项目10--架设VPN服务器

（第2版）《WindowsServer2003系统管理与网络管理》2020年5月24日项目10架设VPN服务器项目10架设VPN服务器项目情境岭南信息技术有限公司最近在长沙成立了一家分公司，分公司和总公司之间经常会有业务往来，每天都需要相互传送大量数据，公司管理层为了方便对分公司的管理，提高工作效率，希望分公司的局域网和总公司的局域网能连接起来，就好像总公司和分公司在同一个局域网中，能否实现管理层的这种需求呢？公司的员工经常需要出差，由于工作的需要，他们经常需要获得公司的一些资料。能不能有一种方式使他们能随时随地地访问公司的局域网并获取所需的资料呢？为了实现管理层的要求和出差员工的需求，必须建立远程访问服务器，那么如何保证这些服务器的安全呢？能否只在上班时间给特定的用户使用这些远程访问服务的权限呢？项目10架设VPN服务器项目分析（1）在总公司建立VPN服务器，利用隧道技术可以实现外网用户安全的访问内网资源，满足管理层和出差员工的需求。（2）为了保证VPN服务器的安全，可以通过设置远程访问策略的方式加强对VPN服务器的管理，使VPN服务器只为特定的用户在特定的时间开放连接。项目10架设VPN服务器项目目标（1）理解远程访问连接的含义。（2）学会VPN服务器和客户端进行配置。（3）学会根据应用需求配置远程访问策略。项目10架设VPN服务器项目任务任务1VPN服务器配置任务2VPN客户端配置任务3远程访问策略配置项目10架设VPN服务器任务1VPN服务器配置1任务1VPN服务器配置任务知识准备1．远程访问连接简介远程访问是指通过使用拨号远程访问或VPN技术，将远程用户的计算机连接到公司内部局域网中，使远程用户的计算机能访问公司内部局域网中的共享资源。利用WindowsServer2003的“路由和远程访问”服务可以为用户提供拨号远程访问和虚拟专用网（VPN）两种不同类型的远程访问连接。任务1VPN服务器配置（1）拨号远程访问。通过使用ISP（如PSTN或ISDN）提供的接入服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。如图10.1所示。图10.1拨号远程访问任务1VPN服务器配置（2）虚拟专用网（VPN）。VPN是通过专用网络或公用网络（如Internet）建立的安全的、点对点的连接。VPN客户端使用隧道协议，对VPN服务器的虚拟端口进行虚拟呼叫，以建立专用连接。远程的VPN服务器接受虚拟呼叫，验证呼叫方身份，并在虚拟专用网客户端和企业网络之间安全地传送数据，如图10.2所示。图10.2VPN访问任务1VPN服务器配置2．VPN技术特点•VPN技术之所以成功、高效，主要是因为VPN可以使用隧道、身份验证和加密等技术来建立一个安全的网络连接。最突出的特点就是以下几个方面。（1）低成本运行。（2）高安全性。（3）服务质量保证（QoS）。（4）可扩充性和灵活性。（5）可管理性。•由此可见，由于VPN本身所固有的巨大优势，使得其在近年来飞速发展起来。任务1VPN服务器配置3．VPN组成•一个虚拟专用网由VPN服务器、VPN客户端、LAN协议和远程访问协议、隧道协议等部分构成，所有的VPN组成及常用的配置如图10.3所示。这四种隧道协议在OSI七层模型中所处的位置如表10.1所示。图10.3所有的VPN组成及常用的配置OSI参考模型安全协议网络层IPsec数据链路层L2F/PPTP/L2TP表10.1各种隧道协议在OSI模型中的层次任务1VPN服务器配置任务实施1．任务实施拓扑结构（见图10.4）图10.4架设VPN服务器网络拓扑结构任务1VPN服务器配置任务实施2．配置并启用VPN服务（1）打开“路由和远程访问服务器安装向导”对话框。单击“开始→程序→管理工具→路由和远程访问”，打开“路由和远程访问”窗口。用鼠标右键单击服务器，在弹出的菜单中选择“配置并启用路由和远程访问”，如图10.5所示。图10.5配置并启用路由和远程访问任务1VPN服务器配置任务实施（2）选择VPN连接。单击“下一步”按钮，出现配置界面，在此选择“远程访问（拨号或VPN）”选项，如图10.6所示。单击“下一步”按钮，出现远程访问界面，可以选择创建拨号或VPN远程访问连接，在此选择“VPN”选项，如图10.7所示。图10.6配置界面图10.7远程访问界面任务1VPN服务器配置（3）选择连接到Internet的网络接口。单击“下一步”按钮，出现VPN连接界面，选择连接到Internet的网络接口“本地连接2”，如图10.8所示。（4）为VPN客户端指派IP地址范围。单击“下一步”按钮，出现IP地址指定界面，可以设置指派给VPN客户端的IP地址从DHCP服务器获取或指定一个范围，如图10.9所示。图10.8选择连接到Internet的网络接口图10.9IP地址指定界面任务1VPN服务器配置单击“下一步”按钮，出现地址范围指定界面，可以指定指派给VPN客户端的IP地址范围。单击“新建”按钮，出现“新建地址范围”对话框，如图10.10所示。单击“确定”按钮，返回地址范围指定界面，如图10.11所示，可以看到已经指定了一段客户端IP地址范围。图10.10地址范围指定界面图10.11IP地址范围指定后的效果任务1VPN服务器配置（5）结束VPN配置。单击“下一步”按钮，出现管理多个远程访问服务器界面，可以指定身份验证的方法是路由和远程访问服务器还是RADIUS服务器，如图10.12所示。单击“下一步”按钮，显示了之前步骤所配置的信息。单击“完成”按钮，出现如图10.14所示的对话框，表示需要配置DHCP中继代理程序。图10.12管理多个远程访问服务器图10.14DHCP中继代理信息任务1VPN服务器配置（6）查看VPN服务器状态。单击“确定”按钮，完成VPN服务器的创建，返回如图10.15所示“路由和远程访问”控制台。单击“端口”，在“路由和远程访问”控制台右侧界面中显示的所有端口状态都为“不活动”，如图10.16所示。图10.15VPN服务器配置完成后效果图10.16查看端口状态任务1VPN服务器配置3．VPN服务的停止和启动（1）使用net命令。以管理员身份登录到VPN服务器上，在命令提示符界面中，输入命令“netstopremoteaccess”可以停止VPN服务，输入命令“netstartremoteaccess”可启动VPN服务，如图10.18所示。（2）使用“路由和远程访问”控制台。在“路由和远程访问”控制台中，用鼠标右键单击服务器，在弹出的菜单中选择“所有任务→停止或启动”就可停止和启动VPN服务，如图10.19所示。图10.18使用net命令停止和启动VPN服务图10.19任务1VPN服务器配置VPN服务停止后，“路由和远程访问”控制台如图10.20所示，显示红色向下的标识箭头。（3）使用“服务”控制台。单击“开始→程序→管理工具→服务”，打开“服务”控制台，用鼠标右键单击服务“RoutingandRemoteAccess”，在弹出的菜单中选择“停止”或“启动”，就可停止或启动VPN服务，如图10.21所示。图10.20VPN服务停止后的效果图10.21任务1VPN服务器配置4．配置允许VPN连接的客户端账户以管理员身份打开“计算机管理”控制台，展开“本地用户和组”，在“用户”栏的右侧界面用鼠标右键单击，得到如图10.22所示界面，选择“新用户”，可以得到如图10.23所示界面，新建用户名为“vpnuser01”的用户，并设置密码，选择“用户不能更改密码”复选框。图10.22为客户端新建账户图10.23为客户端设置密码任务1VPN服务器配置为客户端新建vpnuser01账户后，右键单击该账户，选择“属性”，如图10.24所示。在“vpnuser01属性”对话框中选择“拨入”选项卡。在“远程访问权限（拨入或VPN）”区域中选择“允许访问”，如图10.25所示，然后单击“确定”按钮。图10.24对客户端进行设置图10.25设置远程访问权限项目10架设VPN服务器任务2VPN客户端配置2任务2VPN客户端配置任务知识准备•VPN是通过公共网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。•VPN客户端在进行IP地址配置时，通常有两种可能的情况:第一种是VPN服务器设置了DHCP功能，此时，客户端可以采用自动获取IP地址的方式，第二种是VPN服务器未设置DHCP功能，此时，客户端需要将IP地址配置在和VPN服务器公网IP相同的网段，否则，无法进行拨号连接。•本任务采用第一种方式，即在客户端设置了IP地址，地址为210.100.100.40，本任务采用和任务1相同的拓扑结构，客户端分别采用WindowsXP和Windows7进行实验。优点：可在同一IP地址上创建大量站点://192.168.0.1:8081优点：所有网站都可以使用默认的80端口优点：可以在一个IP地址上配置多个网站，对用户透明任务2VPN客户端配置任务实施1．在客户端建立并测试VPN连接VPN客户端需要连接到VPN服务器上，必须进行相应的配置，本部分分别以WindowsXP和Windows7为例，说明配置的具体步骤。（1）WindowsXP客户端配置。①在客户端新建VPN连接。以本地管理员账户登录到VPN客户机上，用鼠标右键单击桌面的“网上邻居”，在弹出的菜单中选择“属性”，打开如图10.26所示网络连接界面。任务2VPN客户端配置单击左边网络任务框中的“创建一个新的连接”，将打开如图10.27所示欢迎使用新建连接向导界面，通过该界面可以建立连接，从而连接到Internet或专用网络。单击“下一步”按钮，出现网络连接类型界面，可以指定建立的连接类型，在此选择“连接到我的工作场所的网络”选项，如图10.28所示。图10.27新建连接向导图10.28设置网络连接类型任务2VPN客户端配置单击“下一步”按钮，出现网络连接界面，可以建立拨号连接或VPN连接，如图10.29所示。单击“下一步”按钮，出现连接名界面，如图10.30所示。图10.29选择虚拟专用网络连接图10.30设置VPN连接名任务2VPN客户端配置单击“下一步”按钮，出现VPN服务器选择界面，在“主机名或IP地址”文本框中输入“210.100.100.1”，指定要连接的VPN服务器的IP地址，如图10.31所示。单击“下一步”按钮，出现如图10.32所示正在完成新建连接向导界面，单击“完成”按钮，连接创建完成。图10.31选择VPN服务器图10.32VPN连接创建完毕任务2VPN客户端配置在如图10.33所示“网络连接”窗口中，可以看到刚才建立的客户端VPN连接，目前的状态为断开。②未连接到VPN服务器时的测试。打开命令提示符界面，先后输入“ping192.168.2.2”和“ping192.168.2.102”测试VPN客户端和VPN服务器以及网内计算机的连通性。③连接到VPN服务器。双击如图10.33所示的“岭南信息技术有限公司”连接，打开如图10.34所示对话框，输入服务器中所设置的允许VPN连接的账户和密码，在此使用“vpnuser01”建立连接。图10.33VPN连接创建完成的效果图10.34连接VPN任务2VPN客户端配置单击“连接”按钮，经过身份验证后就可以连接到VPN服务器。如图10.35所示界面中可以看到“岭南信息技术有限公司”的状态是连接的。图10.35已经连接VPN服务器的效果任务2VPN客户端配置2．验证VPN连接VPN客户机在成功连接到VPN服务器后，可以访问公司内部局域网的共享资源，可以采用以下三种方法进行验证，具体步骤如下。（1）查看VPN客户机获取的IP地址。以本地管理员账户登录VPN客户机，