vpn及域控关联配置(真实项目).doc

通过IPSec实现L2TP VPN（已完成） 虚拟专用网（VPN）可以让远程用户通过Internet安全的访问企业内部的网络资源，现在的应用也越来越普及和广泛。VPN通过各种技术来确保数据的安全，下面我来演示一下其中的一种：通过使用IPSec证书来建立L2TP连接。 1、实验拓扑图： 在图中：         右边紫色框框内的是一个企业内部网，网络里有两台服务器，一台是VPN Server，同时作为NAT，企业内部通过这台NAT服务器连接到互联网，而互联网上的用户也可以通过这台VPN Server连接到这个企业内部网；另外一台是DC、DHCP Server、DNS Server，同时作为CA用来发放证书。         左边是一台互联网上的客户机，这台客户机通过ADSL Modem拨号连接到互联网，并且我们假设这台客户机已经通过ADSL成功连接到Internet了。 2、客户机先配置好网络连接，只要可以通过ADSL连接到Internet就可以了。由于实验环境的限制，这里把客户机直接连接到VPN服务器的外网卡上，并且设置客户机的IP地址和VPN服务器外网卡地址在同一个网段。 注：在实际应用环境中，这两个IP都是公网的IP。 3、DC的配置：按图设置好IP，升DC，同时集成DNS，安装完后装DHCP，授权DHCP，建立一个作用域，地址池为192.168.0.10~192.168.0.50，作用域选项添加003路由器，IP：192.168.0.2，006DNS服务器，IP：192.168.0.1。 4、开始配置VPN服务器（图中中间那台） 5、打开VPN服务器的属性，IP选项卡： 这里有一项“启用IP路由”，默认时是打上勾的，作用是提供客户端到内部网络的路由。如果希望客户端拨号进来以后只能访问VPN服务器上的资源而不能访问内网的资源，那么可以把这个勾去掉。我们这里要保留，使客户端可以加入域。 6、在VPN服务器上添加一个帐号，并在拨入属性上设置“允许访问”。 13添加帐户并设置拨入属性.jpg (75.2 KB) 下载次数:3 2006-9-23 14:42 7、到客户端上建立一个新的连接，使用PPTP拨入到VPN服务器里。 这里选“任何人使用”。 8、完成后打开“连接PPTP”对话框，选择属性，网络，在VPN类型中选择“PPTP VPN”，确定。然后按“连接”。 21连接属性网络选PPTP.jpg (57.02 KB) 下载次数:6 2006-9-23 14:50 22拨号成功.jpg (68.2 KB) 下载次数:3 2006-9-23 14:50 9、客户机现在可以加入域了。 10、把VPN服务器加入域。（这一步可以提前做，不影响结果） 11、到DC上安装IIS。（这一步和下一步安装CA都可以提前做，但安装CA前必须先装DC，因为我们要用企业根CA；同时装CA前要先装IIS，因为我们要通过WEB来申请证书，后面有讲） [ 本帖最后由 liangzh 于 06-9-23 15:05 编辑 ] 24DC安装IIS.jpg (71.57 KB) 下载次数:4 2006-9-23 14:59 25DC安装IIS.jpg (40.96 KB) 下载次数:3 2006-9-23 14:59 27正在安装IIS.jpg (25.34 KB) 下载次数:3 2006-9-23 14:59 12、完成后继续安装CA，这里我们安装企业根CA。 这里按确定。 选择企业根CA。 随便输入一个名称。 安装过程中要停止IIS，按确定。 确认启用ASP。 13、安装完成后打开“证书颁发机构”，正常！！ 34完成安装CA并打开证书颁发机构.jpg (30.87 KB) 下载次数:7 2006-9-23 15:12 14、刚才客户端加入域后须要重启，重启后我们使用拨号连接来登录域。 输入域的用户名和密码，并且在“使用拨号网络连接登录”前打上勾。 输入区号。 选择我们建立的“PPTP”连接。 输入具有拨入权限的用户名和密码（就是我们在VPN服务器上建立的那个）。 按“连接”后开始拨号，拨号成功后就登录到域里了。 15、连接到DC申请证书。（注：VPN服务器和客户端都要申请，步骤一样） 在IE里输入“http://192.168.0.1/certsrv/”并输入管理员帐号和密码。 选择“申请一个证书”。 选择“高级证书申请”。 选择“创建并向此CA提交一个申请”。 在这里，证书模板选择“系统管理员”，并确保勾上“将证书保存在本地计算机存储中”前面的勾。 选择“安装此证书”。 安装成功。 16、VPN服务器和客户端申请完证书以后最好重新启动一下。 17、在客户端上建立L2TP连接。（建立步骤和建立PPTP的过程基本一样） 输入名称：L2TP 选择不拨初始连接。 建立完成后，在L2TP属性，网络，VPN类型中选择“L2TP IPSec VPN” 然后输入连接的用户名和密码。 按“连接”后成功连接了。（注：只要有一方没有正确安装证书，这里都不能成功的） 18、客户端注销后使用拨号连接来登录，选择刚才建立的“L2TP”，连接...... 选择“L2TP”来进行连接。 成功连接并登录。 分别使用ping命令和nslookup命令来进行测试。 使用tracert命令跟踪路由。其中的“2003D”是VPN服务器。如下图： 最后到VPN服务器上查看一下端口，图中显示了一个L2TP端口处于活动状态。 19、大功告成！！