Electronic, Inc. 是一家虚构的电子产品设计和制造公司,总部设在纽约,其分公司和分销商业合作伙伴遍布美国各地。Electronic, Inc. 已经实施了一个 VPN 解决方案,使用 Windows Server 2003 来连接远程访问用户、分公司和商业合作伙伴。 公司总部的 VPN 服务器同时提供了远程访问以及站点到站点(也称为路由器到路由器)点对点隧道协议 (PPTP) 和结合 Internet 协议安全的第二层隧道协议 (L2TP/IPSec) VPN 连接。此外,VPN 服务器还对 Intranet and Internet 位置提供了数据包的路由。
网络配置的要素有:
| • |
Electronic, Inc. 的公司 Intranet 使用 IP 地址为 172.16.0.0、子网掩码为 55.240.0.0 (172.16.0.0/12) 以及 IP 地址为 192.168.0.0、子网掩码为 255.255.0.0 (192.168.0.0/16) 的专用网络。公司总部的网段使用 IP 地址为 172.16.0.0 的子网,而分公司则使用 IP 地址为 192.168.0.0 的子网。 |
| • |
VPN 服务器直接连接到使用 T3(也称为 DS-3)专用 WAN 链接的 Internet。 |
| • |
对于 Internet 上的 WAN 适配器,Internet 服务提供商 (ISP) 为 Electronic, Inc. 分配的 IP 地址为 207.46.130.1。在 Internet 上,WAN 适配器的 IP 地址由域名 vpn.electronic.example.com 引用。 |
| • |
VPN 服务器直接连接到一个 Intranet 网段,该网段包含一台连接到 Electronic, Inc. 公司总部 Intranet 其他部分的路由器。该 Intranet 网段的 IP 网络 ID 为 172.31.0.0,子网掩码为 255.255.0.0。 |
| • |
VPN 服务器配置了一个属于 Intranet 网段一部分的静态 IP 地址池(子网内地址池),以向远程访问客户端以及调用路由器分配地址。 |
图 1 显示了 Electronic, Inc. VPN 服务器的网络配置。
图 1:Electronic, Inc. VPN 服务器的网络配置
基于 Electronic, Inc. 总公司 Intranet 的网络配置,VPN 服务器的配置如下:
|
1. |
在 VPN 服务器上安装硬件。 根据适配器制造商的说明,安装用于连接到 Intranet 网段的网络适配器和用于连接到 Internet 的 WAN 适配器。一旦驱动程序安装完毕并正常运行,两个适配器都将作为网络连接中的本地连接。 | ||||||||||||||||||||
|
2. |
在 LAN 和 WAN 适配器上配置 TCP/IP。 对于 LAN 适配器,其 IP 地址和子网掩码分别被配置为 172.31.0.1 和 255.255.0.0。而对于 WAN 适配器,其 IP 地址和子网掩码分别被配置为 207.46.130.1 和 255.255.255.255。未对这两个适配器配置默认网关。同时,还配置了域名系统 (DNS) 和 Windows Internet 名称服务 (WINS) 服务器地址。 | ||||||||||||||||||||
|
3. |
配置路由和远程访问服务。 路由和远程访问服务最初通过“路由和远程访问服务器安装向导”进行配置。若要运行该向导,请在“路由和远程访问”管理单元中右键单击服务器的名称,然后单击“配置并启用路由和远程访问”。通过下列设置配置 VPN 服务器: 配置:远程访问(拨号或 VPN) 远程访问:VPN VPN 连接:单击与连接到 Internet 的接口相对应的连接 IP 地址分配:单击“来自一个指定的地址范围”,并创建一个从 172.31.255.1 到 172.31.255.254 的范围。这将为多达 253 个 VPN 客户端创建一个静态地址池。 管理多台远程访问服务器:单击“否,使用路由和远程访问来对连接请求进行身份验证” 对远程访问和请求拨号连接进行身份验证的默认方法是:使用 Windows 身份验证。该方法适合于此配置(只有一台 VPN 服务器)。有关对 Electronic, Inc. 使用远程身份验证拨入用户服务 (RADIUS) 身份验证的信息,请参阅本文的“采用 RADIUS 身份验证的拨号和 VPN 连接”一节。有关使用 Windows 和 RADIUS 身份验证的详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“身份验证和授权”的主题。 | ||||||||||||||||||||
|
4. |
配置 DHCP 中继代理。 在控制台树中,定位到 IP 路由\DHCP 中继代理。右键单击“DHCP 中继代理”,然后单击“属性”。在“DHCP 中继代理属性”对话框的“服务器地址”中,键入 Intranet 动态主机配置协议 (DHCP) 服务器的 IP 地址。单击“添加”,再单击“确定”。通过配置 DHCP 中继代理路由协议组件,VPN 远程访问客户端在连接到 Intranet 时,可接收正确的 DNS 域名、DNS 服务器地址和 WINS 服务器地址。 | ||||||||||||||||||||
|
5. |
在 VPN 服务器上配置静态路由,以便到达 Intranet 和 Internet 位置。 若要到达 Intranet 位置,需通过下列设置配置静态路由:
这个静态路由通过汇总 Electronic, Inc. Intranet 上的所有目标地址,简化了路由。使用了该静态路由,就无需用一个路由协议来配置 VPN 服务器。 为了到达各个 Internet 位置,用下列设置配置了一个静态路由:
这个静态路由汇总了 Internet 上的所有目标地址。该路由允许 VPN 服务器相应来自 Internet 上任何地方的远程访问或请求拨号路由器。 注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。 | ||||||||||||||||||||
|
6. |
在 Intranet 路由器上配置一个静态路由,以到达所有分公司。 为了从 Intranet 路由器到达各个分公司位置,用下列设置配置了一个静态路由:
这个静态路由通过汇总 Electronic, Inc. 分公司处的所有目标地址,简化了路由。Intranet 路由器将该静态路由公布给邻近的路由器,从而到各分公司位置的路由就会存在于 Intranet 的每台路由器上。 |
Electronic, Inc. 正在使用纯模式 Active Directory 域,而且 Electronic, Inc. 的网络管理员已经决定采用按组访问的管理模式。所有用户帐户的远程访问权限都被设为“通过远程访问策略控制访问”。对连接尝试的远程访问授权由首个匹配的远程访问策略上的远程访问权限设置来控制。远程访问策略用于根据组成员身份,应用不同的 VPN 连接设置。
为了能对不同类型的 VPN 连接应用不同的连接设置,创建了下列 Active Directory 组:
| • |
VPN_Users 用于远程访问 VPN 连接 |
| • |
VPN_Routers 用于自 Electronic, Inc. 分公司的站点到站点 VPN 连接 |
| • |
VPN_Partners 用于自 Electronic, Inc. 商业合作伙伴的站点到站点 VPN 连接 |
注意:在此示例部署中,所有用户和组都创建于 electronic.example.com Active Directory 域中。
为了启用 L2TP/IPSec 连接,让远程访问客户端使用智能卡,并让路由器使用 EAP-TLS,Electronic, Inc. 域被配置为对所有域成员自动注册计算机证书。
--------------------------------------------------------------------------
Electronic, Inc. 的波特兰和达拉斯分公司使用按需的站点到站点 VPN 连接,连接到总公司。波特兰和达拉斯分公司都只有一小部分员工需要偶尔连接到总公司。波特兰和达拉斯分公司的 Window Server 2003 路由器配有一台 ISDN 适配器,可呼叫当地的 Internet 服务提供商以获得 Internet 的访问权,然后在 Internet 上建立站点到站点 VPN 连接。当 VPN 连接闲置达五分钟时,分公司的路由器将中断 VPN 连接。
达拉斯分公司使用的 IP 网络 ID 为 192.168.28.0,子网掩码为 255.255.255.0 (192.168.28.0/24)。波特兰分公司使用的 IP 网络 ID 为 192.168.4.0,子网掩码为 255.255.255.0 (192.168.4.0/24)。
为了简化连接,VPN 连接为单向启动的连接,通常由分公司路由器启动。有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接”的主题。
图 3 显示了提供按需的分公司连接的 Electronic, Inc. VPN 服务器。
图 3:提供按需的分公司连接的 Electronic, Inc. VPN 服务器
对于到达拉斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Dallas:
| • |
密码为 nY7W{q8~=z3。 |
| • |
对于 VPN_Dallas 帐户的属性,清除“用户下次登录时必须更改密码”选项,并选定“密码永不过期”选项。 |
| • |
对于 VPN_Dallas 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 192.168.28.0。 |
| • |
将 VPN_Dallas 帐户添加到 VPN_Routers 组。 |
对于到波特兰分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Portland:
| • |
密码为 P*4s=wq!Gx1。 |
| • |
对于 VPN_Portland 帐户的属性,清除了“用户下次登录时必须更改密码”,并选定“密码永不过期”选项。 |
| • |
对于 VPN_Portland 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 192.168.4.0。 |
| • |
将 VPN_Portland 帐户添加到 VPN_Routers 组。 |
为了对 VPN 路由器定义身份验证和加密设置,创建了如下远程访问策略:
| • |
策略名:VPN 路由器 |
| • |
访问方法:VPN |
| • |
用户或组访问:选定了带有 EXAMPLE\VPN_Routers 组的组 |
| • |
身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” |
| • |
策略加密级别:选定了“强加密”和“最强加密” |
达拉斯分公司属于基于 PPTP 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后,如果闲置达五分钟,将中断该连接。
为了根据本文的“VPN 服务器的常规配置”和“按需的分公司连接”章节所提供的设置,部署到总公司的基于 PPTP 的单向启动的按需的站点到站点 VPN 连接,在达拉斯路由器上配置了如下设置。
为了通过当地 ISP 将达拉斯分公司的路由器连接到 Internet,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:ISP |
| • |
连接类型:使用调制解调器、ISDN 适配器或其他物理设备进行连接 |
| • |
选择设备:选定了适当的 ISDN 设备。 |
| • |
电话号码:达拉斯分公司 ISP 的电话号码。 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了在需要建立站点到站点 VPN 连接时,创建到达拉斯 ISP 的连接,配置了如下静态路由: 目标地址:207.46.130.1 网络掩码: 255.255.255.255 跃点数:1 |
| • |
拨出凭据 用户名:达拉斯分公司的 ISP 帐户名 密码:达拉斯分公司的 ISP 帐户密码 确认密码:达拉斯分公司的 ISP 帐户密码 |
若要运行“请求拨号接口”向导,右键单击“网络接口”,然后单击“新建请求拨号接口”。
为了使用 Internet 上的站点到站点 VPN 连接将达拉斯分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:CorpHQ |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:点对点隧道协议 (PPTP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使公司 intranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.16.0.0 网络掩码: 255.240.0.0 跃点数:1 为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由: 目标地址:192.168.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_Dallas 域:electronic.example.com 密码:nY7W{q8~=z3 确认密码:nY7W{q8~=z3 |
波特兰分公司属于基于 L2TP/IPSec 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建按需的站点到站点 VPN 连接。连接建立后,如果闲置达五分钟,将中断该连接。
为了根据本文的“VPN 服务器的常规配置”和“按需的分公司连接”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的单向启动的按需的站点到站点 VPN 连接,在波特兰路由器上配置了如下设置:
波特兰的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了物理连接,随后被送往波特兰网站。波特兰路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。
为了通过当地 ISP 将波特兰分公司的路由器连接到 Internet,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:ISP |
| • |
连接类型:使用调制解调器、ISDN 适配器或其他物理设备进行连接 |
| • |
选择设备:选定了适当的 ISDN 设备。 |
| • |
电话号码:波特兰分公司 ISP 的电话号码。 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了在需要建立站点到站点 VPN 连接时,创建到波特兰 ISP 的连接,配置了如下静态路由: 目标地址:207.46.130.1 网络掩码:255.255.255.255 跃点数: 1 |
| • |
拨出凭据 用户名:波特兰分公司的 ISP 帐户名 密码:波特兰分公司的 ISP 帐户密码 确认密码:波特兰分公司的 ISP 帐户密码 |
为了使用 Internet 上的站点到站点 VPN 连接,将波特兰分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:CorpHQ |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:第二层隧道协议 (L2TP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使公司 intranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.16.0.0 网络掩码: 255.240.0.0 跃点数:1 为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由: 目标地址:192.168.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_Portland 域:electronic.example.com 密码:P*4s=wq!Gx1 确认密码:P*4s=wq!Gx1 |
------------------------------------------------------------
| 共3页: 1 [2] [3] 下一页 | ||
|
|
· 深入理解Linux软件包的.. · 玩转Windows访问Linux.. · Linux操作系统启动http.. · 让IIS支持PHP的配置步骤 · 解读WAMP和LAMP:从对立.. · Vista一日游 |
· 微软向OEM厂商提供XP恢.. · 识别Linux系统的文件类.. · Linux文件系统的隐藏权.. · 网络掉线问题 · 网络----“帧” · 如何学好网络技术 |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · OSPF路由协议专栏 · 思科路由器产品 · 华为路由器产品 · 路由器模拟器 · AIX操作系统管理应用(.. · 思科路由器配置 · 路由器组网解决方案 · 路由器密码恢复 |
· 无线路由器故障处理 · 路由故障处理手册 · 路由器访问控制列表(AC.. · 路由器的安全配置与安.. · 无线路由器配置 · 路由器技巧 · 华为路由器配置 · 路由器配置基础 |
||
|
|||
| · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| hellen 的博客 |
|
| · 职场冲浪(之八):让感.. ·职场冲浪(之七):潜心.. |
·人生如鞋 ·职场冲浪(之六):从离梦最.. |
| 白璐 的博客 |
|
| ·将职业教育职业化 - 各IT.. ·思科交换机上实现MAC地址.. |
·关于51CTO合作出书中的职.. ·OSPF动态路由协议入门简介 |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · Ubuntu 中文开源频道 · Solaris基础知识入门 · 微软正式发布英文版Wind.. |
· 服务器基础知识入门 · Rambus第二?看全缓冲内.. · 服务器节能对比测试:AM.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
