VPN服务器的组建与架构.doc

利用windows 2003 实现VPN服务器的组建与架构 利用windows 2003 实现VPN服务器的组建与架构 （一） 移动用户到站点之间的VPN。                                                           3 U8 \# Q& S" C4 X/ b0 }) M6 V0 m8 \' A. ]% ` 实验环境：6 u1 J) f( q8 M9 [# |3西安凌云高科技有限公司是一家大型的公司，由于业务的不断扩展，公司的员工需要经常出差，但是对于公司内部的信息不能及时的了解或对于公司的一些资料访问很不方便；虽然公司的员工可以通过一些软件，像MSN、QQ或者email来传递公司的信息或者资料；但是这样虽然可以访问却对公司的业务造成一些没有必要的损失；或者当传递一些机密性的问题时候是非常的不安全；那么怎么样才能让出差的员工能够正常访问公司内部（局域网）的一些信息像文件服务器等一些及时需要的信息呢？鉴于公司的一系列的需求我们为公司设计了一下的解决方法。我们可以通过移动用户到站点的VPN来一步一步的实现； 5 x- [4 {* @1 i　　实验拓扑：9 ?, v8 @/ B- T. F6 v7 ] - a0 q$ L* t# i" E6 S : t% b! Y2 c; V9 e ) K2 W0 v& E; E, z4 n. Q; u　　实验目标：8 e5 U1 {1 X/ y1 O9 ~$ x  x （1）、能够正确的安装和卸载VPN服务； ; V# N( P% U; ~, D6 e3 U1 K　　（2）、能够配置用户拨入属性；8 y& ?! {  D7 Y/ w& O 　　（3）、能够配置客户机网络连接； 6 E) W6 [* K6 _3 H　　（4）、能够熟悉以及应用远程访问策略的实验；9 S/ Q* c* c$ F! b& `8 ? 　　（5）、能够理解远程访问策略的条件、远程访问的权限和配置文件； 8 G3 s+ A0 g: x" Q% S　　（6）、验证VPN移动用户是不是能够正确的访问区域网；9 |  g" c: N8 S9 Y  `% K 　　实验步骤：, D' i5 D1 p0 c( @0 \ 在我们的实际生活中，我们肯会遇到这样的一些问题：在一些大型的公司，分公司和出差的员工需要与总公司随时交换一些内部机密性的问题；分公司的员工和出差的用户如何能够成功的访问总公司内部资源的并且保证这一过程的机密性呢？如何在区域网上来实现一个安全、方便、低沉本的远程访问服务呢？下面我们来具体的一步一步的来实现！！ 一、安装路由和远程访问服务；. p- A7 y. ~! s* e, m" ~( ^ 0 i" K* U* {3 ?6 \( b 　　那么什么是路由远程访问呢？路由远程远程访问适应于什么样的环境呢？; {+ F5 E9 L1 p$ b$ l 0 o0 d6 u- \1 @( W& a 　　远程访问是允许客户机通过拨号连接或虚拟专用连接登陆到网络。远端的移动用户一旦得到RAS（远程访问服务）服务器的确认，就可以访问网络资源，就好像远端的移动用户在局域网一样：他适应的环境是：当各地分公司和出差的员工需要访问总部网络资源的时候；就会用到网络资源。& X* t( U1 Y6 z : ~% q7 W" u. y! l7 l: K 　　那么远程访问他有几种连接方式呢？它们具体应用到什么样的场合呢？ ' S+ X" y8 l" K# ?7 D3 ]* F! N, y1 r" p 　　在windows service 2003中有两种模式：拨号网络和虚拟专用网。简单介绍一下它们的区别：拨号网络是使用的电信商提供的服务，远程客户端使用非永久性是的拨号连接到远程访问服务器的物理端口上，在这种情况下是使用的拨号网络；虚拟专用网（virtual private network）是穿越公网的、安全的、点到点的连接。虚拟专用网客户端是特定的，是隧道协议基于TCP/IP的协议，与虚拟专用网络服务器建立连接。远程访问连接比专线连接，提供了低成本远程访问服务！！！ 4 O' W* y2 ~6 ]5 }' X1 D; N8 @& ~, w: j0 M" t2 n6 v6 R 　　它们运用的场合：拨号的远程访问是通过电话线传输数据，虽然速率不是很高，但是对于那些只有少数数量需要的用户，像家庭用户也是一个很好的方案：相对于拨号网络虚拟网络无疑是最好的他不但提高了传输速率，而且降低了投资成本和维护成本。相对于拨号来说，它节约了通信费用，特别是对于外地的分公司来说，解决了很多的长途电话的费用。 3 P8 M  p' {( m) }" s+ ]/ n9 Z9 I8 n  d$ Y 　　1、 打开“开始”菜单，选中“程序”——“管理工具”——“路由远程和访问”即可出现如图所示的界面：6 ^8 E6 p6 q2 g1 S* g 6 U8 W$ K2 V) v& f# q7 D　　那么什么是远程访问服务呢？允许客户机通过拨号连接或虚拟专用网登陆。远程客户机如果得到服务器的确认，就可以访问资源。就好像已经直接在区域网上连接一样。那么远程访问服务器适合什么样的环境呢？在各地 远程访问连接的方式有两种：拨号网络和虚拟专用网： 7 H6 e8 \/ v4 Q. }) s- u' |8 e/ h  l0 R: I 1 U2 E" l& P  ?5 d* O) b' p0 G8 s3 ~ 　　2、“在路由和远程访问服务器中安装向导的窗口中”选择“配置并启用路由和远程访问” ' i" h  w/ E9 U+ S $ Z% r: [, B* f, q( z' d" @+ B9 S5 X! [ 6 D7 v% j( _3 F; ^. v: g- ?6 n 　　3、“在路由和远程访问服务器安装向导中”单击先一步即可！！！ $ O1 L) V3 j) ?. E# f% k; k7 L' \8 ]( c' \ 　　4、在配置的窗口中我们选择第一个单选按钮“远程访问（拨号或者VPN），单击下一步就可以了： 7 Y8 W  |2 K  R; `0 h0 v* M& y0 ]$ G# {7 n  @ 　　5、在配置窗口远程访问连接的配置中，选中“VPN”复选框，单击下一步按钮： , u& B6 u% b) O$ G4 @ （6）、在“VPN连接”中我们选择将此服务连接到INTERNET的网络接口（IP地址为192.168.1.1的网络连接），单击“下一步”按钮,在这里我们应该注意网络的接口是和VPN服务器的一个接口的IP地址：如果勾选如图所示的“通过设置静态数据包筛选器来选择的接口进行保护”那么发出的ICMP协议他就会受保护；& z# E0 `3 w) v * @' L; F' s* J- i8 ` 　　（7）、在“IP地址指定之中”我们选择“来自一个指定的地址范围”如果我们选择“自动”就需要DHCP服务器的支持！！所以我们在这里手工指定一个地址范围！！！9 J6 r  a1 D' t1 x7 M/ m0 Z) p $ r, V, A5 Q2 Z　　（8）、“在指地址指定中”我们新建地址范围“192.168.1.120—192.168.1.140”单击下一步：我们在指定IP地址范围的时候我们应该知道在这里指定的是服务和VPN客户端相连的一个网段的IP地址； ) [  j2 `6 p9 F （9）、在“管理多个访问服务器”中我们选择“否”即可！！！4 ]" P( k9 q* U6 G6 ?1 |0 ] 　　（10）、很幸运当你配置完上面的配置之后就会完成路由和远程访问服务的安装了： 6 G' D& _* J% o; j $ O0 G1 X% R5 p$ Q# t% t% }% Q3 w 二、配置客户机的网络连接；3 |* ^/ |; f3 H1 W9 C) i7 \ 　　1、 在客户机上的“控制面板”——“网络连接”中，右击“新建连接向导”。从弹出的快捷菜单中选择“新建连接”命令： 8 x2 r6 D" n. U$ u! a; |( G8 \- o" R: f# ? ! F6 @, ], F9 u( I( R! \ " R& k& R! V$ a$ f 　　2、 在“新建网络的向导中”单击“下一步”即可0 x% U9 `* R3 A. J+ z 3 _  y7 G4 c1 Q4 M　　3、 在“网络的类型中”我们选择“连接到我的工作场所的网络”！！！！ ! ?5 R% M1 A+ k& F- E 　　4、 在网络连接中我们选择“虚拟专用网络连接”单选按钮。我们在本次的实验中我们所使用的是“虚拟专用网络连接”如果我们所采用是“拨号连接”我们选择第一个就OK了。 - k( u+ b) n& M( m * L9 F. v( x1 S2 I8 o　　5、 然后输入公司的名称单击“下一步”按钮；$ j$ E7 W* K" W' s& F 3 g6 {! ^  R; e8 S8 a* P* e+ h/ U　　6、 然后输入连接的VPN服务器主机名或者IP地址。选择下一步； 1 }. }8 c8 h4 h/ D4 H2 U+ N, M3 Q1 ?+ J: c4 x 　　7、 然后在下面的向导中我们选择“任何人使用”即可下一步：我们在这里选择“任何人使用”的原因是因为我们在出差的时候会用多个或者不是一个固定的人：因此我们会选择“任何人使用”。 2 d8 z" T, a1 E6 B+ Z9 ~ 8、 然后就完成了客户端的配置了！！！ 2 n: b0 o$ b* o　　三、配置用户拨入的属性：3 A( j' ~4 A/ } 　　在创建好的BENET用户中我们选择BENET用户的属性；选择“拨入”即可OK。这也是我们在配错的时候经常遇到问题我们应该多多注意：* x3 a5 M9 ]  G. m5 E- L# `- @$ Q 四、配置 5 P5 @4 {9 j; [　　远程访问的策略； 在配置远程访问策略的时候我们应该知道访问策略的组成；远程访问策略是一组定义允许或拒绝连接的有序列表，这些规则是由若干个条件、远程访问权限设置和一组配置文件设置组成；% l+ r! X3 ~; ]7 T 　　1、 在远程访问策略的“属性”的中选择“PPP协议VPN属性：如图所示：6 c# J1 F7 E) u9 b- R( T: _% j% G 6 @, H  f9 R1 i/ }' C# l图片看不清楚？请点击这里查看原图（大图）。 ! [- j  q6 n9 _) r　　2、 在“策略状况中：添加“day—and—time—restrictions“！！！9 I1 q# X4 H& P7 u/ p 3、 然后根据上面的要求在设置时间段！！3 [! c9 z: Z6 i. Y: | 4、 然后选择“授予远程访问权限”单选按钮 " h/ ]) u# H8 F) I * B" O4 b5 O7 y9 t　　五、在客户机上访问文件服务器：+ c9 c; R% Q- B3 Q& \ 1、 双击客户机上新建的虚拟专用网络连接，输入用户名“BENET”和相应的密码，单击连接即可： ( x( P% H# G5 O, w; [8 v- A - s0 I, i; [7 H) L" U7 G　　2、 如图是客户机上连接的界面： 2 j# v( F1 F8 [8 _( P ; q( B. I" p. |9 j# r, G) `  j3 X) n0 X5 a 6 ?6 K7 ?+ D, u: h- _" q　　3、 我们在客户机上查看一下他的IP地址- t' \, e  h5 |+ Q2 O! O% u * b6 T; E- }* o. ]# Y & k, A4 U8 v) z3 N- V6 [. Z% Q; V& j7 \( Q4 d 　　4、 然后在开始——运行中；输入UNC路径“\172.16.2.125新建文件夹： 5 l2 V# @6 U/ k2 E& e : d  k. x! Y. q% l, D1 k3 U0 t　　5、 如图是访问的界面：3 F! a% l* b# e$ P 利用windows 2003 实现VPN服务器的组建与架构 （二）站点到站点之间的VPN。                                                             , ~, ]; X) b* X) Z6 t+ \' w                        1 N6 Z% H. w3 f# ]8 {  实验环境：9 q& B& B1 D! f' W# N' x8 j(西安凌云高科技有限公司由于业务快速的发展，在广州成立了分公司：为了保证西安总公司和广州分公司网络的正常通信、资源互访以及方便的管理；最初我们采取DDN数据专线来连通了西安总公司和广州的资源互访和集中的管理；但是这样虽然安全也比较实用、但是DDN的费用是一笔很大的开销；为此总经理非常苦恼；为了解决公司一系列的状况，我们决定采用VPN来实现两个公司的正常通信，这样既解决了总经理的苦恼；也更加增加了网络的安全性和资源的可利用性。 0 h' W% b% D+ d1 t% u) z0 s　　我们曾经在以前的cisco路由器上做过基于三层的IPsec的VPN；那么我们在基于windows 2003上来能否实现第二层的L2TP站点到站点的VPN解决公司现有的状况呢？答案是肯定的；那么就让我们拭目以待吧！！！ ; {9 D2 A# V! w' I. K　　实验目的： & T  [/ d2 d$ E2 q$ E　　能够理解VPN的工作原理以及以一些相关的概念； , A0 G5 ]4 J! ~7 ~( u2 z; H6 M　　能够理解第二层（L2TP）协议VPN的基本配置； 2 D( E3 {: x' N6 G7 e, ^: G1 s8 w　　掌握第二层（L2TP）VPN排错的一些基本方法；- A- a3 U( [* j6 j8 j0 C 　　能够让西安总公司和广州分公司能够正常的通信； 2 q9 q( w: C3 ?- `$ k' y　　实验拓扑：8 T; d6 g: k" W* h, ]! y4 r " d* M5 `, z  v" @8 q$ x, X ( X. w2 J6 E9 n: R7 a7 q6 Z% ]! q& _# J/ ] 　　实验步骤： 6 n9 B0 `* f' g" ]0 A3 A; J　　VPN的工作原理以及一些相关的概念：6 G6 ^" i) Z8 n8 C2 I2 U5 x$ f 　　在做基于windows service 2003上的VPN的时候我们是不是还记得我们在CISCO上关于IPsecVPN的配置呢?现在我们来共同的来做一个比较！！！ * {: Z, b2 T) ~. u! h　　了解一下VPN的特点；VPN的分类；VPN的优点；VPN的工作原理： VPN是利用Internet上或者一些公共的设施来实现一条虚拟的隧道，而且提供了和专用网络一样的安全保障。VPN是通过两种方法来保证网络上的安全的：首先是物理分离，它是只有指定的接收者才能访问信号：另一种是迷惑；虽然能够检测到信号，但是只有指定的接收者才能理解其中的意思（通过密钥或者加密算法）。+ A# B% ^$ C% u& p  _( L6 x 3 [% B1 Y3 P7 R/ \; @8 P　　VPN的特点：VPN和传统的区别是在于他是虚拟的不是实际存在的；他是通过Internet来虚拟出来的；VPN只是为特定的企业或者用户群体所使用；VPN不是一种简单的高层业务。" Q8 _$ o3 q  ~- j) r 1 {+ Y* {" u( g# ~# G% b5 \ VPN的优点:费用低，不需要租用远程专用线路，也不需要远程拨号接入公司；更加高效的灵活性，他可以方便的组建和扩充分支站点、远程办公室等接入网络；更加简单的方便管理；利用虚拟隧道技术提供网络连接拓扑结构简单明了。 & G$ L9 K6 G5 B" C6 \: w 0 G- V& D! K' D1 T# m$ K　　VPN结构和分类：站点到站点的VPN和远程访问VPN。, Z; I& s* w1 _. b6 X  T1 a1 @ " }; s% D/ a. v) r$ V2 [/ ?　　VPN的工作原理：VPN技术是以基于安全协议的IP隧道为基础，实现网络的互联，用访问控制列表来进一步增强网络的安全性。密钥的产生、分类及管理、虚拟网络管理等VPN安全管理技术增强了VPN系统的可维护性和易管理性。VPN系统利用不可信任是我公共网络通信，通过安全的IP隧道来保证信息的机密性、完整性及可鉴别性。 ; Z" U& e1 T# U( `9 A+ U* J' k6 B' D% i% V3 x$ r" { 　　第二层隧道协议和第三层隧道协议的比较： / j. g. x- K# [' [$ A- @: r, r $ N7 q  n7 F% K　　二层隧道协议主要有：PPTP（点到点隧道协议）、L2F（二层转发协议）、L2TP（二层隧道协议）。 3 H+ W3 k+ o3 `9 C( g( T9 h7 O  p; [; L7 o6 Q/ M9 C8 u 　　三层隧道协议主要有：GRE（通用路由封装协议）、IPsec协议。6 `0 {* w7 a. X/ ?" H4 l % p0 |! q. \$ u! W 区别：第三层和第二层的隧道相比，第三层隧道协议的优势在于它的安全性、可扩展性于可靠性；因为第二层隧道协议一般终止在用户设备上，对于用户的安全来说提出了十分严峻的考验：但是第三层隧道一般是终止在ISP网关上，因此一般情况下不会对用户网的安全技术提出较高要求；从另一个方面来说，第二层隧道协议内封装了整个PPP帧，这可能产生传输效率问题。其次，PPP会话状态与信息，这将对系统符合残生较大的影响，也可能会影响到系统的可扩展性。也因为PPP 的LCP和NCP协商对时间是非常的敏感，这样就会出现效率低的问题。但是，第三层隧道协议是终止在ISP的网关内，PPP会话终止在NAS处，用户侧网关无需要管理和维护每个PPP对话的状态，来减轻了系统的负荷。虽然，第二层隧道协议是和第三层隧道协议分开使用的；但是如果把第三层和第二层来一起使用会有更好的效果。 基于第二层L2TP的配置； 为了方便我们实验的完整性；路由远程服务我们已经开启:& L/ Y7 u  {2 D2 Y 2.1.打开路由远程访问界面，进入VPN界面在“站点2”上新建接口连接；如图所示：! Q1 M) J  j6 q; Q, k1 o3 o 　　Win2003R2——site2直连client0 3 E+ \. t+ \$ n& i+ O' ~, E 5 [% E2 f8 \, K3 e" y. T& V8 ^& T6 X7 ? 0 n  c) c" b8 V, C' d6 A$ s+ Y　　2.2.配置完上一步根据向导界面配置点击下一步：& x- O7 ^4 O# k& [) e. V) ?  G 9 J( `# m  T$ ]. Q+ o　　2.3.在连接的类型中我们来选择VPN即可完成，当然我们还可以来使用PPP来完成。4 c! p$ Q9 c; j( c; t' |0 t 2 C; r0 c! ]3 K( \" i  Y% b( t3 n. m　　2.4.在VPN的配置类型之中我们可以选择“自动选择”即可！！！' a% J* b6 r; M  ?  O) m6 B6 q% ?7 { $ ]+ x5 l# n8 I0 Q　　2.5.输入对方目的的IP地址；在这里我们要明白输入的是对方连接Internet的接口的IP地址； 3 b! h/ X% H  m0 V) n% T/ M　　2.6.在新建请求拨号的向导中，我们选择第二项，然后会出现如图所示的向导界面：这里的界面是通过手工指定的：如图所示： : c! T5 A; B5 ^) n5 q' s $ G+ s: N* @0 \; M/ f　　2.7.我们在这里所输入的用户名和密码是已经创建好的。并且给了他拨入的权限； / Y( e3 C7 p$ m3 @6 H9 t$ _3 T  u5 w! R1 W 2.8.我们在匹配的时候是不是也要输入对方的用户名和密码；这样就能够提高了网络的高安全性；对方的用户名和密码也是存在的也有相应的拨入权限；因为我们在本地的工作组中，所以我们不需要添加域。 # p$ O" Q; z$ D* Q: r% C! z" i4 J+ M 1 y; |( w9 k: O. v　　2.9.这样就完成了整个试验的过程： : f$ I- x: B; S: A 2.1.1.在完成我们的接口连接；然后我们来验证是是不是能够正确的连接： 3 Z. P1 c2 o+ x* g# K; r- O# ?! W   h% _& r* r0 B* v 　　2.1.2.在命令行下我们来查看具体的配置：7 O( J# B: [- v % e+ N5 A/ ]+ `, C6 m% ~2 |4 Y9 [% f 5 j* h/ J' l) _5 g 　　2.2.1．在“站点1”上的配置和在“站点2”上的配置是一模一样的，因此我们就不详细的介绍了；我们来看这里的创建是不是能够和对端的正常连接：如图：：： " Z1 J* d- J4 \  ~; }% S+ e8 j　　Win2003SP1——site1直连真机 ; u9 y* W5 `6 }) Y5 n$ T   P# |/ X" S1 `! O' y% {, W9 O1 M. e3 {8 `5 \ 1 i$ k2 E. N3 O$ r1 V) d2 V　　掌握第二层（L2TP）VPN排错的一些基本方法:+ e+ A& ?2 j6 a 3.1.在client2(XP)上来测试网络的互通性以及查看客户机的配置： 9 N- e/ }( H+ t7 J  f2 G' q; D3 i0 S( l 7 e% G, E. l* M; `2 G- K' g* {4 T9 P$ N) K 3.2.在真机上来测试网络的互通性；以及查看客户机的配置： $ b, R$ a' G( K # o3 @5 ~& c. \1 \* J; q) ^9 Y+ }1 `4 x9 { ( @$ c7 v: k! N0 Q; }1 Y) d, c7 }& N/ x2 F9 ] 3.3.掌握排错的方法： & Q# ]5 Z) C) l: p" D( o 3.3.1.硬件是不是正常，像网卡等是不是正常的工作服务器是不是满足要求； / J& t. Y  [" B7 ^　　3.3.2.远程访问是不是开启； * s# \8 O+ z- F. u; x　　3.3.3.用户帐户是不是有拨入的权限； $ Y, G1 l( A% [) P　　3.3.4.客户端是不是参数是不是配置正确、用户名是不是正确；3 U6 h* R1 w8 N$ u 　　3.3.5.是不是远程策略的条件不满足要求；- G5 T: ]( `; U" X% I 　　3.3.6.密码是不是正确、是不是客户端的验证方式和服务器端的验证方式不匹配。0 P7