项目9架设VPN服务器.ppt

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,“十二五”职业教育国家规划教材,（第,2,版）,2025年5月24日,项目,9,架设,VPN,服务器,项目,9,架设,VPN,服务器,项目情境,岭南信息技术有限公司最近在长沙成立了一家分公司，分公司和总公司之间经常会有业务往来，每天都需要相互传送大量数据，公司管理层为了方便对分公司的管理，提高工作效率，希望分公司的局域网和总公司的局域网能连接起来，就好像总公司和分公司在同一个局域网中。能否实现管理层的这种需求呢？公司的员工经常需要出差，由于工作的需要，他们经常需要获得公司的一些资料，是否有一种方式使他们能随时随地地访问公司的局域网获取所需的资料呢？为了实现管理层的要求和出差员工的需求，必须建立远程访问服务器。那么，如何保证这些服务器的安全呢？能否只在上班时间给特定的用户使用这些远程访问服务的权限呢？,项目,9,架设,VPN,服务器,项目分析,（,1,）在总公司建立,VPN,服务器，利用隧道技术可以使外网用户安全地访问内网资源，满足管理层和出差员工的需求。,（,2,）为了保证,VPN,服务器的安全，可以通过设置远程访问策略的方式加强对,VPN,服务器的管理，使,VPN,服务器只为特定的用户在特定的时间开放连接。,项目,9,架设,VPN,服务器,项目目标,（,1,）理解远程访问连接的含义。,（,2,）学会对,VPN,服务器和客户端进行配置。,项目,9,架设,VPN,服务器,项目任务,任务,1 VPN,服务器配置,任务,2 VPN,客户端配置,项目,9,架设,VPN,服务器,任务,1 VPN,服务器配置,1,任务,1 VPN,服务器配置,任务知识准备,1,远程访问连接简介,远程访问是指通过使用拨号远程访问或,VPN,技术，将远程用户的计算机连接到公司内部局域网中，使远程用户的计算机能访问公司内部局域网中的共享资源。,利用,Windows Server 2008,的,“,路由和远程访问,”,服务可以为用户提供拨号远程访问和虚拟专用网（,VPN,）两种不同类型的远程访问连接。,任务,1 VPN,服务器配置,1,）拨号远程访问,通过使用,ISP,（如,PSTN,或,ISDN,）提供的接入服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。例如，远程客户端使用公用电话网拨打远程访问服务器某个端口对应的电话号码以建立连接，如图,9.1,所示。,图,9.1,拨号远程访问,任务,1 VPN,服务器配置,2,）虚拟专用网（,VPN,）,VPN,是通过专用网络或公用网络（如,Internet,）建立的安全、点对点的连接。,VPN,客户端使用隧道协议，对,VPN,服务器的虚拟端口进行虚拟呼叫，以建立专用连接。,图,9.2 VPN,访问,任务,1 VPN,服务器配置,2,VPN,技术特点,（,1,）,低成本,运行,（,2,）高,安全性,（,3,）服务质量保证（,QoS,）,（,4,）可扩充性和,灵活性,（,5,）可管理性,任务,1 VPN,服务器配置,3,VPN,组成,一个虚拟专用网由,VPN,服务器、,VPN,客户端、,LAN,和远程访问协议、隧道协议等部分构成。,VPN,组成及常用的配置如图,9.3,所示。,图,9.3 VPN,组成,任务,1 VPN,服务器配置,任务实施,下面将介绍如何在,Windows Server 2008,服务器上创建,VPN,服务器，以实现,Windows VPN,网络的应用。,任务实施拓扑结构如图,9.4,所示。,图,9.4,架设,VPN,服务器网络拓扑图,任务,1 VPN,服务器配置,1,添加路由和远程访问角色并配置,VPN,服务器,（,1,）执行,“,开始,”,“,管理工具,”,“,服务器管理器,”,菜单命令，打开,“,服务器管理器,”,窗口，如图,9.5,所示。,图,9.5,“,服务器管理器,”,窗口,任务,1 VPN,服务器配置,（,2,）单击,“,下一步,”,按钮,，选择,“,网络策略和访问服务,”,复选框,，,如,图,9.7,所示,。,（,3,）单击,“,下一步,”,按钮,，选择,“,路由和远程访问服务,”,复选框,，如图,9.8,所示,。,（,4,）单击,“,下一步,”,按钮,，单击,“,安装,”,按钮。,安装完毕后，出现如图,9.11,所示的,“,安装结果,”,对话框。,任务,1 VPN,服务器配置,图,9.7,“,选择服务器角色,”,对话框,图,9.8,“,选择角色服务,”,对话框,任务,1 VPN,服务器配置,（,5,）单击,“,关闭,”,按钮，返回,“,服务器管理器,”,窗口，可以看到,“,角色,”,下显示,“,网络策略和访问服务,”,已安装，如图,9.12,所示。,图,9.12,“,网络策略和访问服务,”,已安装,任务,1 VPN,服务器配置,（,6,）右击,“,路由和远程访问,”,，在出现的菜单中选择,“,配置并启用路由和远程访问,”,命令，如图,9.14,所示，打开,“,路由和远程访问服务器安装向导,”,对话框。,图,9.14,配置并启用路由和远程访问,任务,1 VPN,服务器配置,（,7,）在出现的,“,路由和远程访问服务器安装向导,”,对话框中单击,“,下一步,”,按钮，进入,“,配置,”,对话框，如图,9.16,所示。,图,9.16,“配置”对话框,任务,1 VPN,服务器配置,（,8,）打开如图,9.17,所示的对话框，选择其中一个连接到外网的接口。这里选择,“,本地连接,”,，单击,“,下一步,”,按钮，在出现的如图,9.18,所示的对话框中选择,“,来自一个指定的地址范围,”,。要求指定相关的,IP,地址。此处指定的,IP,地址范围是作为,VPN,客户端通过虚拟专网连接到,VPN,服务器时所使用的,IP,地址池。注意：这个地址池的范围应该与,VPN,服务器的内部网卡的,IP,地址是同一个,IP,网段，以保证,VPN,的连通。单击,“,新建,”,按钮，出现,“,新建,IPv4,地址范围,”,对话框，在起始,IP,地址文本框中输入,“,210.100.100.10,”,，在,“,结束,IP,地址,”,文本框中输入,“,210.100.100.50,”,，如图,9.19,所示。,任务,1 VPN,服务器配置,图,9.17,“,VPN,连接”对话框,图,9.18,“,IP,地址分配”对话框,任务,1 VPN,服务器配置,图,9.19,为客户端指定,IP,地址,任务,1 VPN,服务器配置,（,9,）单击,“,确定,”,按钮，可以看到已经指定了一段,IP,地址。,单击,“,下一步,”,按钮，出现,“,管理多个远程访问服务器,”,对话框。在该对话框中可以指定身份验证的方法是路由和远程访问服务器还是,RADIUS,服务器,。,单击,“,下一步,”,按钮，完成,VPN,配置,在出现的,对话框,中,配置,DHCP,中继代理程序，最后单击,“,确定,”,按钮。,任务,1 VPN,服务器配置,（,10,）这时看到,“,服务器管理器,”,角色中,“,路由和远程访问,”,已启动（显示为向上的绿色箭头），如图,9.24,所示。至此，即可完成,Windows Server VPN,服务器的配置。,图,9.24 VPN,配置完成后的效果,任务,1 VPN,服务器配置,2,配置允许,VPN,连接的客户端账户,为了保证,VPN,服务器的安全性，需要对访问,VPN,服务器的客户端账户进行配置，只有进行了配置的客户端用户才可以正常访问,VPN,服务器,。,下面,以允许某一个用户连接,VPN,服务器为例进行说明，具体步骤如下（在具体应用中，若需要允许多个用户连接,VPN,服务器，则可以,“,组,”,中创建允许访问,VPN,服务器的组）。,任务,1 VPN,服务器配置,以管理员身份打开,“,计算机管理,”,控制台，展开,“,本地用户和组,”,，在,“,用户,”,栏的右侧界面右键单击，得到如图,9.25,所示的界面，选择,“,新用户,”,，可以得到如图,9.26,所示的对话框，新建用户名为,“,vpnuser01,”,的用户，并设置密码，选择,“,用户不能更改密码,”,复选框。,任务,1 VPN,服务器配置,图,9.25,为客户端新建账户,图,9.26,为客户端设置密码,任务,1 VPN,服务器配置,为客户端新建,vpnuser01,账户后，右键单击该账户，在弹出的菜单中选择,“,属性,”,，如图,9.27,所示，打开用户属性对话框。,图,9.27,对客户端进行设置,任务,1 VPN,服务器配置,在,“,vpnuser01,属性,”,对话框中选择,“,拨入,”,选项卡。在,“,远程访问权限（拨入或,VPN,）,”,区域中选择,“,允许访问,”,单选按钮，如图,9.28,所示，然后单击,“,确定,”,按钮。,图,9.28,设置远程访问权限,项目,9,架设,VPN,服务器,任务,2 VPN,客户端配置,2,任务,2 VPN,客户端配置,任务知识准备,VPN,是通过公共网络建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。,VPN,客户端在进行,IP,地址配置时，通常有两种可能的情况；,（,1,）,VPN,服务器设置了,DHCP,功能，此时，客户端可以采用自动获取,IP,地址的方式；,（,2,）,VPN,服务器未设置,DHCP,功能。,本任务采用第一种方式，即在客户端设置了,IP,地址，地址为,210.100.100.40,；本任务采用和任务,1,相同的拓扑结构，客户端分别采用,Windows XP,和,Windows 7,进行实验。,任务,2 VPN,客户端配置,任务实施,1,在客户端建立并测试,VPN,连接,VPN,客户端需要连接到,VPN,服务器上，必须进行相应的配置。下面以,Windows 7,为例，说明配置的具体步骤。,任务,2 VPN,客户端配置,（,1,）,依次单击,“,开始控制面板网络和,Internet,网络和共享中心,”,，出现如图,9.39,所示的界面。,图,9.39,设置新的连接或网络,任务,2 VPN,客户端配置,（,2,）,选择,“,更改网络设置,”,中的,“,设置新的连接或网络,”,，打开如图,9.40,所示的,“,设置连接或网络,”,对话框，选择,“,连接到工作区,”,，打开如图,9.41,所示的,“,连接到工作区,”,对话框。,图,9.40,“设置连接或网络”对话框,图,9.41,“连接到工作区”对话框,任务,2 VPN,客户端配置,（,3,）,在,“,您想如何连接,”,选项中选择,“,使用我的,Internet,连接（,VPN,）,”,，打开如图,9.42,所示的对话框。,图,9.42,“连接之前”选项,任务,2 VPN,客户端配置,（,4,）,在,“,连接之前,”,选项中选择,“,我稍后决定,”,，打开如图,9.43,所示的对话框。,图,9.43,输入要连接的,Internet,地址,任务,2 VPN,客户端配置,（,5,）,在,“,Internet,地址,”,栏,和,“,目标名称,”,栏中,分别,输入,相应信息。,然后单击,“,下一步,”,按钮，打开如图,9.44,所示的对话框，在,“,用户名,”,和,“,密码,”,栏中输入,VPN,服务器所允许的账户和密码，单击,“,创建,”,按钮，可以看到如图,9.44,所示的界面。,图,9.44,输入用户名和密码,任务,2 VPN,客户端配置,2,验证,VPN,连接,VPN,客户机在成功连接到,VPN,服务器后，可以访问公司内部局域网的共享资源，可以采用以下三种方法进行验证，具体步骤,如下,:,1,）查看,VPN,客户机获取的,IP,地址,以本地管理员账户登录,VPN,客户机，打开命令提示符界面，输入命令,“,ipconfig/all,”,，可以查看,IP,地址信息，如图,9.46,所示，可以看到,VPN,连接获得的,IP,地址为,210.100.100.11,。,先后输入命令,“,ping 192.168.2.2,”,和,“,ping 192.168.2.102,”,测试,VPN,客户端和,VPN,服务器以及内网计算机的连通性，如图,9.47,，显示能连通。,任务,2 VPN,客户端配置,图,9.46,查看获取的,VPN,连接客户端地址,图,9.47,测试,VPN,连接,任务,2 VPN,客户端配置,2,）在,VPN,服务器上的验证,以本地管理员账户登录到,VPN,服务器上，在,“,路由和远程访问,”,控制台中，展开服务器，如图,9.48,所示，可以看到,“,远程访问客户端（,1,）,”,。,单击,“,端口,”,，在控制台右侧界面中可以看到其中一个端口的状态是,“,活动,”,，表面有客户端连接到,VPN,服务器，如图,9.49,所示,。,任务,2 VPN,客户端配置,图,9.48,查看,“,远程访问客户端,”,图,9.49,查看端口状态,任务,2 VPN,客户端配置,3,）访问内部局域网的共享文件夹,在内网,IP,地址为,192.168.2.102,的计算机上，创建,“,C:test,”,文件夹作为测试目录，并将该文件夹设置为,共享,。,以,本地管理员账户登录到,VPN,客户机上，单击,“,开始运行,”,，输入内网共享文件夹的,UNC,路径,192.168.2.102,。,由于已经连接到,VPN,服务器上，因此，可以访问内网的共享资源，如图,9.52,所示。,任务,2 VPN,客户端配置,图,9.52,在客户端访问内网共享文件夹,任务,2 VPN,客户端配置,4,）断开,VPN,以本地管理员账户登录到,VPN,服务器上，在,“,路由和远程访问,”,控制台中依次展开服务器和,“,远程访问客户端（,1,）,”,，在控制台右侧界面中右键单击远程访问客户端，在弹出的菜单中选择,“,断开,”,即可以断开客户端的,VPN,连接，如图,9.53,所示。,图,9.53,断开,VPN,连接,项目,9,架设,VPN,服务器,实训,9 Windows Server 2008,中,VPN,的配置和实现,3,实训,9 Windows Server 2008,中,VPN,的配置和实现,实训目标,一、实训目标,（,1,）掌握利用,Windows Server 2008,配置,VPN,服务器的方法。,（,2,）掌握在,Windows 7,上建立,VPN,客户端的方法。,（,3,）掌握在,VPN,服务器上配置远程访问策略的方法。,实训,9 Windows Server 2008,中,VPN,的配置和实现,实训准备,（,1,）网络环境。,（,2,）服务端计算机配置：安装,Windows Server 2008,操作系统，或已安装,VMWARE Workstation 9,以上版本软件，并且硬盘中有,Windows Server 2008,、,Windows XP,和,Windows 7,安装程序，服务器为双网卡配置或在虚拟机中创建两个网络适配器，其中一个适配器为桥接模式，作为连接内网的网卡，另一个适配器为,NAT,模式，作为连接外网的网卡。,（,3,）客户端计算机配置：,Windows XP,或,Windows 7,。,