为了使用 Internet 上的站点到站点 VPN 连接将菲尼克斯分公司的路由器连接到 VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:VPN_CorpHQ |
| • |
连接类型: 使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:第二层隧道协议 (L2TP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使公司 intranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.16.0.0 网络掩码: 255.240.0.0 跃点数:1 为了使 Electronic, Inc. 分支机构上的所有位置可达,配置了以下静态路由: 目标地址:192.168.0.0 网络掩码:255.255.0.0 跃点数: 1 |
| • |
拨出凭据 用户名:VPN_Phoenix 域:electronic.example.com 密码:z2F%s)bW$4f 确认密码:z2F%s)bW$4f |
创建完请求拨号接口后,就进行了如下更改:
| • |
对于请求拨号接口的属性,在“选项”选项卡的“连接类型”下,选择了“持续连接”。 |
为了使 Internet 上的 Electronic, Inc. VPN 服务器可达,配置了如下静态路由:
| • |
接口:连接到 Internet 的 WAN 适配器 |
| • |
目标地址:207.46.130.1 |
| • |
网络掩码:255.255.255.255 |
| • |
网关:0.0.0.0 |
| • |
跃点数: 1 |
注意:由于 WAN 适配器创建了到 ISP 的点对点连接,因此可以为网关输入任何地址。网关地址的一个例子是 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
------------------------------------------------------
Electronic, Inc. 的网络管理员已经创建了一个 Extranet。该 Extranet 属于 Electronic, Inc. 专用网络的一部分。商业合作伙伴可通过安全的 VPN 连接访问此专用网络。Electronic, Inc. Extranet 连接到 Electronic, Inc. VPN 服务器,并包含一台文件服务器和一台 Web 服务器。零件分销商 Tasmanian Traders 和 Parnell Aerospace 是 Electronic, Inc. 的商业合作伙伴,他们使用按需的站点到站点 VPN 连接,连接到 Electronic, Inc. Extranet。使用了一个附加的远程访问策略,来确保商业合作伙伴只能访问 Extranet 文件服务器和 Web 服务器。
将 Electronic, Inc. Extranet 上的文件服务器的 IP 地址配置为 172.31.0.10,并把 Web 服务器的 IP 地址配置为 172.31.0.11。Tasmanian Traders 使用的公共网络 ID 为 131.107.254.0,子网掩码为 255.255.255.0。Parnell Aerospace 使用的公共网络 ID 为 131.107.250.0,子网掩码为 255.255.255.0。为了确保 Extranet Web 服务器和文件服务器对商业合作伙伴可达,在文件服务器和 Web 服务器上,对网关地址为 172.31.0.1 的每个商业合作伙伴网络都配置了静态路由。
为了简化配置,VPN 连接采用单向启动模式。通常,由商业合作伙伴的路由器启动连接。有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“单向启动的请求拨号连接”的主题。
图 5 显示了为商业合作伙伴提供 Extranet 连接的 Electronic, Inc. VPN 服务器。
图 5:为商业合作伙伴提供 Extranet 连接的 Electronic, Inc. VPN 服务器
对于到 Tasmanian Traders 的 VPN 连接,通过下列设置创建了用户帐户 PTR_Tasmanian:
| • |
密码为 Y8#-vR7?]fI。 |
| • |
对于 PTR_Tasmanian 帐户的属性,清除“用户下次登录时必须更改密码”选项,并选定“密码永不过期”选项。 |
| • |
对于 PTR_Tasmanian 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 131.107.254.0。 |
| • |
将 PTR_Tasmanian 帐户添加到 VPN_Partners 组。 |
对于到 Parnell Aerospace 的 VPN 连接,通过下列设置创建了用户帐户 PTR_Parnell:
| • |
密码为 W@8c^4r-;2\。 |
| • |
对于 PTR_Parnell 帐户的属性,清除了“用户下次登录时必须更改密码”,并选定“密码永不过期”选项。 |
| • |
对于 PTR_Parnell 帐户的拨入属性,将远程访问权限设为“通过远程访问策略控制访问”,并添加子网掩码为 255.255.255.0 的静态路由 131.107.250.0。 |
| • |
将 PTR_Parnell 帐户添加到 VPN_Partners 组。 |
为了对商业合作伙伴的 VPN 连接定义身份验证和加密设置,创建了如下远程访问策略:
| • |
策略名:VPN 伙伴 |
| • |
访问方法:VPN |
| • |
用户或组访问:选定了带有 EXAMPLE\VPN_Partners 组的组 |
| • |
身份验证方法:选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”和“Microsoft 加密身份验证版本 2 (MS-CHAP v2)” |
| • |
策略加密级别:选定了“强加密”和“最强加密” |
创建完远程访问策略后,就按如下方法修改配置:
| • |
在配置文件设置的“IP”选项卡上,配置了下列 TCP/IP 数据包筛选器: |
输入筛选器:
| • |
筛选器操作:拒绝除下面所列各项之外的所有流量 |
| • |
筛选器 1:目标网络 IP 地址为 172.31.0.10,子网掩码为 255.255.255.255 |
| • |
筛选器 2:目标网络 IP 地址为 172.31.0.11,子网掩码为 255.255.255.255 输出筛选器 |
| • |
筛选器操作:拒绝除下面所列各项之外的所有流量 |
| • |
筛选器 1:源网络 IP 地址为 172.31.0.10,子网掩码为 255.255.255.255 |
| • |
筛选器 2:源网络 IP 地址为 172.31.0.11,子网掩码为 255.255.255.255 |
下面几节介绍了针对商业合作伙伴 Tasmanian Traders 的基于 PPTP 的 Extranet,以及针对商业合作伙伴 Parnell Aerospace 的基于 L2TP/IPSec 的 Extranet。
Tasmanian Traders 是 Electronic, Inc. 的商业合作伙伴,使用一台 Windows Server 2003 路由器,根据需要与纽约的 Electronic, Inc. VPN 服务器创建按需的基于 PPTP 的站点到站点 VPN 连接。创建完连接后,如果闲置长达五分钟,就会中断。Tasmanian Traders 路由器使用持续的 WAN 连接,连接到 Internet。
为了根据本文的“VPN 服务器的常规配置”和“商业合作伙伴的 Extranet”章节所提供的设置,部署到总公司的基于 PPTP 的单向启动的按需站点到站点 VPN 连接,在 Tasmanian Traders 路由器上配置了如下设置。
为了使用 Internet 上的站点到站点 VPN 连接将 Tasmanian Traders 路由器连接到 Electronic, Inc. VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:Electronic |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:点对点隧道协议 (PPTP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使 Electronic, Inc. Extranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.31.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据 用户名:PTR_Tasmanian 域:electronic.example.com 密码:Y8#-vR7?]fI 确认密码:Y8#-vR7?]fI |
Parnell Aerospace 是 Electronic, Inc. 的商业合作伙伴,使用一台 Windows Server 2003 路由器,根据需要与纽约的 Electronic, Inc. VPN 服务器创建按需的基于 L2TP/IPSec 的站点到站点 VPN 连接。创建完连接后,如果闲置长达五分钟,就会中断。Parnell Aerospace 路由器使用持续的 WAN 连接,连接到 Internet。
为了根据本文的“VPN 服务器的常规配置”和“商业合作伙伴的 Extranet”章节所提供的设置,部署到总公司的基于 L2TP/IPSec 的单向启动的按需站点到站点 VPN 连接,在 Parnell Aerospace 路由器上配置了如下设置:
Parnell Aerospace 的路由器原先由 Electronic, Inc. 的网络管理员配置。那时,该路由器与 Electronic, Inc. Intranet 建立了连接,随后被送到 Parnell Aerospace 的网络管理员那里。Parnell Aerospace 路由器在连接到 Electronic, Inc. Intranet 时,通过自动注册安装了一个计算机证书。
为了使用 Internet 上的站点到站点 VPN 连接将 Parnell Aerospace 路由器连接到 Electronic, Inc. VPN 服务器,通过“请求拨号接口”向导用下列设置创建了一个请求拨号接口:
| • |
接口名:Electronic |
| • |
连接类型:使用虚拟专用网络 (VPN) 进行连接 |
| • |
VPN 类型:第二层隧道协议 (L2TP) |
| • |
目标地址:207.46.130.1 |
| • |
协议和安全:选定了“在此接口上路由选择 IP 数据包”复选框。 |
| • |
远程网络的静态路由 为了使 Electronic, Inc. Extranet 上的所有位置可达,配置了以下静态路由: 目标地址:172.31.0.0 网络掩码: 255.255.0.0 跃点数:1 |
| • |
拨出凭据: 用户名: PTR_Parnell 阅:electronic.example.com 密码:W@8c^4r-;2\ 确认密码:W@8c^4r-;2\ |
-------------------------------------------------
除了基于 VPN 的远程访问外,Electronic, Inc. 的网络管理员还打算为纽约分公司的员工提供基于调制解调器的拨号远程访问。纽约分公司的所有员工都隶属于名为 NY_Employees 的 Active Directory 组。一台运行 Windows Server 2003 的独立远程访问服务器提供了拨号远程访问,连接电话号码为 555-0111。网络管理员将一台运行带有 Internet 验证服务 (IAS) 的 Windows Server 2003 的计算机用为 RADIUS 服务器,而不必分别管理 VPN 服务器和远程访问服务器的远程访问策略。IAS 服务器在 Electronic, Inc. Extranet 上的 IP 地址为 172.31.0.9,并同时为远程访问服务器和 VPN 服务器提供集中式远程访问身份验证、授权和记帐。
图 6 显示了为 VPN 服务器和远程访问服务器提供身份验证和记帐的 Electronic, Inc. RADIUS 服务器。
图 6:为 VPN 服务器和远程访问服务器提供身份验证和记帐的 Electronic, Inc. RADIUS 服务器
对于纽约分公司中每位得到拨号访问权的员工,将相应用户帐户的拨入属性的远程访问权限设为“通过远程访问策略控制访问”。
必须通过两条途径修改远程访问策略:
|
1. |
必须将 VPN 服务器上配置的现有的远程访问策略,复制到 IAS 服务器。 |
|
2. |
在 IAS 服务器上,对拨号远程访问客户端添加一个新的远程访问策略。 |
一旦将 VPN 服务器配置为使用 RADIUS 身份验证后,就不会再使用 VPN 服务器所保存的远程访问策略。相反,将使用 IAS 服务器所保存的远程访问策略。所以,当前这组远程访问策略将被复制到 IAS 服务器。
有关详细信息,请在 Windows Server 2003“帮助和支持”中参阅名为“将 IAS 配置复制到其他服务器”的主题。
为了对纽约分公司的员工所用的拨号连接定义身份验证和加密设置,在 RADIUS 服务器上创建了如下远程访问策略:
| • |
策略名:纽约员工的拨号连接 |
| • |
访问方法:拨号 |
| • |
用户或组访问:选定了带有 EXAMPLE\NY_Employees 组的组 |
| • |
身份验证方法: 选定了带有“智能卡或其他证书”类型的“可扩展的身份验证协议”、“Microsoft 加密身份验证版本 2 (MS-CHAP v2)”以及“Microsoft 加密身份验证 (MS-CHAP)” |
| • |
策略加密级别:选中了所有选项 |
为了配置 RADIUS 身份验证和记帐,Electronic, Inc. 的网络管理员进行了如下配置:
| • |
RADIUS 服务器为运行 Windows Server 2003 的计算机,并安装了 Internet 验证服务网络组件。对两个 RADIUS 客户端配置了 Internet 验证服务:远程访问服务器和 VPN 服务器。有关详细详细,请在 Windows Server 2003“帮助和支持”中参阅名为“注册 RADIUS 客户端”的主题。 |
| • |
远程访问服务器被配置为通过 IP 地址 172.31.0.9 和一个共享机密,使用 RADIUS 身份验证和记帐。有关详细详细,请在 Windows Server 2003“帮助和支持”中参阅名为“配置 RADIUS 身份验证”和“配置 RADIUS 记帐”的主题。 |
| • |
VPN 服务器被配置为通过 IP 地址 172.31.0.9 和一个共享机密,使用 RADIUS 身份验证和记帐。 |
在 Windows XP 远程访问客户端计算机上,使用“新建连接向导”创建带有如下设置的拨号连接:
| • |
网络连接类型:从我的工作地点连接到网络 |
| • |
网络连接:拨号连接 |
| • |
连接名:Electronic, Inc. |
| • |
电话号码:555-0111 |
| • |
连接可用性: 供任何人使用 |
Electronic, Inc. 使用 Windows Server 2003 和 Windows XP 带有的 VPN 技术,运用 Internet 连接各个远程用户、分公司和商业合作伙伴。Electronic, Inc. 的 Windows Server 2003 VPN 和拨号远程访问服务器(结合 Internet 验证服务)为 VPN 和拨号远程访问解决方案的远程访问策略,提供了集中式身份验证、授权、记帐和管理。
| 共3页: 上一页 [1] [2] 3 | ||
|
|
· 深入理解Linux软件包的.. · 玩转Windows访问Linux.. · Linux操作系统启动http.. · 让IIS支持PHP的配置步骤 · 解读WAMP和LAMP:从对立.. · Vista一日游 |
· 微软向OEM厂商提供XP恢.. · 识别Linux系统的文件类.. · Linux文件系统的隐藏权.. · 网络掉线问题 · 网络----“帧” · 如何学好网络技术 |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · OSPF路由协议专栏 · 思科路由器产品 · 华为路由器产品 · 路由器模拟器 · AIX操作系统管理应用(.. · 思科路由器配置 · 路由器组网解决方案 · 路由器密码恢复 |
· 无线路由器故障处理 · 路由故障处理手册 · 路由器访问控制列表(AC.. · 路由器的安全配置与安.. · 无线路由器配置 · 路由器技巧 · 华为路由器配置 · 路由器配置基础 |
||
|
|||
| · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| hellen 的博客 |
|
| · 职场冲浪(之八):让感.. ·职场冲浪(之七):潜心.. |
·人生如鞋 ·职场冲浪(之六):从离梦最.. |
| 白璐 的博客 |
|
| ·将职业教育职业化 - 各IT.. ·思科交换机上实现MAC地址.. |
·关于51CTO合作出书中的职.. ·OSPF动态路由协议入门简介 |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · Ubuntu 中文开源频道 · Solaris基础知识入门 · 微软正式发布英文版Wind.. |
· 服务器基础知识入门 · Rambus第二?看全缓冲内.. · 服务器节能对比测试:AM.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
