.0.0
网络掩码: 255.255.0.0
跃点数:1
• 拨出凭据
用户名:VPN_Dallas
域:electronic.example.com
密码:nY7W{q8~=z3
确认密码:nY7W{q8~=z3
基于 L2TP/IPSec 的按需的分公司连接
波特兰分公司属于基于 L2TP/IPSec 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后,如果闲置达五分钟,将中断该连接。
为了根据本文的“VPN 服务器的常规配置”和“按需的分公司连接”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的单向启动的按需的站点到站点 VPN 连接,在波特兰路由器上配置了如下设置:
证书配置
波特兰的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了物理连接,随后被送往波特兰网站。波特兰路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。
到 ISP 连接的请求拨号接口
为了通过当地 ISP 将波特兰分公司的路由器连接到 Internet,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:ISP
• 连接类型:使用调制解调器、ISDN 适配器或其他物理设备进行连接
• 选择设备:选定了适当的 ISDN 设备。
• 电话号码:波特兰分公司 ISP 的电话号码。
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了在需要建立站点到站点 VPN 连接时,创建到波特兰 ISP 的连接,配置了如下静态路由:
目标地址:207.46.130.1
网络掩码:255.255.255.255
跃点数: 1
• 拨出凭据
用户名:波特兰分公司的 ISP 帐户名
密码:波特兰分公司的 ISP 帐户密码
确认密码:波特兰分公司的 ISP 帐户密码
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接,将波特兰分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:CorpHQ
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:第二层隧道协议 (L2TP)
• 目标地址:207.46.130.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使公司 intranet 上的所有位置可达,配置了以下静态路由:
目标地址:172.16.0.0
网络掩码: 255.240.0.0
跃点数:1
为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由:
目标地址:192.168.0.0
网络掩码: 255.255.0.0
跃点数:1
• 拨出凭据
用户名:VPN_Portland
域:electronic.example.com
密码:P*4s=wq!Gx1
确认密码:P*4s=wq!Gx1
持续的分公司连接
芝加哥和菲尼克斯分公司使用每天 24 小时都保持连接的持续的站点到站点 VPN 连接,与总公司建立了连接。芝加哥和菲尼克斯分公司处的 Windows Server 2003 路由器配有 T1 WAN 适配器,与当地的 Internet 服务提供商建立了持续连接,以访问 Internet。
芝加哥分公司使用的 IP 网络 ID 为 192.168.9.0,子网掩码为 255.255.255.0 (192.168.9.0/24)。芝加哥分公司路由器对其 Internet 接口使用的公共 IP 地址为 131.107.0.1。菲尼克斯分公司使用的 IP 网络 ID 为 192.168.14.0,子网掩码为 255.255.255.0 (192.168.14.0/24)。菲尼克斯分公司路由器对其 Internet 接口使用的公共 IP 地址为 159.60.0.1。
所采用的 VPN 连接为双向启动的连接。由分公司路由器或 VPN 服务器启动连接。双向启动的连接要求在该连接两头的路由器上,创建请求拨号接口、远程访问策略、IP 地址池和数据包筛选器。
图 4 显示了提供持续的分公司连接的 Electronic, Inc. VPN 服务器。
图 4:提供持续的分公司连接的 Electronic, Inc. VPN 服务器
域配置
对于由芝加哥路由器启动的芝加哥分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Chicago:
• 密码为 U9!j5dP(%q1。
• 对于 VPN_Chicago 帐户的属性,清除了“用户下次登录时必须更改密码”选项,并选定了“密码永不过期”选项。
• 对于 VPN_Chicago 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”。
• 将 VPN_Chicago 帐户添加到 VPN_Routers 组。
对于由菲尼克斯路由器启动的菲尼克斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Phoenix:
• 密码为 z2F%s)bW$4f。
• 对于 VPN_Phoenix 帐户的属性,清除了“用户下次登录时必须更改密码”选项,并选定了“密码永不过期”选项。
• 对于 VPN_Phoenix 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”。
• 将 VPN_Phoenix 帐户添加到 VPN_Routers 组。
对于由 VPN 服务器启动的芝加哥分公司和菲尼克斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_CorpHQ:
• 密码为 o3\Dn6@`-J4。
• 对于 VPN_CorpHQ 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”。
• 将 VPN_CorpHQ 帐户添加到 VPN_Routers 组。
远程访问策略配置
必须在 VPN 服务器以及位于芝加哥和菲尼克斯的路由器上,配置远程访问策略。
VPN 服务器的远程访问策略配置
VPN 服务器的远程访问策略配置如本文中“按需的分公司连接”一节说明的具体配置。
芝加哥路由器的远程访问策略配置
为了对 VPN 连接定义身份验证和加密设置,删除了名为“如启用拨入权限则允许访问”的默认策略,并创建了如下远程访问策略:
• 策略名:VPN 路由器
• 访问方法:VPN
• 用户或组访问:选定了带有 VPN_Routers 组的组
• 身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”
• 策略加密级别:选定了“强加密”和“最强加密”
菲尼克斯路由器的远程访问策略配置
为了对 VPN 连接定义身份验证和加密设置,删除了名为“如启用拨入权限则允许访问”的默认策略,并创建了如下远程访问策略:
• 策略名:VPN 路由器
• 访问方法:VPN
• 用户或组访问:选定了带有 VPN_Routers 组的组
• 身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”
• 策略加密级别:选定了“强加密”和“最强加密”
IP 地址池配置
必须在 VPN 服务器以及位于芝加哥和菲尼克斯的路由器上,配置 IP 地址池。
VPN 服务器的 IP 地址池配置
VPN 服务器的 IP 地址池配置如本文中“VPN 服务器的常规配置”一节说明的具体配置。
芝加哥路由器的 IP 地址池配置
配置了起始 IP 地址为 192.168.9.248、结束 IP 地址为 192.168.9.253 的静态 IP 地址池。这样最多可为五个 VPN 客户端创建一个静态地址池。
有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“创建静态 IP 地址池”的主题。
菲尼克斯路由器的 IP 地址池配置
配置了起始 IP 地址为 192.168.14.248、结束 IP 地址为 192.168.14.253 的静态 IP 地址池。这样最多可为五个 VPN 客户端创建一个静态地址池。
有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“创建静态 IP 地址池”的主题。
下面几节介绍了针对芝加哥分公司的基于 PPTP 的持续的分公司连接,以及针对菲尼克斯分公司的基于 L2TP/IPSec 的持续的分公司连接。
基于 PPTP 的持续的分公司连接
芝加哥分公司属于基于 PPTP 的分公司,使用一台 Windows Server 2003 VPN 服务器,根据需要与纽约的 VPN 服务器创建持续的站点到站点 VPN 连接。永不中断该连接,即使在闲置时也是如此。
为了根据本文的“VPN 服务器的常规配置”和“持续的分公司连接”章节所提供的设置,部署到总公司的基于 PPTP 的双向启动的持续的站点到站点 VPN 连接,在 VPN 服务器和芝加哥路由器上配置了如下设置。
VPN 服务器配置
对 VPN 服务器配置了一个请求拨号接口、一些静态路由和一些 PPTP 数据包筛选器。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将 VPN 服务器连接到芝加哥分公司的路由器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:VPN_Chicago
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:点对点隧道协议 (PPTP)
• 目标地址:131.107.0.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使芝加哥网络上的所有位置可达,配置了以下静态路由:
目标地址:192.168.9.0
网络掩码: 255.255.255.0
跃点数:1
• 拨出凭据
用户名:VPN_CorpHQ
域:electronic.example.com
密码:o3\Dn6@`-J4
确认密码:o3\Dn6@`-J4
创建完请求拨号接口后,就进行了如下更改:
• 对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。
芝加哥路由器配置
对芝加哥路由器配置了一个请求拨号接口和一些静态路由。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将芝加哥分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:VPN_CorpHQ
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:第二层隧道协议 (L2TP)
• 目标地址:207.46.130.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使公司 intranet 上的所有位置可达,配置了以下静态路由:
目标地址:172.16.0.0
网络掩码: 255.240.0.0
跃点数:1
为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由:
目标地址:192.168.0.0
网络掩码: 255.255.0.0
跃点数:1
• 拨出凭据
用户名:VPN_Chicago
域:electronic.example.com
密码:U9!j5dP(%q1
确认密码:U9!j5dP(%q1
创建完请求拨号接口后,就进行了如下更改:
• 对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。
Electronic, Inc. VPN 服务器的静态路由
为了使 Internet 上的 Electronic, Inc. VPN 服务器可达,配置了如下静态路由:
• 接口:连接到 Internet 的 WAN 适配器
• 目标地址:207.46.130.1
• 网络掩码: 255.255.255.255
• 网关:0.0.0.0
• 跃点数: 1
注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
基于 L2TP/IPSec 的持续的分公司连接
菲尼克斯分公司属于基于 L2TP/IPSec 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建持续的站点到站点 VPN 连接。 永不中断该连接,即使在闲置时也是如此。
为了根据本文的“VPN 服务器的常规配置”和“持续的分公司连接”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的双向启动的持续的站点到站点 VPN 连接,在 VPN 服务器和菲尼克斯路由器上配置了如下设置。
VPN 服务器配置
对 VPN 服务器配置了一个请求拨号接口和一个静态路由。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将 VPN 服务器连接到菲尼克斯分公司的路由器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:VPN_Phoenix
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:第二层隧道协议 (L2TP)
• 目标地址:159.60.0.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使菲尼克斯网络上的所有位置可达,配置了以下静态路由:
目标地址:192.168.14.0
网络掩码: 255.255.255.0
跃点数:1
• 拨出凭据
用户名:VPN_CorpHQ
域:electronic.example.com
密码:o3\Dn6@`-J4
确认密码:o3\Dn6@`-J4
创建完请求拨号接口后,就进行了如下更改:
• 对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。
菲尼克斯路由器配置
菲尼克斯的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了连接,随后被送往菲尼克斯网站。菲尼克斯路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。此外,还对菲尼克斯路由器计算机配置了一个请求拨号接口和一个静态路由。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将菲尼克斯分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:VPN_CorpHQ
• 连接类型: 使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:第二层隧道协议 (L2TP)
• 目标地址:207.46.130.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使公司 intranet 上的所有位置可达,配置了以下静态路由:
目标地址:172.16.0.0
网络掩码: 255.240.0.0
跃点数:1
为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由:
目标地址:192.168.0.0
网络掩码:255.255.0.0
跃点数: 1
• 拨出凭据
用户名:VPN_Phoenix
域:electronic.example.com
密码:z2F%s)bW$4f
确认密码:z2F%s)bW$4f
创建完请求拨号接口后,就进行了如下更改:
• 对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。
Electronic, Inc. VPN 服务器的静态路由
为了使 Internet 上的 Electronic, Inc. VPN 服务器可达,配置了如下静态路由:
• 接口:连接到 Internet 的 WAN 适配器
• 目标地址:207.46.130.1
• 网络掩码:255.255.255.255
• 网关:0.0.0.0
• 跃点数: 1
注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
------------------------------------------------------
商业合作伙伴的 Extranet
Electronic, Inc. 的网络管理员已经创建了一个 Extranet。该 Extranet 属于 Electronic, Inc. 专用网络的一部分。商业合作伙伴可通过安全的 VPN 连接访问此专用网络。Electronic, Inc. Extranet 连接到 Electronic, Inc. VPN 服务器,并包含一台文件服务器和一台 Web 服务器。零件分销商 Tasmanian Traders 和 Parnell Aerospace 是 Electronic, Inc. 的商业合作伙伴,他们使用按需的站点到站点 VPN 连接,连接到 Electronic, Inc. Extranet。使用了一个附加的远程访问策略,来确保商业合作伙伴只能访问 Extranet 文件服务器和 Web 服务器。
将 Electronic, Inc. Extranet 上的文件服务器的 IP 地址配置为 172.31.0.10,并把 Web 服务器的 IP 地址配置为 172.31.0.11。Tasmanian Traders 使用的公共网络 ID 为 131.107.254.0,子网掩码为 255.255.255.0。Parnell Aerospace 使用的公共网络 ID 为 131.107.250.0,子网掩码为 255.255.255.0。为了确保 Extranet Web 服务器和文件服务器对商业合作伙伴可达,在文件服务器和 Web 服务器上,对网关地址为 172.31.0.1 的每个商业合作伙伴网络都配置了静态路由。
为了简化配置,VPN 连接采用单向启动模式。通常,由商业合作伙伴的路由器启动连接。有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接”的主题。
图 5 显示了为商业合作伙伴提供 Extranet 连接的 Electronic, Inc. VPN 服务器。
图 5:为商业合作伙伴提供 Extranet 连接的 Electronic, Inc. VPN 服务器
域配置
对于到 Tasmanian Traders 的 VPN 连接,通过下列设置创建了用户帐户 PTR_Tasmanian:
• 密码为 Y8#-vR7?]fI。
• 对于 PTR_Tasmanian 帐户的属性,清除“用户下次登录时必须更改密码”选项,并选定“密码永不过期”选项。
• 对于 PTR_Tasmanian 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 131.107.254.0。
• 将 PTR_Tasmanian 帐户添加到 VPN_Partners 组。
对于到 Parnell Aerospace 的 VPN 连接,通过下列设置创建了用户帐户 PTR_Parnell:
• 密码为 W@8c^4r-;2\。
• 对于 PTR_Parnell 帐户的属性,清除了“用户下次登录时必须更改密码”,并选定“密码永不过期”选项。
• 对于 PTR_Parnell 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 131.107.250.0。
• 将 PTR_Parnell 帐户添加到 VPN_Partners 组。
远程访问策略配置
为了对商业合作伙伴的 VPN 连接定义身份验证和加密设置,创建了如下远程访问策略:
• 策略名:VPN 伙伴
• 访问方法:VPN
• 用户或组访问:选定了带有 EXAMPLE\VPN_Partners 组的组
• 身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”
• 策略加密级别:选定了“强加密”和“最强加密”
创建完远程访问策略后,就按如下方法修改配置:
• 在配置文件设置的“IP”选项卡上,配置了下列 TCP/IP 数据包筛选器:
输入筛选器:
• 筛选器操作:拒绝除下面所列各项之外的所有流量
• 筛选器 1:目标网络 IP 地址为 172.31.0.10,子网掩码为 255.255.255.255
• 筛选器 2:目标网络 IP 地址为 172.31.0.11,子网掩码为 255.255.255.255
输出筛选器
• 筛选器操作:拒绝除下面所列各项之外的所有流量
• 筛选器 1:源网络 IP 地址为 172.31.0.10,子网掩码为 255.255.255.255
• 筛选器 2:源网络 IP 地址为 172.31.0.11,子网掩码为 255.255.255.255
下面几节介绍了针对商业合作伙伴 Tasmanian Traders 的基于 PPTP 的 Extranet,以及针对商业合作伙伴 Parnell Aerospace 的基于 L2TP/IPSec 的 Extranet。
针对商业合作伙伴的基于 PPTP 的 Extranet
Tasmanian Traders 是 Electronic, Inc. 的商业合作伙伴,使用一台 Windows Server 2003 路由器,根据需要与纽约的 Electronic, Inc. VPN 服务器创建按需的基于 PPTP 的站点到站点 VPN 连接。创建完连接后,如果闲置长达五分钟,就会中断。Tasmanian Traders 路由器使用持续的 WAN 连接,连接到 Internet。
为了根据本文的“VPN 服务器的常规配置”和“商业合作伙伴的 Extranet”章节所提供的设置,部署到总公司的基于 PPTP 的单向启动的按需站点到站点 VPN 连接,在 Tasmanian Traders 路由器上配置了如下设置。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将 Tasmanian Traders 路由器连接到 Electronic, Inc. VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:Electronic
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:点对点隧道协议 (PPTP)
• 目标地址:207.46.130.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使 Electronic, Inc. Extranet 上的所有位置可达,配置了以下静态路由:
目标地址:172.31.0.0
网络掩码: 255.255.0.0
跃点数:1
• 拨出凭据
用户名:PTR_Tasmanian
域:electronic.example.com
密码:Y8#-vR7?]fI
确认密码:Y8#-vR7?]fI
针对商业合作伙伴的基于 L2TP/IPSec 的 Extranet
Parnell Aerospace 是 Electronic, Inc. 的商业合作伙伴,使用一台 Windows Server 2003 路由器,根据需要与纽约的 Electronic, Inc. VPN 服务器创建按需的基于 L2TP/IPSec 的站点到站点 VPN 连接。创建完连接后,如果闲置长达五分钟,就会中断。Parnell Aerospace 路由器使用持续的 WAN 连接,连接到 Internet。
为了根据本文的“VPN 服务器的常规配置”和“商业合作伙伴的 Extranet”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的单向启动的按需站点到站点 VPN 连接,在 Parnell Aerospace 路由器上配置了如下设置:
证书配置
Parnell Aerospace 的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了连接,随后被送到 Parnell Aerospace 的网络管理员那里。Parnell Aerospace 路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。
站点到站点 VPN 连接的请求拨号接口
为了使用 Internet 上的站点到站点 VPN 连接将 Parnell Aerospace 路由器连接到 Electronic, Inc. VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
• 接口名:Electronic
• 连接类型:使用虚拟专用网络 (VPN) 进行连接
• VPN 类型:第二层隧道协议 (L2TP)
• 目标地址:207.46.130.1
• 协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。
• 远程网络的静态路由
为了使 Electronic, Inc. Extranet 上的所有位置可达,配置了以下静态路由:
目标地址:172.31.0.0
网络掩码: 255.255.0.0
跃点数:1
• 拨出凭据:
用户名: PTR_Parnell
阅:electronic.example.com
密码:W@8c^4r-;2\
确认密码:W@8c^4r-;2\
-------------------------------------------------
采用 RADIUS 身份验证的拨号和 VPN 连接
除了基于 VPN 的远程访问外,Electronic, Inc. 的网络管理员还打算为纽约分公司的员工提供基于调制解调器的拨号远程访问。纽约分公司的所有员工都隶属于名为 NY_Employees 的 Active Directory 组。一台运行 Windows Server 2003 的独立远程访问服务器提供了拨号远程访问,连接电话号码为 555-0111。网络管理员将一台运行带有 Internet 验证服务 (IAS) 的 Windows Server 2003 的计算机用为 RADIUS 服务器,而不必分别管理 VPN 服务器和远程访问服务器的远程访问策略。IAS 服务器在 Electronic, Inc. Extranet 上的 IP 地址为 172.31.0.9,并同时为远程访问服务器和 VPN 服务器提供集中式远程访问身份验证、授权和记帐。
图 6 显示了为 VPN 服务器和远程访问服务器提供身份验证和记帐的 Electronic, Inc. RADIUS 服务器。
图 6:为 VPN 服务器和远程访问服务器提供身份验证和记帐的 Electronic, Inc. RADIUS 服务器
域配置
对于纽约分公司中每位得到拨号访问权的员工,将相应用户帐户的拨入属性的远程访问权限设为“通过远程访问策略控制访问”。
远程访问策略配置
必须通过两条途径修改远程访问策略:
1.
必须将 VPN 服务器上配置的现有的远程访问策略,复制到 IAS 服务器。
2.
在 IAS 服务器上,对拨号远程访问客户端添加一个新的远程访问策略。
复制远程访问策略
一旦将 VPN 服务器配置为使用 RADIUS 身份验证后,就不会再使用 VPN 服务器所保存的远程访问策略。相反,将使用 IAS 服务器所保存的远程访问策略。所以,当前这组远程访问策略将被复制到 IAS 服务器。
有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“将 IAS 配置复制到其他服务器”的主题。
为拨号远程访问客户端创建一个新的远程访问策略
为了对纽约分公司的员工所用的拨号连接定义身份验证和加密设置,在 RADIUS 服务器上创建了如下远程访问策略:
• 策略名:纽约员工的拨号连接
• 访问方法:拨号
• 用户或组访问:选定了带有 EXAMPLE\NY_Employees 组的组
• 身份验证方法: 选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”、“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”以及“Microsoft 加密身份验证 (MS-CHAP)”
• 策略加密级别:选中了所有选项
RADIUS 配置
为了配置 RADIUS 身份验证和记帐,Electronic, Inc. 的网络管理员进行了如下配置:
• RADIUS 服务器为运行 Windows Server 2003 的计算机,并安装了 Internet 验证服务网络组件。对两个 RADIUS 客户端配置了 Internet 验证服务:远程访问服务器和 VPN 服务器。有关详细详细,请在 Windows Server 2003“帮助和支持”中参阅名为“注册 RADIUS 客户端”的主题。
• 远程访问服务器被配置为通过 IP 地址 172.31.0.9 和一个共享机密,使用 RADIUS 身份验证和记帐。有关详细详细,请在 Windows Server 2003“帮助和支持”中参阅名为“配置 RADIUS 身份验证”和“配置 RADIUS 记帐”的主题。
• VPN 服务器被配置为通过 IP 地址 172.31.0.9 和一个共享机密,使用 RADIUS 身份验证和记帐。
拨号远程访问客户端配置
在 Windows XP 远程访问客户端计算机上,使用“新建连接向导”创建带有如下设置的拨号连接:
• 网络连接类型:从我的工作地点连接到网络
• 网络连接:拨号连接
• 连接名:Electronic, Inc.
• 电话号码:555-0111
• 连接可用性: 供任何人使用
总结
Electronic, Inc. 使用 Windows Server 2003 和 Windows XP 带有的 VPN 技术,运用 Internet 连接各个远程用户、分公司和商业合作伙伴。Electronic, Inc. 的 Windows Server 2003 VPN 和拨号远程访问服务器(结合 Internet 验证服务)为 VPN 和拨号远程访问解决方案的远程访问策略,提供了集中式身份验证、授权、记帐和管理。
[ 本帖最后由 garnett_wu 于 2006-8-22 11:43 编辑 ]
附件: 您所在的用户组无法下载或查看附件
