网管网络管理员+(12)

《网管网络管理员+(12)》由会员分享，可在线阅读，更多相关《网管网络管理员+(12)（61页珍藏版）》请在金锄头文库上搜索。

1、第十二章大型VPN系统配置示例与故障排除,本章重点 Windows 98/2000 Professional/XP系统远程访问VPN的建立 远程访问VPN服务器的配置 PPTP路由器到路由器VPN方案的部署 L2TP路由器到路由器VPN方案的部,11.1 总体方案说明,【本章示例】小王所在公司是一个国际跨国公司，在广东省有三家子公司（分别位于广州市、珠海市和东莞市）和两个分支办公室（都位于广州市）。因被VPN通信的优势吸引，广州子公司要求广东省的三个子公司和两个分支办公室统一采用VPN通信方式连接。然后位于广州的子公司再集中以专线方式与大陆广州子公司连接。三个子公司在互联网上有独立的域名，现假

2、设为、和；而两个分支办公室在互联网上没有申请域名。而且广州子公司要求，各子公司在建设VPN服务器时要同时考虑到公司外出员工也可以通过VPN方式与公司网络通信；而各子公司间则需要能进行双向VPN通信。同时三个子公司和其合作伙伴间也可以进行VPN通信。,总体网络结构如下图所示。,11.2 广州子公司VPN服务器的安装,在Windows 2000 Server/Server 2003系统中，均可利用系统自带的“路由和远程访问”服务来配置VPN服务器，grfw集团的三个子公司均采用Windows Server 2003系统部署VPN服务器。 在这两个系统所支持的VPN技术中，有两种不同的VPN通信方式

3、，适用于两类不同用户选择使用，它们就是俗称的“远程访问VPN”和“路由器到路由器VPN”。前者也称之为“Access VPN”（远程访问VPN），后者又包括“Intranet VPN（企业内联VPN）”和“Extranet VPN（企业外联VPN）”。前者是采用Client-to-LAN（客户端到局域网）的模式；而后者所采用的是LAN-to-LAN（局域网到局域网）模式。前者适用于单机用户与企业VPN服务器之间的VPN通信连接，如本示例中的移动办公用户和分支办公室用户与相应公司的VPN服务器之间的通信，只需要一方配置VPN服务器即可；而后者适用于两个企业局域网VPN服务器之间的VPN通信，如各

4、子公司，以及主要合作伙伴与相应子公司间的VPN通信，需要通信的双方都部署了VPN服务器。,远程访问VPN是一种在计算机（VPN客户端）与企业服务器（VPN服务器）之间的点对点连接。这种远程访问VPN连接只能是单向的，即由远程客户端向VPN服务器发起连接请求，VPN服务器端不可能向客户机发起连接请求。典型的网络结构如下图所示。,“路由器到路由器VPN连接”。这种VPN连接是双向的，即连接的双方用户都可以对对方发起VPN通信连接，所访问的资源通常也是对方整个网络资源。通过Internet被路由的VPN连接逻辑上作为专用的WAN链接来操作。这种路由器到路由器VPN连接的典型网络结构如下面左图所示，而

5、其逻辑等价网络结构如下面右图所示。,在Windows 2000 Server以前版本系统中是把两种不同类型的VPN服务器放在一起来部署的，但在Windows Server 2003系统中以上远程访问VPN服务器和路由器到路由器VPN则分开了。本节采用自定义的方式来安装VPN服务器 在Windows Server 2003系统中，安装VPN服务器的基本方法是在如下面左图所示的“路由和远程访问” 控制台窗口中进行的。在本地服务器名上单击鼠标右键，选择“配置并启用路由和远程访问服务”快捷菜单选项，打开 “欢迎使用路由和远程访问服务器安装向导”对话框。然后在下面右图所示对话框中选择“自定义配置”单选项

6、。,在上页右图所示对话框中单击“下一步”按钮后，在打开的下面左图所示对话框中选择“VPN访问”、“请求拨号连接”、“NAT和基本防火墙”和“LAN路由”四个复选项。后面的步骤参见书中介绍。安装了VPN服务器后的“路由和远程访问”控制台窗口台下面右图所示。,11.3 广州子公司VPN服务器的通用网络配置,VPN服务器的通用配置主要需从以下几个方面进行充分考虑： 网络配置。 远程访问策略配置。 域配置。 安全配置。 11.3.1 网络配置 网络配置的关键要点如下： 因广州子公司的网络规模较大，工作站数达到了近2000个，远大于C类IP地址所允许的最大数254，所以大陆子公司采用了一个专用的B类IP

7、地址，网络ID为172.16.0.0。然后划分成了32个子网，各子网的子网掩码为255.255.248.0。,广州子公司使用的网段为172.16.9.0172.16.16.255。公司域控制器所使用的IP地址为172.16.9.1、172.16.9.2、172.168.9.3三个；VPN服务器分配的局域网IP地址为172.16.9.10。 VPN服务器计算机通过使用T3（也叫DS-3，传输速率达44.736Mbps）的专用WAN链接可以直接连接到Internet。 广州子公司的VPN服务器直接与互联网连接，WAN适配器的IP地址是207.46.130.1，由公司的Internet服务提供商分配

8、。公司VPN服务器WAN适配器的IP地址所对应的Internet域名为“”（在其上先要安装配置好IIS，配置一个相应域名的Web站点）。 公司准备使用IP地址静态池配置VPN服务器，以分配远程访问客户端和呼叫路由器IP地址。这个IP地址池确定为172.16.16.1172.16.16.254，共254个。 具体配置参见书中介绍。,11.3.2 配置“路由和远程访问”服务,“路由和远程访问”服务的基本配置方法是如下左图所示属性对话框中选择“远程访问服务器”和“路由器”两个复选项，并选择“用于局域网和请求拨号路由选择”单选项；在下面右图所示对话框中选择“IP地址指派”项下的“静态地址池”单选项，并

9、为其添加一个从172.16.16.1到172.16.16.254的静态IP地址池。具体配置方法参见书中介绍。,11.3.3 启用EAP身份验证方法,为了允许使用基于智能卡的远程访问VPN客户和基于证书的呼叫路由器，所以需要启用VPN服务器上的“可扩展身份验证协议”（EAP）。 基本配置方法是在下面左图所示对话框中单击“身份验证方法”按钮，打开如下右图所示的对话框。在这个对话框中选择“可扩展的身份验证协议（EAP）”复选项，然后再单击“EAP方法”按钮，在打开的对话框中选择“智能卡或其他证书”EAP身份验证方式。具体配置方法参见书中介绍。,11.3.4 配置静态路由以访问Intranet和Int

10、ernet站点,要确保VPN客户通过VPN服务器所进行的VPN连接能到达公司企业网Intranet内部位置，需用以下设置配置VPN服务器的静态路由： 接口：连接到公司Intranet的LAN适配器。注意这个接口不是请求拨号接口，而是VPN服务器本地连接物理接口。 目标：172.16.0.0（这是整个集团公司共用的Intranet网络ID）。 子网掩码：255.255.248.0（划分成32个子网后的子网掩码）。 网关：172.16.9.11（企业Intranet路由器连接VPN服务器相应端口IP地址）。 跃点数：1。 配置方法是在“路由和远程访问”窗口左侧“IP路由选择”项下的“静态路由”选项

11、上单击鼠标右键，在弹出的快捷菜单中选择“新建静态路由”选项，打开如下页左图所示的对话框。在其中按以上配置即可。,同时，要确保广州子公司Intranet用户能通过VPN服务器到达Internet（因特网）位置，需用以下设置配置VPN服务器的静态路由（参见下面右图所示对话框）： 接口：公司VPN服务器上与Internet连接的WAN适配器，因为广州子公司是采用T3专用WAN线路与Internet ISP连接的，所以这个接口也是用于本地连接的物理端口。 目标：0.0.0.0（默认路由）。 子网掩码：0.0.0.0。 网关：0.0.0.0（默认网关）。 跃点数：1。,11.3.5 增加PPTP和L2T

12、P端口数,在默认情况下，在Windows Server 2003系统中的VPN服务器只有128个L2TP端口和128个PPTP端口可启用VPN连接（Windows 2000 Server系统中只默认提供各5个端口）。为了满足广州子公司的VPN通信需求，现需将VPN服务器的L2TP和PPTP协议端口数各增加到254个（与前面配置的静态IP地址池一致）。 基本配置方法是在“路由和远程访问”窗口左侧的“端口”选项上单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，打开如下页左图所示的对话框。选择“WAN微型端口（PPTP）”项，单击“配置”按钮，打开如下页右图所示的对话框。在其中的“最多端口数”栏中

13、将值设为254。同时为了满足公司远程访问VPN和路由器到路由器VPN连接的需求，还需选择对话框中的“请求拨号路由选择连接（入站,和出站）”复选项。因为还要允许移动办公用户远程访问VPN连接，所以还需要选择“远程访问连接（仅入站）”复选项。 具体配置方法参见书中介绍。,11.3.6 配置PPTP和IPSec L2TP数据包筛选器,因为默认情况下，在Intranet接口和与Internet连接相对应的接口上会启用IP路由，运行Windows Server 2003操作系统的计算机在Internet和Intranet之间转发IP数据包。这在Intranet和Internet上可能的入侵者之间提供一个

14、直接、路由的连接。为了保护Intranet，以使转发到Intranet的惟一通信是通过安全VPN连接发送或接收的，必须在Internet接口上使用PPTP或L2TP/IPSec筛选器。如果网络中有防火墙，则必须在防火墙上配置数据包筛选器才能使VPN路由器和Internet路由器之间进行通信。 要设置PPTP输入/输出筛选器，则必须配置三个输入/输出筛选器，并选择适当的筛选器操作。六个筛选器一起工作以完成PPTP筛选，除非六个筛选器都设置正确，否则PPTP筛选是不安全的。,1PPTP配置筛选器配置 先配置入站筛选器。基本配置方法是在“路由和远程访问”窗口左侧单击“IP路由选择”项下的“常规”选项

15、，在右边详细列表窗口中选择VPN服务器用于WAN链接的网络适配器，单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，打开如下面左图所示对话框。单击“入站筛选器”按钮，打开如下右图所示对话框。单击“新建”按钮，在打开的对话框中选中“目标网络”复选项，然后在“IP地址”文本框输入WAN适配器的IP地址“207.46.130.1”，在“子网掩码”文本框中输入“255.255.255.255”。在“协议”下拉列表中选择“其他”协议，这时会在下面出现“协议号”选项，在“协议号”文本框中输入“47”，如下页上排左图所示。,按上述同样的方法添加其他两个PPP筛选器。只不过，对应的筛选器配置不一样而已。对应的

16、配置参见下面上排右图和下面的下排左图所示。最终的PPP筛选器配置如下面的下排右图所示。具体配置方法参见书中介绍。,出站筛选器的配置方法与入站筛选器的配置类似，三个出站筛选器的配置图分别如下面的上排左图、右和下排左图所示。具体配置方法参见书中介绍。,2IPSec的L2TP筛选器的配置 同样，在正式添加、配置基于IPSec的L2TP筛选器之前，也需要注意：要设置基于IPSec的L2TP输入/输出筛选器，必须配置两个筛选器并选择适当的筛选器操作。所有四个基于IPSec的L2TP输入/输出筛选器协同工作完成基于IPSec的L2TP筛选。除非所有四个筛选器都设置正确，否则基于IPSec的L2TP筛选器是不安全的。 基本配置方法是在“路由和远程访问”窗口左侧“IP路由选择”项下的“常规”选项，在右边详细列表中选择要启用L2TP筛选器的接口上单击鼠标右键，选择“属性”选项，在打开的对话框如下面左图所示。然后单击“入站筛选器”按钮，打开如下面右图所示对话框。,单击