資源描述:
《VPN服務(wù)器配置詳解.doc》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1���、借助VPN��,企業(yè)外出人員可隨時(shí)連到企業(yè)的VPN服務(wù)器�,進(jìn)而連接到企業(yè)內(nèi)部網(wǎng)絡(luò)�。借助windows2003的“路由和遠(yuǎn)程訪問(wèn)”服務(wù),可以實(shí)現(xiàn)基于軟件的VPN����。VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò),通過(guò)一個(gè)公用網(wǎng)絡(luò)(如Internet)建立一個(gè)臨時(shí)的���、安全的��、模擬的點(diǎn)對(duì)點(diǎn)連接�����。這是一條穿越公用網(wǎng)絡(luò)的信息隧道���,數(shù)據(jù)可以通過(guò)這條隧道在公用網(wǎng)絡(luò)中安全地傳輸。因此也可形象地稱之為“網(wǎng)絡(luò)中的網(wǎng)絡(luò)”�����。而保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵就在于VPN使用了隧道協(xié)議��,目前常用的隧道協(xié)議有PPTP�����、L2TP和IPSec�。VPN是基于Windows2003,通過(guò)ADSL接入Internet的服
2���、務(wù)器和客戶端�����,連接方式為客戶端通過(guò)Internet與服務(wù)器建立VPN連接�。VPN服務(wù)器需要兩塊網(wǎng)卡�,一個(gè)連入內(nèi)網(wǎng)一個(gè)連入外網(wǎng)����。Authentication(驗(yàn)證):設(shè)置哪些用戶可以通過(guò)VPN訪問(wèn)服務(wù)器資源��。在DC上做身份驗(yàn)證����。Authorization(授權(quán)):檢查客戶端是否可以撥入服務(wù)器,是否符合撥入條件(時(shí)間��,協(xié)議……)VPN工作原理:VPN客戶端請(qǐng)求VPN服務(wù)器(請(qǐng)求撥入服務(wù)器)VPN服務(wù)器請(qǐng)求DC進(jìn)行身份驗(yàn)證�,然后得到授權(quán)信息VPN服務(wù)器回應(yīng)VPN客戶端撥號(hào)請(qǐng)求。VPN服務(wù)器與客戶端建立連接���,并開(kāi)始傳送數(shù)據(jù)�。工作組模型下VPN服務(wù)器做身份驗(yàn)證���,撥號(hào)請(qǐng)求發(fā)送至SAM數(shù)據(jù)庫(kù)做身份驗(yàn)證
3��、���。1.VPN使用的協(xié)議(隧道協(xié)議):PPTP,L2TP2.PPTP:點(diǎn)對(duì)點(diǎn)傳輸協(xié)議���,使用nicrosoftpoint-to-pointencryption(MPPE)加密算法(默認(rèn)采用協(xié)議)針對(duì)于internet����。L2TP:默認(rèn)無(wú)加密算法,若想使用加密算法�����,結(jié)合IPsec��。針對(duì)于internet�����、X.25�、ATM用戶帳號(hào)撥入權(quán)限:條件���、權(quán)限��、配置文件決定了客戶端是否可以撥入VPN網(wǎng)絡(luò)�����。配置文件包括:撥入時(shí)間��,IP地址范圍����,是否支持多鏈路,何種身份驗(yàn)證�����,是否加密��。配置過(guò)程:路由和遠(yuǎn)程訪問(wèn)-遠(yuǎn)程訪問(wèn)策略-進(jìn)行相應(yīng)時(shí)間�����,配置文件設(shè)置配置VPN服務(wù)器步驟如下:首先安裝“路由和遠(yuǎn)程訪問(wèn)”��,或者在運(yùn)
4���、行里輸入“rrasmgmt.msc”�����,在彈出的“路由和遠(yuǎn)程訪問(wèn)”管理控制臺(tái)窗口中����,單擊配置并啟用路由和遠(yuǎn)程訪問(wèn),如圖所示:彈出“路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А睂?duì)話框��,單擊下一步�,選中自定義配置,下一步�����,選擇自定義配置��,如圖:選中VPN訪問(wèn)��,下一步��,如圖所示:?jiǎn)螕敉瓿?��。在彈出的路由和遠(yuǎn)程訪問(wèn)對(duì)話框中,單擊是���,如圖所示�����。隨即��,VPN服務(wù)即成功啟動(dòng)��。單擊服務(wù)器名稱-屬性��,在彈出的對(duì)話框中選中IP選項(xiàng)卡����,在IP地址指派中選中靜態(tài)地址池,單擊添加�,如圖所示:在起始IP地址和結(jié)束IP地址編輯框中輸入IP地址,單擊確定�����,如圖:?jiǎn)螕舸_定����;提示:使用靜態(tài)IP地址池為客戶端分配IP地址可以減少I(mǎi)P地址解析時(shí)
5、間��,提高連接速度����。起始IP地址和結(jié)束IP地址可以自定義一段IP地址(如192.168.0.10至192.168.0.50)如這臺(tái)主機(jī)已經(jīng)配置了DHCP服務(wù),也可以選擇動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP),會(huì)延長(zhǎng)連接時(shí)間���。返回屬性對(duì)話框����,單擊確定�����,完成初步配置操作�����。提示:如果服務(wù)器端有固定的IP地址��,則客戶端可隨時(shí)與服務(wù)器建立VPN連接���。如果服務(wù)器采用ADSL撥號(hào)方式接入Internet,則需要在每次更改IP地址后通知客戶端�,或者申請(qǐng)動(dòng)態(tài)域名解析服務(wù)。賦予用戶遠(yuǎn)程連接的權(quán)限出于安全考慮�,VPN服務(wù)器配置完成以后所有用戶均被拒絕撥入到服務(wù)上(初始狀態(tài))因此需要為指定用戶賦予撥入權(quán)限,操作步驟如下:1
6�����、.VPN服務(wù)器中右擊我的電腦,選擇管理�����。在彈出的計(jì)算機(jī)管理窗口�����,展開(kāi)本地用戶和組����,選中用戶。如圖:如果計(jì)算機(jī)加入了域�,則單擊AD用戶和計(jì)算機(jī)中的user組中的用戶,如圖:2.在test屬性對(duì)話框中����,單擊撥入選項(xiàng)卡。在遠(yuǎn)程訪問(wèn)權(quán)限中選中允許訪問(wèn)��,單擊確定�,如圖所示:提示:如果域功能級(jí)別為windows2000混合模式,則“通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn)”不可選�,提升域功能級(jí)別即可����。3.其實(shí)此為安全性最差的撥入方式��,建議選中通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn)��,這需要在服務(wù)器中定制遠(yuǎn)程訪問(wèn)策略(若為AD域環(huán)境下�����,須將域功能級(jí)別提升到03以上)完成VPN服務(wù)器的配置操作�����,并賦予特定用戶遠(yuǎn)程連接VPN服務(wù)器的權(quán)限
7�����、以后����,還需要在客戶端中創(chuàng)建VPN連接并撥入VPN服務(wù)器�����,才能實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)?��?蛻舳藙?chuàng)建VPN連接客戶端配置比較簡(jiǎn)單����,只需建立一個(gè)VPN的專用連接即可����。假設(shè)客戶端已建立了一個(gè)接入Internet的ADSL連接,創(chuàng)建VPN連接的步驟如下所述:1.桌面右擊網(wǎng)上鄰居->屬性���,打開(kāi)網(wǎng)絡(luò)連接�����。單擊新建連接�,如圖所示:2.彈出“歡迎使用新建連接向?qū)А?���,下一步,網(wǎng)絡(luò)連接類型頁(yè)面中選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”�����。下一步,如圖所示:3.選擇
