收藏
下载资源

Windows2000虚拟专用网络连接方案设计设计

上传人:公**** 文档编号:493203292 上传时间:2023-03-16 格式:DOC 页数:31 大小:189.50KB
返回 下载 相关 举报
Windows2000虚拟专用网络连接方案设计设计_第1页
第1页 / 共31页
Windows2000虚拟专用网络连接方案设计设计_第2页
第2页 / 共31页
Windows2000虚拟专用网络连接方案设计设计_第3页
第3页 / 共31页
Windows2000虚拟专用网络连接方案设计设计_第4页
第4页 / 共31页
Windows2000虚拟专用网络连接方案设计设计_第5页
第5页 / 共31页
点击查看更多>>
资源描述

《Windows2000虚拟专用网络连接方案设计设计》由会员分享,可在线阅读,更多相关《Windows2000虚拟专用网络连接方案设计设计(31页珍藏版)》请在金锄头文库上搜索。

1、wordWindows 2000 虚拟专用网络连接方案 摘要 VPN 服务器的通用配置 雇员的 VPN 远程访问 按需的分支机构 持续的分支机构 业务伙伴的 Extranet 使用 RADIUS 身份验证的拨号和 VPN 小结摘要使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。在这个方案中,一个虚构的公司 Electronic, Inc. 已部署 Windows 2000 点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP) VPN 技术来创建安全远程访问、分支机构和业务伙伴连接的解决方案。本白皮书介绍了 Electronic, Inc. 的 VPN 和拨号远程访问根

2、底结构的设计和配置。 引言本白皮书介绍了如何使用 Windows 2000 操作系统为一个虚构的公司配置通用虚拟专用网络方案。尽管您的网络配置可能与这里描述的不同,但仍然可以在您的网络环境中应用虚拟专用网络的根本概念。使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。 虚拟专用网络 (VPN) 是专用网络的扩展,它包括的跨 Internet 这样的共享或公用网络。使用 VPN,您可以用模拟点对点专用的方式通过共享或公用网络在两台计算机之间传送数据。虚拟专用网络连接工作是创建和配置虚拟专用网络。 为模拟点对点,数据被提供路由信息的头封装或包裹起来,路由信息使得数据能够穿越共享或公用网

3、络而到达它的终点。为模拟专用连接,数据被加密以实现某某。没有加密密钥,在共享或公用网络上截获的数据包是无法破译的。封装并加密专用数据的是虚拟专用网络 (VPN) 连接。 Electronic, Inc. 是一个虚构的电子设计和制造公司,它的总部在纽约,并在美国各地有分支机构和分发业务伙伴。Electronic, Inc. 使用 Windows 2000 操作系统实现了一个 VPN 解决方案来连接远程访问用户、分支机构和业务伙伴。 位于企业总部的 VPN 服务器提供远程访问和路由器到路由器的 PPTP 和 L2TP VPN 连接。此外,VPN 服务器还提供到 Intranet 和 Interne

4、t 位置数据包的路由。 根据 VPN 服务器的通用配置,介绍以下虚拟专用网络方案: 雇员的 VPN 远程访问。 按需的分支机构访问。 持续的分支机构访问。 业务伙伴的 Extranet。 使用 RADIUS 身份验证的拨号和 VPN。 备注这里所描述的示例公司、单位、产品、人和事件都是虚构的。不针对也不应被推测为与任何真实的公司、单位、产品、人或事件有任何关联。VPN 服务器的通用配置要为 Electronic, Inc. 部署 VPN 解决方案,网络管理员需执行分析,并作出关于如下方面的设计决定: 网络配置。 远程访问策略配置。 域配置。 安全配置。网络配置网络配置的关键要素是: Elect

5、ronic, Inc. 企业 Intranet 使用子网掩码为 255.240.0.0 的专用网络 172.16.0.0 和子网掩码为 255.255.0.0 的专用网络 192.168.0.0。企业总部网络局部使用子网 172.16.0.0,分支机构使用子网 192.168.0.0。 VPN 服务器计算机使用 T3也称为 DS-3专用 WAN 直接接入 Internet。 根据 Electronic, Inc. 的 Internet 服务提供商的分配,WAN 适配器在 Internet 上的 IP 地址是 207.46.130.1。在 Internet 上,WAN 适配器的 IP 地址由域名

6、 vpn.electronic.microsoft. 指代。 VPN 服务器计算机直接连入一个 Intranet 网段,它包括连接 Electronic, Inc. 企业总部 Intranet 其它局部的路由器。Intranet 网段的 IP 网络 ID 是 172.31.0.0,子网掩码为 255.255.0.0。 用一个静态 IP 地址池对 VPN 服务器计算机进展配置,以分配给远程访问客户和呼叫路由器,呼叫路由器是 Intranet 网段子网上的地址池的一局部。图 1 显示 Electronic, Inc. VPN 服务器的网络配置。 图 1 Electronic, Inc. VPN 服

7、务器的网络配置根据 Electronic, Inc. 企业总部 Intranet 的网络配置,VPN 服务器计算机做如下配置: 1. 安装 VPN 服务器上的硬件。根据网络适配器制造商的说明书,安装用于连接 Intranet 网段的网络适配器和用于连接 Internet 的 WAN 适配器。一旦驱动程序安装好并且可以运行,两个适配器就作为本地连接出现在“网络和拨号连接文件夹中。2. 配置 LAN 和 WAN 适配器上的 TCP/IP。对 LAN 适配器,配置 IP 地址 172.31.0.1,子网掩码为 255.255.0.0。 对 WAN 适配器,配置 IP 地址 207.46.130.1,

8、子网掩码为 255.255.255.255。任何一个适配器都没有配置默认网关。另外还配置了 DNS 和 WINS 服务器地址。3. 安装路由和远程访问服务。运行“路由和远程访问服务器安装向导。在该向导中,选择手动配置服务器选项。有关详细信息,请参见附录 A 中“启用路由和远程访问服务的过程。向导完毕之后,配置了一个静态 IP 地址池,以 IP 地址 172.31.255.1 开始,以 IP 地址 172.31.255.254 完毕。这样就为多达 253 个 VPN 客户创建了静态地址池。 有关详细信息,请参见附录 A 中“创建静态 IP 地址池的过程。 验证远程访问和请求拨号连接的默认方法是使

9、用 Windows 身份验证,这种方法在这个只包括一个 VPN 服务器的配置中是恰当的。有关 Electronic, Inc. 使用 RADIUS 身份验证的信息,请参见本文中的“使用 RADIUS 的拨号和 VPN局部。有关使用 Windows 和 RADIUS 身份验证的详细信息,请参见 Windows 2000 Server 帮助中标题为“身份验证和授权的主题。4. 启用 EAP 身份验证方法。要能使用基于智能卡的远程访问 VPN 客户和基于证书的呼叫路由器,网络管理员应在 VPN 服务器上启用可扩展身份验证协议 (EAP)。有关详细信息,请参见附录 A 中的“启用 EAP过程。5. 在

10、 VPN 服务器上配置静态路由,以到达 Intranet 和 Internet 位置。要到达 Intranet 位置,可使用以下设置配置静态路由: o 接口:连接 Intranet 的 LAN 适配器 o 目的位置:172.16.0.0 o 子网掩码:255.240.0.0 o 网关:172.31.0.2 o 跃点数:1 此静态路由通过汇总 Electronic, Inc. Intranet 上的所有目的位置来简化路由。因为使用了此静态路由,所以不需要为 VPN 服务器配置像 RIP 或 OSPF 一样的路由协议。有关路由根底的更多信息,请参见位于 的 Unicast Routing Prin

11、ciples 白皮书和 Windows 2000 Server 帮助。要到达 Internet 位置,可使用以下设置配置静态路由: o 接口:连接 Internet 的 WAN 适配器 o 目的位置:0.0.0.0 o 子网掩码:0.0.0.0 o 网关:0.0.0.0 o 跃点数:1 此静态路由汇总 Internet 上的所有位置。此路由允许 VPN 服务器响应来自 Internet 上任何地方的远程访问客户或请求拨号路由器 VPN 连接。备注因为 WAN 适配器创建到 ISP 的点对点连接,所以可以为网关输入任何地址。如网关地址 0.0.0.0 就是一个例子。0.0.0.0 是未指定的 I

12、P 地址。6. 增加 PPTP 和 L2TP 端口的数量。默认情况下,只为 VPN 连接启用了五个 L2TP 端口和五个 PPTP 端口。将 L2TP 和 PPTP 端口的数目增加到 253。有关详细信息,请参见附录 A 中“添加 PPTP 或 L2TP 端口的过程。7. 配置基于 IPSec 的 PPTP 和 L2TP 数据包筛选器。基于 IPSec 的 PPTP 和 L2TP 数据包筛选器都是在连接到 Internet 的 WAN 适配器上配置的。要保证除了来自分支机构路由器或远程访问客户的基于 IPSec 的 PPTP 和 L2TP 通信,禁止 VPN 服务器通过其 Internet 接

13、口发送或接收任何通信,必须在 Internet 接口上配置基于 IPSec 的 PPTP 和 L2TP 输入和输出筛选器。由于 IP 路由是在 Internet 接口上启用的,如果不在 VPN 服务器的 Internet 接口上配置基于 IPSec 的 L2TP 和 PPTP 筛选器,那么从 Internet 接口接收的任何通信都会被路由,这就可能将不需要的 Internet 通信转发到 Intranet 上。有关详细信息,请参见附录 A 中“添加 PPTP 数据包筛选器和“添加 L2TP 数据包筛选器的过程。有关 IP 数据包筛选的详细信息,请参见 Windows 2000 Server 帮

14、助和“Microsoft Windows 2000 Server 资源工具包连网指南。8. 为 PPTP 和 L2TP 设备设置。要协助配置限制来自 Internet 用户 VPN 连接的远程访问策略,WAN 微型端口 (PPTP)和 WAN 微型端口 (L2TP) 设备的端口属性 - 此设备的字段,都被修改为 VPN 服务器 Internet 接口的 IP 地址。有关详细信息,请参见附录 A 中“设置设备上的的过程。9. 在 Intranet 路由器上配置静态路由以到达所有的分支机构。要从 Intranet 路由器到达分支机构位置,可使用以下设置配置静态路由: o 接口:连接 Intrane

15、t 的 LAN 适配器 o 目的位置:192.168.0.0 o 子网掩码:255.255.0.0 o 网关:172.31.0.1 o 跃点数:1 该静态路由通过汇总 Electronic, Inc. 分支机构的所有位置来简化路由。远程访问策略配置Electronic, Inc. 已经迁移到基于 Windows 2000 的本机模式域,并且 Electronic, Inc. 的网络管理员已经决定使用根据策略访问的管理模式。所有用户某某的远程访问许可都被设置为通过远程访问策略控制访问。向连接请求授予远程访问权限是由第一个匹配的远程访问策略上的远程访问权限设置控制的。远程访问策略用于根据组成员身份应用不同的 VPN 连接设置,可删除称为如果启用拨入许可,就允许访问的默认远程访问策略。 有关详细信息,请参见 Windows 2000 Server 帮助中的“远程访问策略管理模型主题。 域配置为充分利用对不同类型的 VPN 连接应用不同连接设置的能力,创建了如下 Windows 2000 组: VPN_Users用于远程访问 VPN 连接 VPN_Routers用于来自 Electronic, Inc. 分支机构的路由器到路由器 VPN 连接 VPN_Partners用于来自 Electronic, Inc. 业务伙

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号