芝加哥和菲尼克斯分公司使用每天 24 小时都保持连接的持续的站点到站点 VPN 连接,与总公司建立了连接。芝加哥和菲尼克斯分公司处的 Windows Server 2003 路由器配有 T1 WAN 适配器,与当地的 Internet 服务提供商建立了持续连接,以访问 Internet。
芝加哥分公司使用的 IP 网络 ID 为 192.168.9.0,子网掩码为 255.255.255.0 (192.168.9.0/24)。芝加哥分公司路由器对其 Internet 接口使用的公共 IP 地址为 131.107.0.1。菲尼克斯分公司使用的 IP 网络 ID 为 192.168.14.0,子网掩码为 255.255.255.0 (192.168.14.0/24)。菲尼克斯分公司路由器对其 Internet 接口使用的公共 IP 地址为 159.60.0.1。
所采用的 VPN 连接为双向启动的连接。由分公司路由器或 VPN 服务器启动连接。双向启动的连接要求在该连接两头的路由器上,创建请求拨号接口、远程访问策略、IP 地址池和数据包筛选器。
图 4 显示了提供持续的分公司连接的 Electronic, Inc. VPN 服务器。
图 4:提供持续的分公司连接的 Electronic, Inc. VPN 服务器
对于由芝加哥路由器启动的芝加哥分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Chicago:
| • |
密码为 U9!j5dP(%q1。 |
| • |
对于 VPN_Chicago 帐户的属性,清除了“用户下次登录时必须更改密码”选项,并选定了“密码永不过期”选项。 |
| • |
对于 VPN_Chicago 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”。 |
| • |
将 VPN_Chicago 帐户添加到 VPN_Routers 组。 |
对于由菲尼克斯路由器启动的菲尼克斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_Phoenix:
| • |
密码为 z2F%s)bW$4f。 |
| • |
对于 VPN_Phoenix 帐户的属性,清除了“用户下次登录时必须更改密码”选项,并选定了“密码永不过期”选项。 |
| • |
对于 VPN_Phoenix 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”。 |
| • |
将 VPN_Phoenix 帐户添加到 VPN_Routers 组。 |
对于由 VPN 服务器启动的芝加哥分公司和菲尼克斯分公司的 VPN 连接,通过下列设置创建了用户帐户 VPN_CorpHQ:
| • |
密码为 o3\Dn6@`-J4。 |
| • |
对于 VPN_CorpHQ 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”。 |
| • |
将 VPN_CorpHQ 帐户添加到 VPN_Routers 组。 |
必须在 VPN 服务器以及位于芝加哥和菲尼克斯的路由器上,配置远程访问策略。
VPN 服务器的远程访问策略配置如本文中“按需的分公司连接”一节说明的具体配置。
为了对 VPN 连接定义身份验证和加密设置,删除了名为“如启用拨入权限则允许访问”的默认策略,并创建了如下远程访问策略:
| • |
策略名:VPN 路由器 |
| • |
访问方法:VPN |
| • |
用户或组访问:选定了带有 VPN_Routers 组的组 |
| • |
身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” |
| • |
策略加密级别:选定了“强加密”和“最强加密” |
为了对 VPN 连接定义身份验证和加密设置,删除了名为“如启用拨入权限则允许访问”的默认策略,并创建了如下远程访问策略:
| • |
策略名:VPN 路由器 |
| • |
访问方法:VPN |
| • |
用户或组访问:选定了带有 VPN_Routers 组的组 |
| • |
身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” |
| • |
策略加密级别:选定了“强加密”和“最强加密” |
必须在 VPN 服务器以及位于芝加哥和菲尼克斯的路由器上,配置 IP 地址池。
VPN 服务器的 IP 地址池配置如本文中“VPN 服务器的常规配置”一节说明的具体配置。
配置了起始 IP 地址为 192.168.9.248、结束 IP 地址为 192.168.9.253 的静态 IP 地址池。这样最多可为五个 VPN 客户端创建一个静态地址池。
有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“创建静态 IP 地址池”的主题。
配置了起始 IP 地址为 192.168.14.248、结束 IP 地址为 192.168.14.253 的静态 IP 地址池。这样最多可为五个 VPN 客户端创建一个静态地址池。
有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“创建静态 IP 地址池”的主题。
下面几节介绍了针对芝加哥分公司的基于 PPTP 的持续的分公司连接,以及针对菲尼克斯分公司的基于 L2TP/IPSec 的持续的分公司连接。
芝加哥分公司属于基于 PPTP 的分公司,使用一台 Windows Server 2003 VPN 服务器,根据需要与纽约的 VPN 服务器创建持续的站点到站点 VPN 连接。永不中断该连接,即使在闲置时也是如此。
为了根据本文的“VPN 服务器的常规配置”和“持续的分公司连接”章节所提供的设置,部署到总公司的基于 PPTP 的双向启动的持续的站点到站点 VPN 连接,在 VPN 服务器和芝加哥路由器上配置了如下设置。
对 VPN 服务器配置了一个请求拨号接口、一些静态路由和一些 PPTP 数据包筛选器。
为了使用 Internet 上的站点到站点 VPN 连接将 VPN 服务器连接到芝加哥分公司的路由器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:VPN_Chicago |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:点对点隧道协议 (PPTP) |
| • |
目标地址:131.107.0.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使芝加哥网络上的所有位置可达,配置了以下静态路由: 目标地址:192.168.9.0 网络掩码: 255.255.255.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_CorpHQ 域:electronic.example.com 密码:o3\Dn6@`-J4 确认密码:o3\Dn6@`-J4 |
创建完请求拨号接口后,就进行了如下更改:
| • |
对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。 |
对芝加哥路由器配置了一个请求拨号接口和一些静态路由。
为了使用 Internet 上的站点到站点 VPN 连接将芝加哥分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:VPN_CorpHQ |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:第二层隧道协议 (L2TP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使公司 intranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.16.0.0 网络掩码: 255.240.0.0 跃点数:1 为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由: 目标地址:192.168.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_Chicago 域:electronic.example.com 密码:U9!j5dP(%q1 确认密码:U9!j5dP(%q1 |
创建完请求拨号接口后,就进行了如下更改:
| • |
对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。 |
为了使 Internet 上的 Electronic, Inc. VPN 服务器可达,配置了如下静态路由:
| • |
接口:连接到 Internet 的 WAN 适配器 |
| • |
目标地址:207.46.130.1 |
| • |
网络掩码: 255.255.255.255 |
| • |
网关:0.0.0.0 |
| • |
跃点数: 1 |
注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
菲尼克斯分公司属于基于 L2TP/IPSec 的分公司,使用一台 Windows Server 2003 路由器,根据需要与纽约的 VPN 服务器创建持续的站点到站点 VPN 连接。 永不中断该连接,即使在闲置时也是如此。
为了根据本文的“VPN 服务器的常规配置”和“持续的分公司连接”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的双向启动的持续的站点到站点 VPN 连接,在 VPN 服务器和菲尼克斯路由器上配置了如下设置。
对 VPN 服务器配置了一个请求拨号接口和一个静态路由。
为了使用 Internet 上的站点到站点 VPN 连接将 VPN 服务器连接到菲尼克斯分公司的路由器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:VPN_Phoenix |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:第二层隧道协议 (L2TP) |
| • |
目标地址:159.60.0.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使菲尼克斯网络上的所有位置可达,配置了以下静态路由: 目标地址:192.168.14.0 网络掩码: 255.255.255.0 跃点数:1 |
| • |
拨出凭据 用户名:VPN_CorpHQ 域:electronic.example.com 密码:o3\Dn6@`-J4 确认密码:o3\Dn6@`-J4 |
创建完请求拨号接口后,就进行了如下更改:
| • |
对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。 |
菲尼克斯的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了连接,随后被送往菲尼克斯网站。菲尼克斯路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。此外,还对菲尼克斯路由器计算机配置了一个请求拨号接口和一个静态路由。
| 共3页: 上一页 [1] 2 [3] 下一页 | ||
|
相关文章
