Win2003路由和远程访问实现VPN.doc

Win2003路由和远程访问实现VPN 一、 在VPN远程连接之前要做好两个准备。 公司总部采用ADSL虚拟拨号接入Internet，为了保证出差员工能够使用固定的域名随时拨入VPN服务器，申请了88IP动态域名解析服务，88IP作为企业应用还是要稳定可靠些的。 第一：要获得VPN服务器接入Internet的公共IP地址，如果是分配的静态IP，那就简单了，如果是动态IP，那必须在远程能随时获得这个IP地址，本例如图1，192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时，是ISP给自动分配的，且一般被分配到的是动态IP。 第二：要做个端口映射，从图1的拓扑可以看出，本例是通作在ADSL猫中通过NAT转，接入Internet的，通过这种方式一定要在ADSL中作端口映射，由于windows 2003的VPN服务用的是1723端口，所以如图a，将1723端口映射到192.168.0.2这台设有VPN服务的机器。如果用的是直接拨号，那在防火墙中将这个端口放开就行了。 计算机本身如果安装了防火墙，不要限制对本地回环地址127.0.0.1的访问，否则将无法连接虚拟网。 二、  搭建VPN服务器 首先在公司总部的服务器上使用Ｗindows Server 2003作为系统平台，默认情况下“路由和远程访问”服务是已经安装好了的，只须对它进行一些必要的配置就可以启用VPN服务。 第一步：依次点击“开始→管理工具→路由和远程访问”，打开“路由和远程访问”服务窗口。 第二步：右键点击控制台中的Host-name（本机名称），执行“配置并启用路由和远程访问”命令，进入安装向导并单击“下一步”按钮。在“配置”对话框中选择“自定义配置”选项并点击“下一步”按钮。接着在“自定义配置”对话框中勾选“VPN访问”选项后完成配置操作，等待几秒钟之后VPN服务器即可启动。 第三步：使用静态IP地址池为拨入端分配IP地址可以减少IP地址的解析时间，从而提高连接速度。因此为使VPN的运行效果达到最佳，我们需要对IP地址的分配方式作一下设置。右键点击控制台中的服务器名，执行“属性”命令。在“hostname(本地)属性”对话框中切换至IP标签页。在“IP地址指派”选项中点选“静态地址池”，然后点击“添加”按钮，键入起始IP地址和结束IP地址（如192.168.0.100~192.168.0.150）。 三、             赋予用户拨入权限 外出员工并不能马上拨入刚搭建好的VPN服务器，因为默认情况下只有被赋予拨入权限的用户才能连接VPN服务器。因此为一些员工建立了用户账号，并为他们设置了拨入权限。 右键点击“我的电脑”，执行“管理”命令，打开“计算机管理”对话框。展开“本地用户和组”目录并点击“用户”文件夹，然后右键点击用户列表中的某一个用户名称（如Administrator），执行“属性”命令。在打开的“Administrator属性”对话框中切换至“拨入”标签页，点选“远程访问权限”区域中的“允许访问”选项，然后勾选“分配静态IP地址”选项，并键入“静态地址池”中的一个IP地址（如192.168.0.100），最后点击“确定”按钮完成设置。 四、             创建VPN连接 经过上述几个步骤，在服务器端的配置工作基本结束，接下来需要在使用Windows XP系统的客户端（由于现在使用Ｗindows XP系统的个人用户比较多，我们就以Windows XP为操作平台来举例）建立一个拨入VPN服务器的专用连接。 第一步：在“网络连接”对话框中，双击“网络任务”区域的“创建一个新的连接”选项，点击“下一步”按钮。 第二步：在“网络连接类型”对话框中点选“连接到我的工作场所的网络”选项并点击“下一步”按钮。接着在“网络连接”对话框中选择“虚拟专用网络连接”并点击“下一步”按钮。键入一个连接名称后点击“下一步”按钮。 第三步：在“公用网络”对话框中点选“自动拨此初始连接”选项，在下拉菜单中选中一个拨号连接并点击“下一步”按钮。 第四步：在“VPN服务器选择”对话框中键入VPN服务器端的IP地址或域名，假如我们申请得到的动态域名是，可将它填入编辑框，接着点击“下一步”按钮。然后勾选“在桌面上创建此连接的快捷方式”并单击“完成”结束创建过程。 第五步：为了避免出现成功连接VPN服务器后客户端不能访问Internet的问题，我们还需要对刚刚创建的“VPN连接”做简单的配置。在“网络连接”窗口中右键点击“VPN连接”图标，执行“属性”命令。在“VPN连接属性”对话框中的“网络”标签页中选中“Internet协议（TCP/IP）”。在“高级TCP/IP设置”对话框中的“常规”标签页中取消对“在远程网络上使用默认网关”的勾选。 五、             拨入VPN服务器 现在外出员工可以用被赋予拨入权限的用户名拨入VPN服务器了。 双击桌面上的“VPN连接”图标，先通过初始连接接入Internet，然后再通过“VPN连接”（键入被赋予拨入权限的用户名和密码）与VPN服务器建立连接。 当然我们的目的不仅仅只是连接到VPN服务器，我们还需要连接到公司局域网内的其他计算机。这需要在VPN服务器端开启路由器功能并启用IP路由，然后在“网上领居”中找到相应的工作组并连接到需要访问的计算机即可。 提示：成功建立连接后，客户端在访问服务器端的共享资源时可能会出现长时间的搜索过程。这时可使用“搜索计算机”功能对指定计算机进行搜索。 1. 如何将两个局域网连接起来？ 在两个局域网的缺省上网网关上安装KDT-HLink软件，分别以不同的号码登录，比如1002号和1003号，这两个网关登录到一个叫做“A公司网”的虚拟网中，如下表： 1002 1003 IP 10.0.0.1 10.0.0.2 所在网络 192.168.1.0 192.168.2.0 掩码 255.255.255.0 255.255.255.0 那么在1002这边，可以通过在命令行窗口中输入并执行 “route add 192.168.2.0 mask 255.255.255.0 10.0.0.2” 命令建立一条到192.168.2.0网络的路由 那么在1003这边，可以通过在命令行窗口中输入并执行 “route add 192.168.1.0 mask 255.255.255.0 10.0.0.1” 命令建立一条到192.168.1.0网络的路由 于是1002和1003这两个网关后的这两个不同局域网就可以互访了 当然，将这样的命令保存在各自软件中有关“A公司网”的虚拟连接的连接脚本中，每次软件启动登录虚拟网后就能够自动执行相应命令，达到简化设置过程的作用。 2、路由脚本 我们可以通过编写脚本来更改路由表，而不需要重新启动电脑。下面是几个常用route命令： route print 本命令用于显示路由表中的当前项目，在单路由器网段上的输出；由于用IP地址配置了网卡，因此所有的这些项目都是自动添加的。但由于无法显示结果，因此在执行了这个命令后您将看不到任何结果。 route add 使用本命令，可以将路由项目添加给路由表。例如，如果要设定一个到目的网络209.98.32.33的路由，其间要经过5个路由器网段，首先要经过本地网络上的一个路由器，其IP为202.96.123.5，子网掩码为255.255.255.224，那么我们应该输入以下命令 route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5 route change 我们可以使用本命令来修改数据的传输路由，不过，我们不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器，它采用一条包含3个网段的更直接的路径 　　route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3 　　route delete 　　使用本命令可以从路由表中删除路由。例如：route delete 209.98.32.33 下面举例说明： 公司有两台路由器可上网，一台是ADSL，其地址是192.168.16.10；另一台ISDN，其IP地址是：192.168.16.11。 局域网内电脑的默认网关一般设置为：192.168.16.10，但有时会出现ADSL线路不稳定，想通过ISDN上网的情况，这时您可通过如下方式来快速更改： route delete 0.0.0.0 [执行] route add 0.0.0.0 mask 0.0.0.0 192.168.16.11 metric 1 [执行] 这样操作后，电脑的默认网关马上就更改成为192.168.16.11，您不需要重新启动电脑。如果想改回使用ADSL，只需要打入命令： route delete 0.0.0.0 [执行] route add 0.0.0.0 mask 0.0.0.0 192.168.16.10 metric 1 [执行] 这样就可以了。