《windows 組網(wǎng)實訓(xùn)教程》課件第13章

第十三部分VPN的安裝與配置實驗四十四安裝和配置VPN服務(wù)器實驗四十五配置客戶端來訪問內(nèi)網(wǎng)資源

知識背景

VPN(VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò))是專用網(wǎng)絡(luò)的延伸，它包含了Internet的共享或公共網(wǎng)絡(luò)鏈接。通過VPN可以模擬點對點專用連接，通過共享或公共網(wǎng)絡(luò)在兩臺計算機(jī)之間發(fā)送數(shù)據(jù)。兩個具有VPN發(fā)起連接能力的設(shè)備(計算機(jī)或防火墻)通過Internet形成一條安全的隧道。在隧道的發(fā)起端(即服務(wù)端)，用戶的私有數(shù)據(jù)通過封裝和加密之后在Internet上傳輸，到了隧道的接收端(即客戶端)，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。通過虛擬專用網(wǎng)絡(luò)技術(shù)，可實現(xiàn)遠(yuǎn)程訪問公司的信息資源。VPN作為一種更能被認(rèn)可的方法，已經(jīng)很快地取代撥號連接服務(wù)。使用運(yùn)行在VPN服務(wù)器上的TCP/IP的NetBIOS名稱解析代理服務(wù)，WindowsServer2003不需要DNS和WINS服務(wù)器就具備支持客戶端的NetBIOS名稱解析的能力，這樣就能夠解決一些客戶端的名稱解析問題。要組建VPN的網(wǎng)絡(luò)，需要以下VPN的組件：

(1)?VPN服務(wù)器：接收來自VPN客戶端的登錄。VPN服務(wù)器能夠提供遠(yuǎn)程訪問VPN連接。

(2)?VPN客戶端：連接到VPN服務(wù)器或請求VPN服務(wù)器提供服務(wù)的遠(yuǎn)端計算機(jī)。

(3)傳輸互聯(lián)網(wǎng)絡(luò)(傳輸介質(zhì))：VPN中傳輸數(shù)據(jù)所通過的共享的或公共的網(wǎng)絡(luò)，通常是Internet或基于IP的專用Intranet。

(4)隧道和隧道協(xié)議：隧道是連接兩點間的一個專用通道，隧道協(xié)議是用來管理隧道及壓縮專用數(shù)據(jù)的協(xié)議。WindowsServer2003包括PPTP和L2TP隧道協(xié)議。

(5)?VPN連接：一旦VPN服務(wù)器建好以后，能進(jìn)行遠(yuǎn)程登錄的用戶在遠(yuǎn)端VPN客戶機(jī)上發(fā)起一次遠(yuǎn)程登錄的過程稱為VPN連接。與WindowsServer2003中的其他服務(wù)一樣，缺省情況下，路由和遠(yuǎn)程訪問服務(wù)(VPN只是其中的一個組件)都沒有激活。在激活這些服務(wù)之前，需要進(jìn)行一定的驗證工作。

WindowsServer2003在進(jìn)行VPN服務(wù)之前應(yīng)具備以下條件：

(1)服務(wù)器上至少有兩個通信設(shè)備并都已激活。兩者中至少有一個是網(wǎng)卡，它能連接企業(yè)內(nèi)部網(wǎng)絡(luò)，另一個連接外部網(wǎng)絡(luò)，為遠(yuǎn)程訪問的VPN提供連接途徑。

(2)?VPN使用TCP/IP協(xié)議，以及PPTP或L2TP協(xié)議。

(3)為保證用戶能夠通過遠(yuǎn)程VPN連接訪問內(nèi)部網(wǎng)絡(luò)的資源，必須給此用戶分配IP地址。可以通過網(wǎng)絡(luò)中的DHCP服務(wù)器，也可以通過在路由和遠(yuǎn)程訪問服務(wù)配置中定義一個地址池來完成地址分配。

(4)由于任何類型的遠(yuǎn)程訪問會帶來安全風(fēng)險，因此必須在服務(wù)器上創(chuàng)建一些嚴(yán)格的策略，如每天時間的限制、最大會話的次數(shù)以及MAC地址的限制，以降低來自外部的攻擊。實驗四十四安裝和配置VPN服務(wù)器【實驗條件】

(1)已正確安裝了WindowsServer2003。

(2)在WindowsServer2003上至少有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，另一塊連接外網(wǎng)?！緦嶒炚f明】

(1)在WindowsServer2003上安裝路由和遠(yuǎn)程訪問服務(wù)，使其成為VPN服務(wù)器。

(2)在WindowsServer2003上創(chuàng)建一個用戶，允許其遠(yuǎn)程撥號訪問?！緦嶒炄蝿?wù)】

(1)準(zhǔn)備VPN服務(wù)器的網(wǎng)絡(luò)環(huán)境。

(2)啟動“路由和遠(yuǎn)程訪問”中的VPN服務(wù)。

(3)設(shè)置遠(yuǎn)程登錄用戶“遠(yuǎn)程撥入”訪問的權(quán)利?！緦嶒?zāi)康摹?/p>

(1)熟悉VPN的實驗環(huán)境。

(2)掌握VPN的配置方法。

(3)熟練使用VPN?！緦嶒瀮?nèi)容】

一、準(zhǔn)備VPN服務(wù)器的網(wǎng)絡(luò)環(huán)境(以01小組為例)在第01小組中，一臺電腦WindowsServer2003將作為VPN服務(wù)器，一臺電腦WindowsXP或Windows2000將作為局域網(wǎng)的一個資源服務(wù)器，保存有VPN遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)的共享資源，第三臺電腦Windows2000或WindowsXP將作為VPN的客戶端。

WindowsServer2003作為VPN服務(wù)器至少有兩塊網(wǎng)卡，一塊網(wǎng)卡連接內(nèi)網(wǎng)，與局域網(wǎng)的資源服務(wù)器相連，另一塊網(wǎng)卡連接校園網(wǎng)。VPN客戶端有一塊網(wǎng)卡即可。在第一臺電腦WindowsServer2003的一塊網(wǎng)卡8139上進(jìn)行如下基本配置：

IP地址：219.220.237.10子網(wǎng)掩碼：255.255.255.252默認(rèn)網(wǎng)關(guān)：219.220.237.254

DNS：202.121.241.8

202.96.209.5在WindowsServer2003的另一塊網(wǎng)卡D-LINK上進(jìn)行如下基本配置：

IP地址：192.168.1.1子網(wǎng)掩碼：255.255.255.0默認(rèn)網(wǎng)關(guān)：首選DNS：202.121.241.8

202.96.209.5在第二臺電腦WindowsXP(作為網(wǎng)絡(luò)資源服務(wù)器)的D-LINK網(wǎng)卡上進(jìn)行如下基本配置：

IP地址：192.168.1.20子網(wǎng)掩碼：255.255.255.0默認(rèn)網(wǎng)關(guān)：192.168.1.1首選DNS：192.168.1.1第二臺電腦上的其他網(wǎng)卡禁用。在第三臺電腦Windows2000(作為VPN客戶端)的8139網(wǎng)卡上進(jìn)行如下基本配置：

IP地址：219.220.237.14子網(wǎng)掩碼：255.255.255.252默認(rèn)網(wǎng)關(guān)：219.220.237.254首選DNS：202.121.241.8

202.96.209.5第三臺電腦上其他網(wǎng)卡禁用。檢測：第一臺電腦WindowsServer2003與第三臺電腦Windows雖物理相連，但因不在同一網(wǎng)段，故它們Ping不通。而第三臺電腦Windows2000與第二臺電腦WindowsXP物理上不相連，也不相通。

二、配置VPN服務(wù)器(以01小組為例)

(1)在“管理工具”菜單中，選擇“路由和遠(yuǎn)程訪問”菜單命令，出現(xiàn)“路由和遠(yuǎn)程訪問”控制臺窗口。在左邊的“樹”欄中選中“服務(wù)器狀態(tài)”，即可從右邊看到其“狀態(tài)”正處于“已啟用”(因為在第十二部分中已啟用NAT)，點擊服務(wù)器名稱win2003s-01，此時服務(wù)器上有一個綠色的標(biāo)記。用鼠標(biāo)右鍵點擊此服務(wù)器，從快捷菜單中選擇“禁用路由和遠(yuǎn)程訪問”，先停止此服務(wù)，則服務(wù)器上出現(xiàn)紅點，表明已停止服務(wù)。

(2)用鼠標(biāo)右鍵點擊此服務(wù)器，從快捷菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”菜單命令，Windows將啟動“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А?。單擊“下一步”按鈕，出現(xiàn)如圖12-1-1所示對話框，從中選中第1個選項“遠(yuǎn)程訪問(撥號或VPN)(R)”。單擊“下一步”按鈕，出現(xiàn)“遠(yuǎn)程客戶協(xié)議”的對話框，在此協(xié)議列表中至少有一個TCP/IP協(xié)議，選“是，所有可用的協(xié)議都在列表上”。單擊“下一步”按鈕，出現(xiàn)如圖13-1-1所示的“VPN連接”頁面，在“網(wǎng)絡(luò)接口”列表中選擇一個服務(wù)器所使用的外網(wǎng)(Internet)連接(用來讓遠(yuǎn)程計算機(jī)登錄的Internet連接)，這里選的是“本地連接”(Realtek8139那塊網(wǎng)卡)，并選擇“通過設(shè)置基本防火墻來對選擇的接口進(jìn)行保護(hù)”復(fù)選框，然后單擊“下一步”按鈕。

(3)在回答“您想如何對遠(yuǎn)程客戶機(jī)分配IP地址？”的詢問時，除非你已在服務(wù)器端安裝好了DHCP服務(wù)器且已啟用，否則必須在此處選擇“來自一個指定的IP地址范圍”選項(推薦)，如圖13-1-2所示。

(4)在“指定地址范圍”對話框中單擊“新建”按鈕，如圖13-1-3所示。增加地址范圍，這里要指定與VPN服務(wù)器一端的局域網(wǎng)同一網(wǎng)段的地址范圍，最好使你所選擇的地址范圍不在DHCP服務(wù)器定義的DHCP作用域范圍之內(nèi)，以防止出現(xiàn)地址沖突。這里設(shè)定起始IP地址是192.168.1.100，終止IP地址是192.168.1.124，如圖13-1-4所示。單擊“確定”按鈕后，回到圖13-1-3窗口，并在地址范圍中出現(xiàn)剛新增的一行。圖13-1-1圖13-1-2圖13-1-3圖13-1-4

(5)提供遠(yuǎn)程訪問服務(wù)的關(guān)鍵問題是認(rèn)證。如果沒有認(rèn)證，任何人只要到達(dá)你的VPN服務(wù)器就能夠訪問你的內(nèi)部網(wǎng)絡(luò)。如果你的網(wǎng)絡(luò)中有一個遠(yuǎn)程認(rèn)證撥號用戶服務(wù)(RADIUS)的服務(wù)器，WindowsServer2003VPN服務(wù)將利用該服務(wù)器來進(jìn)行認(rèn)證。如果沒有RADIUS服務(wù)器，就只好使用“路由和遠(yuǎn)程訪問”服務(wù)來處理認(rèn)證工作。在“管理多個遠(yuǎn)程訪問服務(wù)器”窗口中，選“不，我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”，如圖13-1-5所示，然后單擊“下一步”按鈕。圖13-1-5

(6)如果選擇了使用現(xiàn)存的DHCP服務(wù)器，安裝向?qū)⑼ㄖ惚仨氃试SDHCP轉(zhuǎn)發(fā)給客戶端。單擊“確定”按鈕后，將自動出現(xiàn)一個正在開始“路由和遠(yuǎn)程訪問服務(wù)”的小窗口。完成后，在服務(wù)器上的紅點變?yōu)榫G點，表明路由和遠(yuǎn)程訪問服務(wù)已經(jīng)啟用。在“遠(yuǎn)程與路由訪問”窗口顯示虛擬專用網(wǎng)絡(luò)配置成功的信息，并在左列窗口中顯示具體所支持的接口與協(xié)議。

(7)打開“管理工具”中的“服務(wù)”，在右窗口中即可以看到許多的“Routing”類的服務(wù)，其中有一個“RoutingandRemoteAccess”(路由和遠(yuǎn)程訪問)項在狀態(tài)欄，為“已啟動”狀態(tài)，在啟動類別下為“自動”，如圖13-1-6所示。圖13-1-6三、賦予用戶撥入的權(quán)限默認(rèn)情況下，任何用戶均被拒絕撥入到服務(wù)器。因此，要給一個用戶賦予撥入到此服務(wù)器的權(quán)限，首先從“ActiveDirectory用戶和計算機(jī)”中找到此用戶或新建一個用戶，如“abc”。在其上單擊右鍵，選擇“屬性”。在該用戶屬性窗口中選擇“撥入”選項卡，在“遠(yuǎn)程訪問權(quán)限(撥號或者VPN)”下選中“允許訪問”，如圖13-1-7所示。注意，通常不要對管理員用戶“Administrator”賦予此撥入權(quán)限，一旦開放并被非法利用，后果將十分嚴(yán)重。圖13-1-7實驗四十五配置客戶端來訪問內(nèi)網(wǎng)資源【實驗條件】

(1)在WindowsServer2003上安裝和配置了VPN服務(wù)。

(2)按實驗四十四中的網(wǎng)絡(luò)環(huán)境進(jìn)行了相關(guān)配置?！緦嶒炚f明】

(1)配置Windows2000，使之成為VPN客戶端。

(2)同理也可配置WindowsXP作為VPN客戶端(同學(xué)們自己練習(xí))?！緦嶒炄蝿?wù)】

(1)在Windows2000建立VPN專用連接。

(2)配置“虛擬專用連接”的連接屬性。

(3)登錄VPN服務(wù)器，遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)的共享資源?！緦嶒?zāi)康摹?/p>

(1)熟悉VPN的實驗環(huán)境。

(2)掌握VPN客戶端的配置方法。

(3)熟練掌握VPN服務(wù)。【實驗內(nèi)容】

一、在Windows2000上配置VPN客戶端(以01小組為例)在Windows2000系統(tǒng)中，“虛擬專用網(wǎng)絡(luò)”是自動安裝在系統(tǒng)中的，因此可以直接進(jìn)行VPN連接的建立，具體步驟如下：

(1)打開“控制面板”，雙擊“網(wǎng)絡(luò)和撥號連接”圖標(biāo)，或右鍵單擊桌面上的“網(wǎng)上鄰居”并選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)和撥號連接”窗口。雙擊“新建連接”圖標(biāo)，啟動“網(wǎng)絡(luò)連接向?qū)А辈螕簟跋乱徊健卑粹o。在“網(wǎng)絡(luò)連接向?qū)А睂υ捒蛑羞x擇“通過Internet連接到專用網(wǎng)絡(luò)”，然后單擊“下一步”按鈕，如圖13-2-1所示。圖13-2-1

(2)如果在建立到目標(biāo)計算機(jī)的隧道之前需要建立與ISP供應(yīng)商之間的連接，選擇“自動撥此初始連接”選項，并在“撥號連接”列表中選擇已經(jīng)建立好的與ISP的連接，然后單擊“下一步”按鈕；如果不想自動撥打初始連接，請選擇“不撥初始連接”，如圖13-2-2所示，再單擊“下一步”按鈕。圖13-2-2

(3)在圖13-2-3中，鍵入要連接的VPN服務(wù)器的DNS名稱或IP地址(即WindowsServer2003的外網(wǎng)IP地址，為219.220.237.10)，然后單擊“下一步”按鈕。

(4)在圖13-2-4中，如果允許所有用戶都可以使用這個連接(參見圖13-2-4中的說明)，選擇“所有用戶使用此連接”，如果只想自己使用該連接，選擇“只是我自己使用此連接”，然后單擊“下一步”按鈕。圖13-2-3圖13-2-4

(5)在圖13-2-5中，為此連接輸入一個連接名稱，缺省的名稱是“虛擬專用連接”，并選中“在我的桌面上添加一快捷方式”復(fù)選框，單擊“完成”按鈕，可創(chuàng)建快捷方式。圖13-2-5三、設(shè)置虛擬專用連接的屬性

(1)默認(rèn)情況下，使用該“虛擬專用連接”時，只有用戶名和密碼的選項。如果要添加“域”選項，使VPN遠(yuǎn)程客戶機(jī)登錄到一個域控制器，則選中剛建立的“虛擬專用連接”，右擊“屬性”，在如圖13-2-6所示的“選項”選項卡上選擇“包含Windows登錄域”復(fù)選框。圖13-2-6

(2)在“常規(guī)”選項卡中可以更改“目的地的主機(jī)名或IP地址”的內(nèi)容，使之與遠(yuǎn)程VPN服務(wù)器保持一致。當(dāng)VPN服務(wù)器的主機(jī)名或IP地址更改時，不必再重新建立與VPN服務(wù)器的連接；在“第一次連接”中可以更改VPN的連接方式，如果不想自動撥打與ISP的連接，清除“先撥另一連接”復(fù)選框。(3)在“安全措施”選項卡中，默認(rèn)情況下WindowsServer2003為我們提供了典型的身份驗證方法和加密手段。如果不想使用典型的安全措施，可以選擇“高級(自定義設(shè)置)”選項，然后單擊“設(shè)置”按鈕，進(jìn)入“高級安全設(shè)置”對話框，根據(jù)需要來選擇合適的數(shù)據(jù)加密級別和身份驗證方法，如圖13-2-7所示。圖13-2-7

(4)在“網(wǎng)絡(luò)”選項卡中可以選擇呼叫的VPN服務(wù)器的類型。根據(jù)VPN服務(wù)器的類型，客戶機(jī)采用相應(yīng)的協(xié)議與VPN服務(wù)器進(jìn)行協(xié)商。這里有三個選擇：自動、PPTP和L2TP。如果不知道VPN服務(wù)器的類型，建議將“我正在呼叫的VPN服務(wù)器的類型”設(shè)置為自動，在進(jìn)行初始連接的過程中，客戶機(jī)首先會嘗試使用L2TP和IPSec與VPN服務(wù)器進(jìn)行協(xié)商，如果不成