通过 Windows Server 2003 建立虚拟专用网络(1)
日期:2007年8月17日 作者: 查看:[大字体 中字体 小字体]-
Electronic, Inc. 是一家虚构的电子产品设计和制造公司,总部设在纽约,其分公司和分销商业合作伙伴遍布美国各地。Electronic, Inc. 已经实施了一个 VPN 解决方案,使用 Windows Server 2003 来连接远程访问用户、分公司和商业合作伙伴。 公司总部的 VPN 服务器同时提供了远程访问以及站点到站点(也称为路由器到路由器)点对点隧道协议 (PPTP) 和结合 Internet 协议安全的第二层隧道协议 (L2TP/IPSec) VPN 连接。此外,VPN 服务器还对 Intranet and Internet 位置提供了数据包的路由。
网络配置的要素有:
•Electronic, Inc. 的公司 Intranet 使用 IP 地址为 172.16.0.0、子网掩码为 55.240.0.0 (172.16.0.0/12) 以及 IP 地址为 192.168.0.0、子网掩码为 255.255.0.0 (192.168.0.0/16) 的专用网络。公司总部的网段使用 IP 地址为 172.16.0.0 的子网,而分公司则使用 IP 地址为 192.168.0.0 的子网。
•VPN 服务器直接连接到使用 T3(也称为 DS-3)专用 WAN 链接的 Internet。
•对于 Internet 上的 WAN 适配器,Internet 服务提供商 (ISP) 为 Electronic, Inc. 分配的 IP 地址为 207.46.130.1。在 Internet 上,WAN 适配器的 IP 地址由域名 vpn.electronic.example.com 引用。
•VPN 服务器直接连接到一个 Intranet 网段,该网段包含一台连接到 Electronic, Inc. 公司总部 Intranet 其他部分的路由器。该 Intranet 网段的 IP 网络 ID 为 172.31.0.0,子网掩码为 255.255.0.0。
•VPN 服务器配置了一个属于 Intranet 网段一部分的静态 IP 地址池(子网内地址池),以向远程访问客户端以及调用路由器分配地址。
图 1 显示了 Electronic, Inc. VPN 服务器的网络配置。
图 1:Electronic, Inc. VPN 服务器的网络配置
基于 Electronic, Inc. 总公司 Intranet 的网络配置,VPN 服务器的配置如下:
1.
在 VPN 服务器上安装硬件。
根据适配器制造商的说明,安装用于连接到 Intranet 网段的网络适配器和用于连接到 Internet 的 WAN 适配器。一旦驱动程序安装完毕并正常运行,两个适配器都将作为网络连接中的本地连接。
2.
在 LAN 和 WAN 适配器上配置 TCP/IP。
对于 LAN 适配器,其 IP 地址和子网掩码分别被配置为 172.31.0.1 和 255.255.0.0。而对于 WAN 适配器,其 IP 地址和子网掩码分别被配置为 207.46.130.1 和 255.255.255.255。未对这两个适配器配置默认网关。同时,还配置了域名系统 (DNS) 和 Windows Internet 名称服务 (WINS) 服务器地址。
3.
配置路由和远程访问服务。
路由和远程访问服务最初通过“路由和远程访问服务器安装向导”进行配置。若要运行该向导,请在“路由和远程访问”管理单元中右键单击服务器的名称,然后单击“配置并启用路由和远程访问”。通过下列设置配置 VPN 服务器:
配置:远程访问(拨号或 VPN)
远程访问:VPN
VPN 连接:单击与连接到 Internet 的接口相对应的连接
IP 地址分配:单击“来自一个指定的地址范围”,并创建一个从 172.31.255.1 到 172.31.255.254 的范围。这将为多达 253 个 VPN 客户端创建一个静态地址池。
管理多台远程访问服务器:单击“否,使用路由和远程访问来对连接请求进行身份验证”
对远程访问和请求拨号连接进行身份验证的默认方法是:使用 Windows 身份验证。该方法适合于此配置(只有一台 VPN 服务器)。有关对 Electronic, Inc. 使用远程身份验证拨入用户服务 (RADIUS) 身份验证的信息,请参阅本文的“采用 RADIUS 身份验证的拨号和 VPN 连接”一节。有关使用 Windows 和 RADIUS 身份验证的详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“身份验证和授权”的主题。
4.
配置 DHCP 中继代理。
在控制台树中,定位到 IP 路由\DHCP 中继代理。右键单击“DHCP 中继代理”,然后单击“属性”。在“DHCP 中继代理属性”对话框的“服务器地址”中,键入 Intranet 动态主机配置协议 (DHCP) 服务器的 IP 地址。单击“添加”,再单击“确定”。通过配置 DHCP 中继代理路由协议组件,VPN 远程访问客户端在连接到 Intranet 时,可接收正确的 DNS 域名、DNS 服务器地址和 WINS 服务器地址。
5.
在 VPN 服务器上配置静态路由,以便到达 Intranet 和 Internet 位置。
若要到达 Intranet 位置,需通过下列设置配置静态路由:
•接口:连接到 Intranet 的 LAN 适配器
•目标地址:172.16.0.0
•网络掩码:255.240.0.0
•网关:172.31.0.2
•跃点数:1
这个静态路由通过汇总 Electronic, Inc. Intranet 上的所有目标地址,简化了路由。使用了该静态路由,就无需用一个路由协议来配置 VPN 服务器。
为了到达各个 Internet 位置,用下列设置配置了一个静态路由:
•接口:连接到 Internet 的 WAN 适配器
•目标地址:0.0.0.0
•网络掩码:0.0.0.0
•网关:0.0.0.0
•跃点数:1
这个静态路由汇总了 Internet 上的所有目标地址。该路由允许 VPN 服务器相应来自 Internet 上任何地方的远程访问或请求拨号路由器。
注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
6.
在 Intranet 路由器上配置一个静态路由,以到达所有分公司。
为了从 Intranet 路由器到达各个分公司位置,用下列设置配置了一个静态路由:
•接口:连接到 Intranet 的 LAN 适配器
•目标地址:192.168.0.0
•网络掩码:255.255.0.0
•网关:172.31.0.1
•跃点数:1
这个静态路由通过汇总 Electronic, Inc. 分公司处的所有目标地址,简化了路由。Intranet 路由器将该静态路由公布给邻近的路由器,从而到各分公司位置的路由就会存在于 Intranet 的每台路由器上。
远程访问策略配置
Electronic, Inc. 正在使用纯模式 Active Directory 域,而且 Electronic, Inc. 的网络管理员已经决定采用按组访问的管理模式。所有用户帐户的远程访问权限都被设为“通过远程访问策略控制访问”。对连接尝试的远程访问授权由首个匹配的远程访问策略上的远程访问权限设置来控制。远程访问策略用于根据组成员身份,应用不同的 VPN 连接设置。
域配置
为了能对不同类型的 VPN 连接应用不同的连接设置,创建了下列 Active Directory 组:
•VPN_Users
用于远程访问 VPN 连接
•VPN_Routers
用于自 Electronic, Inc. 分公司的站点到站点 VPN 连接
•VPN_Partners
用于自 Electronic, Inc. 商业合作伙伴的站点到站点 VPN 连接
注意:在此示例部署中,所有用户和组都创建于 electronic.example.com Active Directory 域中。
安全配置
为了启用 L2TP/IPSec 连接,让远程访问客户端使用智能卡,并让路由器使用 EAP-TLS,Electronic, Inc. 域被配置为对所有域成员自动注册计算机证书。
--------------------------------------------------------------------------
Electronic, Inc. 的波特兰和达拉斯分公司使用按需的站点到站点 VPN 连接,连接到总公司。波特兰和达拉斯分公司都只有一小部分员工需要偶尔连接到总公司。波特兰和达拉斯分公司的 Window Server 2003 路由器配有一台 ISDN 适配器,可呼叫当地的 Internet 服务提供商以获得 Internet 的访问权,然后在 Internet 上建立站点到站点 VPN 连接。当 VPN 连接闲置达五分钟时,分公司的路由器将中断 VPN 连接。
达拉斯分公司使用的 IP 网络 ID 为 192.168.28.0,子网掩码为 255.255.255.0 (192.168.28.0/24)。波特兰分公司使用的 IP 网络 ID 为 192.168.4.0,子网掩码为 255.255.255.0 (192.168.4.0/24)。
为了简化连接,VPN 连接为单向启动的连接,通常由分公司路由器启动。有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接”的主题。
图 3 显示了提供按需的分公司连接的 Electronic, Inc. VPN 服务器。
- [1] [2] [3] [4] [5] [6] [7] [8] 下一页
- 通过 Windows Server 2003 建立虚拟专用网络(1) 相关文章:
- ·2007年结婚吉日黄道吉日通用表
- ·PS通道抠图:给秀发飞扬的MM照片换背景
- ·手机 小灵通解密大全
- ·《鬼泣3》通关鉴定评测(ps2) - 鬼泣3攻略秘籍 - 鬼泣3
- ·Windows XP“帮助和支持”故障与技巧点点通
- ·XSL/XML网页制作入门,入门到精通
- ·通常C#面试题
- ·什么是小灵通
- ·笔记本内存双通道(DDR2)
- ·影视点播生力军:PP点点通(365)点播
- 通过 Windows Server 2003 建立虚拟专用网络(1) 相关软件
- ·电脑故障一查通 V2.9
- ·申银万国神网E通 V5.68 金典版
- ·全能音频转换通 V1.2
- ·《孤岛惊魂》通关存档
- ·MP4视频转换通V4.8
- ·五笔打字通 V7.7
- ·《韩语一点通4.0》+词汇完善
- ·MP4视频转换通 V5.0
- ·英语口语通 V2007新春版
- ·《大航海时代4威力加强版》地图全开通关存档
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
精品推荐
热点TOP10
- ·GPMC:组策略的大管家
- ·解析远程桌面连接
- ·Windows2000/XP/2003系统默认共享的关闭
- ·在Win 2000中使用MSN Messenger7.5
- ·服务器应用之“远程桌面连接”(1)
- ·终端服务与远程桌面区别
- ·发挥Windows Server 2003远程桌面的作用
- ·Windows命令
- ·Win 2003中的分区魔术师:Diskpart
- ·win2003用户必看
- ·通过 Windows Server 2003 建立虚拟专用网络(1)
- ·设置远程桌面连接(1)
- ·用Windows 2003实现软RAID
- ·打造完美操作系统的秘籍
- ·探测Win2K/XP/2003本机系统信息
- ·win2000--2003超级技巧(1)
- ·Window2003 server的一些优化设置
- ·Windows98启动盘的创建与应用技巧
- ·DIY一张综合安装盘之制作篇
- ·制作全自动64位Windows XP安装光盘(1)
特别推荐
- ·打造完美操作系统的秘籍
- ·终端服务与远程桌面区别
- ·Server2003 DNS服务安装
- ·服务器应用之“远程桌面连接”(1)
- ·如何将DHCP数据库移动到运行Windows Server 2003的计算机上
- ·用Windows 2003实现软RAID
- ·Win 2003中的分区魔术师:Diskpart
- ·DIY一张综合安装盘之制作篇
- ·通过 Windows Server 2003 建立虚拟专用网络(1)
- ·解析远程桌面连接
- ·Window2003 server的一些优化设置
- ·GPMC:组策略的大管家
- ·部署Windows Server 2003终端服务
- ·Windows2000/XP/2003系统默认共享的关闭
- ·win2000--2003超级技巧(1)
- ·三种方法激活Win2003
- ·在Win 2000中使用MSN Messenger7.5
- ·探测Win2K/XP/2003本机系统信息
- ·win2003用户必看
- ·win2003硬盘权限设置