发信人: javabase()
整理人: ipaq(2001-05-27 14:53:18), 站内信件
|
摘要
VPN 服务器的通用配置
雇员的 VPN 远程访问
按需的分支机构
持续的分支机构
业务伙伴的 Extranet
使用 RADIUS 身份验证的拨号和 VPN
小结
摘要
使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。在这个方案中,
一个虚构的公司 Electronic, Inc. 已部署 Windows 2000 点对点隧道协议 (PP
TP) 和第 2 层隧道协议 (L2TP) VPN 技术来创建安全远程访问、分支机构和业务
伙伴连接的解决方案。本白皮书介绍了 Electronic, Inc. 的 VPN 和拨号远程访
问基础结构的设计和配置。
引言
本白皮书介绍了如何使用 Windows 2000 操作系统为一个虚构的公司配置通用虚
拟专用网络方案。尽管您的网络配置可能与这里描述的不同,但仍然可以在您的
网络环境中应用虚拟专用网络的基本概念。
使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。
虚拟专用网络 (VPN) 是专用网络的扩展,它包括的链接跨 Internet 这样的共享
或公用网络。使用 VPN,您可以用模拟点对点专用链接的方式通过共享或公用网
络在两台计算机之间传送数据。虚拟专用网络连接工作是创建和配置虚拟专用网
络。
为模拟点对点链接,数据被提供路由信息的头封装或包裹起来,路由信息使得数
据能够穿越共享或公用网络而到达它的终点。为模拟专用连接,数据被加密以实
现保密。没有加密密钥,在共享或公用网络上截获的数据包是无法破译的。封装
并加密专用数据的链接是虚拟专用网络 (VPN) 连接。
Electronic, Inc. 是一个虚构的电子设计和制造公司,它的总部在纽约,并在美
国各地有分支机构和分发业务伙伴。Electronic, Inc. 使用 Windows 2000 操作
系统实现了一个 VPN 解决方案来连接远程访问用户、分支机构和业务伙伴。
位于企业总部的 VPN 服务器提供远程访问和路由器到路由器的 PPTP 和 L2TP V
PN 连接。此外,VPN 服务器还提供到 Intranet 和 Internet 位置数据包的路由
。
根据 VPN 服务器的通用配置,介绍以下虚拟专用网络方案:
雇员的 VPN 远程访问。
按需的分支机构访问。
持续的分支机构访问。
业务伙伴的 Extranet。
使用 RADIUS 身份验证的拨号和 VPN。
备注 这里所描述的示例公司、单位、产品、人和事件都是虚构的。不针对也不应
被推测为与任何真实的公司、单位、产品、人或事件有任何关联。
VPN 服务器的通用配置
要为 Electronic, Inc. 部署 VPN 解决方案,网络管理员需执行分析,并作出关
于下列方面的设计决定:
网络配置。
远程访问策略配置。
域配置。
安全配置。
网络配置
网络配置的关键要素是:
Electronic, Inc. 企业 Intranet 使用子网掩码为 255.240.0.0 的专用网络 1
72.16.0.0 和子网掩码为 255.255.0.0 的专用网络 192.168.0.0。企业总部网络
部分使用子网 172.16.0.0,分支机构使用子网 192.168.0.0。
VPN 服务器计算机使用 T3(也称为 DS-3)专用 WAN 链接直接接入 Internet。
根据 Electronic, Inc. 的 Internet 服务提供商的分配,WAN 适配器在 Inter
net 上的 IP 地址是 207.46.130.1。在 Internet 上,WAN 适配器的 IP 地址由
域名 vpn.electronic.microsoft.com 指代。
VPN 服务器计算机直接连入一个 Intranet 网段,它包括连接 Electronic, Inc
. 企业总部 Intranet 其它部分的路由器。Intranet 网段的 IP 网络 ID 是 17
2.31.0.0,子网掩码为 255.255.0.0。
用一个静态 IP 地址池对 VPN 服务器计算机进行配置,以分配给远程访问客户和
呼叫路由器,呼叫路由器是 Intranet 网段(子网上的地址池)的一部分。
图 1 显示 Electronic, Inc. VPN 服务器的网络配置。
图 1 Electronic, Inc. VPN 服务器的网络配置
根据 Electronic, Inc. 企业总部 Intranet 的网络配置,VPN 服务器计算机做
如下配置:
安装 VPN 服务器上的硬件。
根据网络适配器制造商的说明书,安装用于连接 Intranet 网段的网络适配器和
用于连接 Internet 的 WAN 适配器。一旦驱动程序安装好并且可以运行,两个适
配器就作为本地连接出现在“网络和拨号连接”文件夹中。
配置 LAN 和 WAN 适配器上的 TCP/IP。
对 LAN 适配器,配置 IP 地址 172.31.0.1,子网掩码为 255.255.0.0。 对 WA
N 适配器,配置 IP 地址 207.46.130.1,子网掩码为 255.255.255.255。任何一
个适配器都没有配置默认网关。另外还配置了 DNS 和 WINS 服务器地址。
安装路由和远程访问服务。
运行“路由和远程访问服务器安装”向导。在该向导中,选择手动配置服务器选
项。有关详细信息,请参见附录 A 中“启用路由和远程访问服务”的过程。
向导结束之后,配置了一个静态 IP 地址池,以 IP 地址 172.31.255.1 开始,
以 IP 地址 172.31.255.254 结束。这样就为多达 253 个 VPN 客户创建了静态
地址池。
有关详细信息,请参见附录 A 中“创建静态 IP 地址池”的过程。
验证远程访问和请求拨号连接的默认方法是使用 Windows 身份验证,这种方法在
这个只包括一个 VPN 服务器的配置中是恰当的。有关 Electronic, Inc. 使用
RADIUS 身份验证的信息,请参见本文中的“使用 RADIUS 的拨号和 VPN”部分。
有关使用 Windows 和 RADIUS 身份验证的详细信息,请参见 Windows 2000 Ser
ver 帮助中标题为“身份验证和授权”的主题。
启用 EAP 身份验证方法。
要能使用基于智能卡的远程访问 VPN 客户和基于证书的呼叫路由器,网络管理员
应在 VPN 服务器上启用可扩展身份验证协议 (EAP)。
有关详细信息,请参见附录 A 中的“启用 EAP”过程。
在 VPN 服务器上配置静态路由,以到达 Intranet 和 Internet 位置。
要到达 Intranet 位置,可使用以下设置配置静态路由:
接口:连接 Intranet 的 LAN 适配器
目的位置:172.16.0.0
子网掩码:255.240.0.0
网关:172.31.0.2
跃点数:1
此静态路由通过汇总 Electronic, Inc. Intranet 上的所有目的位置来简化路由
。因为使用了此静态路由,所以不需要为 VPN 服务器配置像 RIP 或 OSPF 一样
的路由协议。有关路由基础的更多信息,请参见位于 http://www.microsoft.co
m/NTServer/commserv/techdetails/prodarch/unicast.asp 的 Unicast Routin
g Principles 白皮书和 Windows 2000 Server 帮助。
要到达 Internet 位置,可使用以下设置配置静态路由:
接口:连接 Internet 的 WAN 适配器
目的位置:0.0.0.0
子网掩码:0.0.0.0
网关:0.0.0.0
跃点数:1
此静态路由汇总 Internet 上的所有位置。此路由允许 VPN 服务器响应来自 In
ternet 上任何地方的远程访问客户或请求拨号路由器 VPN 连接。
备注 因为 WAN 适配器创建到 ISP 的点对点连接,所以可以为网关输入任何地址
。如网关地址 0.0.0.0 就是一个例子。0.0.0.0 是未指定的 IP 地址。
增加 PPTP 和 L2TP 端口的数量。
默认情况下,只为 VPN 连接启用了五个 L2TP 端口和五个 PPTP 端口。将 L2TP
和 PPTP 端口的数目增加到 253。有关详细信息,请参见附录 A 中“添加 PPT
P 或 L2TP 端口”的过程。
配置基于 IPSec 的 PPTP 和 L2TP 数据包筛选器。
基于 IPSec 的 PPTP 和 L2TP 数据包筛选器都是在连接到 Internet 的 WAN 适
配器上配置的。要保证除了来自分支机构路由器或远程访问客户的基于 IPSec 的
PPTP 和 L2TP 通信,禁止 VPN 服务器通过其 Internet 接口发送或接收任何通
信,必须在 Internet 接口上配置基于 IPSec 的 PPTP 和 L2TP 输入和输出筛选
器。由于 IP 路由是在 Internet 接口上启用的,如果不在 VPN 服务器的 Inte
rnet 接口上配置基于 IPSec 的 L2TP 和 PPTP 筛选器,那么从 Internet 接口
接收的任何通信都会被路由,这就可能将不需要的 Internet 通信转发到 Intra
net 上。有关详细信息,请参见附录 A 中“添加 PPTP 数据包筛选器”和“添加
L2TP 数据包筛选器”的过程。有关 IP 数据包筛选的详细信息,请参见 Windo
ws 2000 Server 帮助和“Microsoft Windows 2000 Server 资源工具包连网指南
”。
为 PPTP 和 L2TP 设备设置电话号码。
要协助配置限制来自 Internet 用户 VPN 连接的远程访问策略,WAN 微型端口
(PPTP) 和 WAN 微型端口 (L2TP) 设备的端口属性 - 此设备的电话号码字段,都
被修改为 VPN 服务器 Internet 接口的 IP 地址。有关详细信息,请参见附录
A 中“设置设备上的电话号码”的过程。
在 Intranet 路由器上配置静态路由以到达所有的分支机构。
要从 Intranet 路由器到达分支机构位置,可使用以下设置配置静态路由:
接口:连接 Intranet 的 LAN 适配器
目的位置:192.168.0.0
子网掩码:255.255.0.0
网关:172.31.0.1
跃点数:1
该静态路由通过汇总 Electronic, Inc. 分支机构的所有位置来简化路由。
远程访问策略配置
Electronic, Inc. 已经迁移到基于 Windows 2000 的本机模式域,并且 Electr
onic, Inc. 的网络管理员已经决定使用根据策略访问的管理模式。所有用户帐户
的远程访问许可都被设置为通过远程访问策略控制访问。向连接请求授予远程访
问权限是由第一个匹配的远程访问策略上的远程访问权限设置控制的。远程访问
策略用于根据组成员身份应用不同的 VPN 连接设置,可删除称为如果启用拨入许
可,就允许访问的默认远程访问策略。
有关详细信息,请参见 Windows 2000 Server 帮助中的“远程访问策略管理模型
”主题。
域配置
为充分利用对不同类型的 VPN 连接应用不同连接设置的能力,创建了下列 Wind
ows 2000 组:
VPN_Users
用于远程访问 VPN 连接
VPN_Routers
用于来自 Electronic, Inc. 分支机构的路由器到路由器 VPN 连接
VPN_Partners
用于来自 Electronic, Inc. 业务伙伴的路由器到路由器 VPN 连接
备注 此方案中的所有用户和组都创建在 electronic.microsoft.com Active Di
rectory™ 域中。
安全配置
要启用基于 IPSec 的 L2TP 和远程访问客户对智能卡的使用,可将 Electronic
, Inc. 域配置成给所有域成员自动登记机器证书。
有关详细信息,请参见附录 A 中“配置自动证书分配”的过程。
雇员的 VPN 远程访问
Electronic, Inc. 雇员的远程访问是用通过 Internet 的远程访问 VPN 连接,
根据本文“VPN 服务器的通用配置”部分配置的设置和下列额外设置而部署的。
图 2 显示提供远程访问 VPN 连接的 Electronic, Inc. VPN 服务器。
如果您的浏览器不支持内嵌框,单击此处以在单独的页面上查看。
图 2 提供远程访问 VPN 连接的 Electronic, Inc. VPN 服务器
域配置
对每个获准 VPN 访问的雇员:
用户帐户拨入属性的远程访问权限被设置为通过远程访问策略控制访问。
用户帐户被添加到 VPN_Users Windows 2000 组中。
远程访问策略配置
为定义远程访问 VPN 客户的身份验证和加密设置,创建了下面的远程访问策略:
策略名:远程访问 VPN 客户
条件:
NAS-Port-Type 设置为 Virtual (VPN)。
Windows-Groups 设置为 VPN_Users。
Called-Station-ID 设置为 207.46.130.1。
权限设置为授予远程访问权限。
配置文件设置:
身份验证选项卡:选择可扩展身份验证协议,并且配置智能卡或其它证书 (TLS)
使用已安装的机器证书。还选择 Microsoft 加密身份验证版本 2 (MS-CHAP v2
) 和 Microsoft 加密身份验证 (MS-CHAP)。
加密选项卡:只选择强加密和最强加密选项。
备注 Called-Station-ID 条件被设定为 VPN 服务器 Internet 接口的 IP 地址
。只允许从 Internet 发起的隧道连接。不允许从 Electronic, Inc. Intranet
发起的隧道连接。要求从 Electronic, Inc. Intranet 访问 Internet 的 Ele
ctronic, Inc. 用户都必须通过 Electronic, Inc. 代理服务器(没有显示),
它控制和监视 Internet 访问。
基于 PPTP 的远程访问客户配置
用建立新连接向导在客户计算机上使用下列配置创建 VPN 连接:
主机名称或 IP 地址:vpn.electronic.microsoft.com
VPN 连接设置被修改如下:
在网络选项卡上,我正在呼叫的拨号服务器的类型设置为点对点隧道协议 (PPTP
)。这样做是为在连接时提供更好的性能。当我正在呼叫的拨号服务器的类型设置
为自动时,首先尝试 L2TP 连接的 IPSec 安全关联 (SA)。通过为 PPTP 配置连
接,不尝试 L2TP 连接的 IPSec SA。
基于 L2TP 的远程访问客户配?/b>
远程访问计算机通过到 Electronic, Inc. Intranet 的局域网 (LAN) 连接登录
到 Electronic, Inc. 域,并通过自动登记收到一个证书。然后,使用建立新连
接向导用下列配置创建 VPN 连接:
主机名或 IP 地址:vpn.electronic.microsoft.com
VPN 连接设置被修改如下:
在网络选项卡上,我正在呼叫的拨号服务器的类型设置为第 2 层隧道协议 (L2T
P)。当我正在呼叫的拨号服务器的类型设置为自动时,首先尝试 L2TP 连接的 I
PSec 安全关联 (SA)。如果 IPSec SA 不成功,则尝试 PPTP 连接。在本案例中
,Electronic, Inc. 的网络管理员不希望能够建立 L2TP 连接的远程访问客户退
回到 PPTP 连接。
按需的分支机构
Electronic, Inc. 的波特兰和达拉斯分部通过使用按需的路由器到路由器 VPN
连接而连接到企业总部。波特兰和达拉斯分部都有很少的雇员,他们只需偶尔连
接到企业总部。波特兰和达拉斯分部的 Windows 2000 路由器配备有一个 ISDN
适配器,它拨号到本地的 Internet 服务提供商获取 Internet 访问,然后通过
Internet 建立一个路由器到路由器 VPN 连接。当 VPN 连接五分钟没有使用时
,分支机构的路由器就终止 VPN 连接。
达拉斯分部使用 IP 网络 ID 192.168.28.0,子网掩码 255.255.255.0。波特兰
分部使用 IP 网络 ID 192.168.4.0,子网掩码 255.255.255.0。
为简化配置,VPN 连接是单向发起的连接,它总是由分支机构的路由器发起。有
关详细信息,请参见 Windows 2000 Server 帮助中的“单向初始的请求拨号连接
”主题。
图 3 显示提供按需分支机构连接的 Electronic, Inc. VPN 服务器。
如果您的浏览器不支持内嵌框,单击此处以在单独的页面上查看。
图 3 提供按需分支机构连接的 Electronic, Inc. VPN 服务器
要根据本文“VPN 服务器的通用配置”部分配置的设置来部署按需路由器到路由
器连接,将波特兰和达拉斯分部连接到企业总部,需配置下列额外设置。
域配置
对于到达拉斯分部的 VPN 连接,可用下列设置创建用户帐户 VPN_Dallas:
密码 nY7W{q8~=z3。
对于 VPN_Dallas 帐户的拨入属性,远程访问权限设置为通过远程访问策略控制
访问,并添加子网掩码为 255.255.255.0 的 192.168.28.0 的静态路由。
对于 VPN_Dallas 的帐户属性,选择了帐户永不过期帐户选项。
帐户 VPN_Dallas 被添加到 VPN_Routers 组。
对于到波特兰分部的 VPN 连接,可用下列设置创建用户帐户 VPN_Portland:
密码 P*4s=wq!Gx1。
对于 VPN_Portland 帐户的拨入属性,远程访问权限设置为通过远程访问策略控
制访问,并添加子网掩码为 255.255.255.0 的 192.168.4.0 的静态路由。
对于 VPN_Portland 的帐户属性,选择了帐户永不过期帐户选项。
帐户 VPN_Portland 被添加到 VPN_Routers 组。
远程访问策略配置
要定义 VPN 路由器的身份验证和加密设置,可创建下列远程访问策略:
策略名:VPN 路由器。
条件:
NAS-Port-Type 设置为 Virtual (VPN)。
Windows-Groups 设置为 VPN_Routers。
Called-Station-ID 设置为 207.46.130.1。
权限设置为授予远程访问权限。
配置文件设置:
身份验证选项卡:选择可扩展身份验证协议,并且配置智能卡或其它证书 (TLS)
使用已安装的机器证书。还选择 Microsoft 加密身份验证版本 2 (MS-CHAP v2
)。
加密选项卡:只选择强加密和最强加密选项。
备注 Called-Station-ID 被设置为 VPN 服务器 Internet 接口的 IP 地址。只
允许从 Internet 发起的隧道连接。不允许从 Electronic, Inc. Intranet 发起
的隧道连接。要求从 Electronic, Inc. Intranet 访问 Internet 的 Electron
ic, Inc. 用户必须通过 Electronic, Inc. 代理服务器(没有显示),它控制和
监视 Internet 访问。
下面的几部分介绍达拉斯分部基于 PPTP 的按需分支机构连接和波特兰分部基于
L2TP 的按需分支机构连接。
基于 PPTP 的按需分支机构
达拉斯分部是一个基于 PPTP 的分支机构,它使用 Windows 2000 路由器在需要
时与纽约的 VPN 服务器创建一个按需的、路由器到路由器 VPN 连接。当建立连
接并空闲五分钟后,连接就被终止。
要根据本文“VPN 服务器的通用配置”和“按需分支机构”部分配置的设置,来
部署连接企业总部的单向发起的、按需 PPTP 路由器到路由器连接,需在达拉斯
路由器上配置下列额外设置。
ISP 连接的请求拨号接口
要使用本地 ISP 将达拉斯分部路由器连接到 Internet,可用请求拨号接口向导
和下列设置创建一个请求拨号接口:
接口名称
ISP
连接类型
选择了使用调制解调器、ISDN 适配器或其它设备连接。
选择设备
选择了适当的 ISDN 设备。
电话号码或地址
达拉斯分部 ISP 的电话号码。
协议及安全设置
选中“在此接口上选择 IP 数据包路由”复选框。
拨出凭据
用户名:达拉斯分部 ISP 帐户名称
密码:达拉斯分部 ISP 帐户密码
确认密码:达拉斯分部 ISP 帐户密码
要运行“请求拨号接口”向导,右击路由接口,然后单击新建请求拨号接口。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将达拉斯分部路由器连接到 VP
N 服务器,可用请求拨号接口向导和下列设置创建一个请求拨号接口:
接口名称
CorpHQ
连接类型
选择使用虚拟专用网络连接 (VPN)。
VPN 类型
选择点对点隧道协议 (PPTP)。
目标地址
207.46.130.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:VPN_Dallas
域:electronic.microsoft.com
密码:nY7W{q8~=z3
确认密码:nY7W{q8~=z3
企业总部和分支机构的静态路由
要使企业 Intranet 的所有位置都能到达,需配置下列静态路由:
接口:CorpHQ
目的位置:172.16.0.0
子网掩码:255.240.0.0
跃点数:1
要使 Electronic, Inc. 分支机构上的所有位置都能到达,配置下列静态路由:
接口:CorpHQ
目的位置:192.168.0.0
子网掩码:255.255.0.0
跃点数:1
Electronic, Inc. VPN 服务器的静态路由
要在需要建立路由器到路由器 VPN 连接时创建到达拉斯 ISP 的连接,可配置如
下静态路由:
接口:ISP
目的位置:207.46.130.1
子网掩码:255.255.255.255
跃点数:1
连接 ISP 的请求拨号接口上的 PPTP 数据包筛选器
要确保 Internet 的连接上只允许基于 PPTP 的通信,可在 ISP 请求拨号接口上
配置 PPTP 数据包筛选器。有关详细信息,请参见附录 A 中“添加 PPTP 数据包
筛选器”的过程。
基于 L2TP 的按需分支机构
波特兰分部是一个基于 L2TP 的分支机构,它使用 Windows 2000 路由器在需要
时与纽约的 VPN 服务器创建一个按需的、路由器到路由器 VPN 连接。当建立连
接并空闲五分钟后,连接就被终止。
要根据本文“VPN 服务器的通用配置”和“按需分支机构”部分配置的设置来部
署连接企业总部的单向发起的、按需 L2TP 路由器到路由器连接,可在波特兰路
由器上配置下列额外设置:
证书配置
波特兰路由器是在物理连接到 Electronic, Inc. Intranet 时由 Electronic,
Inc. 网络管理员配置的,然后被运送到波特兰站点。当波特兰路由器被连接到
Electronic, Inc. 的 Intranet 时,就通过自动登记安装了一个计算机证书。
ISP 连接的请求拨号接口
要使用本地 ISP 将波特兰分部路由器连接到 Internet,可使用请求拨号接口向
导和下列设置创建一个请求拨号接口:
接口名称
ISP
连接类型
选择使用调制解调器、ISDN 适配器或其它设备连接。
选择设备
选择适当的 ISDN 设备。
电话号码或地址
波特兰分部 ISP 的电话号码。
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:波特兰分部 ISP 帐户名称。
密码:波特兰分部 ISP 帐户密码。
确认密码:波特兰分部 ISP 帐户密码。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将波特兰分部路由器连接到 VP
N 服务器,可使用请求拨号接口向导和下列设置创建一个请求拨号接口:
接口名称
CorpHQ
连接类型
选择使用虚拟专用网络连接(VPN)。
VPN 类型
选择第 2 层隧道协议 (L2TP)。
目标地址
207.46.130.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:VPN_Portland
域:electronic.microsoft.com
密码:P*4s=wq!Gx1
确认密码:P*4s=wq!Gx1
企业总部和分支机构的静态路由
要使企业 Intranet 的所有位置都可到达,可配置下列静态路由:
接口:CorpHQ
目的位置:172.16.0.0
子网掩码:255.240.0.0
跃点数:1
要使 Electronic, Inc. 分支机构上的所有位置都可到达,可配置下列静态路由
:
接口:CorpHQ
目的位置:192.168.0.0
子网掩码:255.255.0.0
跃点数:1
Electronic, Inc. VPN 服务器的静态路由
要在需要建立路由器到路由器 VPN 连接时创建到波特兰 ISP 的连接,可配置下
面的静态路由:
接口:ISP
目的位置:207.46.130.1
子网掩码:255.255.255.255
跃点数:1
连接 ISP 的请求拨号接口上基于 IPSec 的 L2TP 数据包筛选器
要确保 Internet 的连接上只允许基于 IPSec 的 L2TP 通信,可在 ISP 请求拨
号接口上配置基于 IPSec 的 L2TP 数据包筛选器。有关详细信息,请参见附录
A 中的“添加 L2TP 数据包筛选器”过程。
持续的分支机构
Electronic, Inc. 的芝加哥和菲尼克斯分部通过使用一天 24 小时持续的路由器
到路由器 VPN 连接连接到企业总部。芝加哥和菲尼克斯的 Windows 2000 路由器
分部配备有 T1 WAN 适配器,它有到本地 Internet 服务提供商的永久连接以获
得 Internet 访问。
芝加哥分部使用 IP 网络 ID 192.168.9.0,子网掩码 255.255.255.0。芝加哥分
部路由器对它的 Internet 接口使用公用 IP 地址 131.107.0.1。菲尼克斯分部
使用 IP 网络 ID 192.168.14.0,子网掩码 255.255.255.0。菲尼克斯分部路由
器对它的 Internet 接口使用公用 IP 地址 131.107.128.1。
该 VPN 连接是双向发起的连接。连接可以从分部路由器或 VPN 服务器发起。双
向发起的连接需要在连接两端的路由器上创建请求拨号接口、远程访问策略、IP
地址池和数据包筛选器。
图 4 显示提供持续分支机构连接的 Electronic, Inc. VPN 服务器。
如果您的浏览器不支持内嵌框,单击此处以在单独的页面上查看。
图 4 提供持续分支机构连接的 Electronic, Inc. VPN 服务器
要根据本文“VPN 服务器的通用配置”部分配置的设置来部署持续路由器到路由
器连接,将芝加哥和菲尼克斯分部连接到企业总部,可配置下列额外设置。
域配置
对于由芝加哥路由器启动的芝加哥分部 VPN 连接,可用下列设置创建用户帐户
VPN_Chicago:
密码 U9!j5dP(%q1。
对于 VPN_Chicago 帐户的拨入属性,远程访问权限设置为通过远程访问策略控制
访问。
对于 VPN_Chicago 的帐户属性,选择帐户永不过期帐户选项。
帐户 VPN_Chicago 被添加到 VPN_Routers 组。
对于由菲尼克斯路由器启动的菲尼克斯分部 VPN 连接,可用下列设置创建用户帐
户 VPN_Phoenix:
密码 z2F%s)bW$4f。
对于 VPN_Phoenix 帐户的拨入属性,远程访问权限设置为通过远程访问策略控制
访问。
对于 VPN_Phoenix 的帐户属性,选择帐户永不过期帐户选项。
帐户 VPN_Phoenix 被添加到 VPN_Routers 组。
对于由 VPN 服务器发起的芝加哥分部 VPN 连接和菲尼克斯分部 VPN 连接,可用
下列设置创建用户帐户 VPN_CorpHQ:
密码 o3\Dn6@`-J4。
对于 VPN_CorpHQ 帐户的拨入属性,远程访问权限设置为通过远程访问策略控制
访问。
帐户 VPN_CorpHQ 被添加到 VPN_Routers 组。
远程访问策略配置
必须在 VPN 服务器、芝加哥路由器和菲尼克斯路由器上配置远程访问策略。
VPN 服务器上的远程访问策略
VPN 服务器上的远程访问策略配置和本文“按需分支机构”部分描述的一样。
芝加哥路由器上的远程访问策略配置
要为 VPN 连接定义身份验证和加密设置,需删除称为如果启用拨入许可,就允许
访问的默认远程访问策略,并创建下面的远程访问策略。
策略名:VPN 路由器
条件:
NAS-Port-Type 设置为 Virtual (VPN)
Windows-Groups 设置为 VPN_Routers
Called-Station-ID 设置为 131.107.0.1
权限设置为授予远程访问权限
配置文件设置:
身份验证选项卡:选择可扩展身份验证协议,并且配置智能卡或其它证书 (TLS)
使用已安装的机器证书。还选定 Microsoft 加密身份验证版本 2 (MS-CHAP v2
)。
加密 选项卡:只选定强加密和最强加密选项。
备注 Called-Station-ID 被设置为分支机构路由器 Internet 接口的 IP 地址。
只允许从 Internet 发起的隧道连接。不允许从 Electronic, Inc. 分支机构网
络发起的隧道连接。
菲尼克斯路由器上的远程访问策略配置
要为 VPN 连接定义身份验证和加密设置,需删除称为如果启用拨入许可,就允许
访问的默认远程访问策略,并创建下面的远程访问策略:
策略名:VPN 路由器
条件:
NAS-Port-Type 设置为 Virtual (VPN)
Windows-Groups 设置为 VPN_Routers
Called-Station-ID 设置为 131.107.128.1
权限设置为授予远程访问权限
配置文件设置:
身份验证选项卡:选择可扩展身份验证协议,并且配置智能卡或其它证书 (TLS)
使用已安装的机器证书。还选定 Microsoft 加密身份验证版本 2 (MS-CHAP v2
)。
加密选项卡:只选定强加密和最强加密选项。
备注 Called-Station-ID 被设置为分支机构路由器 Internet 接口的 IP 地址。
只允许从 Internet 发起的隧道连接。不允许从 Electronic, Inc. 分支机构网
络发起的隧道连接。
IP 地址池配置
必须在 VPN 服务器、芝加哥路由器和菲尼克斯路由器上配置 IP 地址池。
VPN 服务器上的 IP 地址池配置
VPN 服务器上的 IP 地址池配置和本文“VPN 服务器的通用配置”部分描述的一
样。
芝加哥路由器上的 IP 地址池配置
配置以 IP 地址 192.168.9.248 开始,以 IP 地址 192.168.9.253 结束的静态
IP 地址池。这为多达 5 个 VPN 客户创建了静态地址池。
详细信息,请参见附录 A 中“创建静态 IP 地址池”的过程。
菲尼克斯路由器上的 IP 地址池配置
配置以 IP 地址 192.168.14.248 开始,以 IP 地址 192.168.14.253 结束的静
态 IP 地址池。这为多达 5 个 VPN 客户创建了静态地址池。
详细信息,请参见附录 A 中“创建静态 IP 地址池”的过程。
下面的部分描述芝加哥分部基于 PPTP 的持续分支机构连接和菲尼克斯分部基于
L2TP 的持续分支机构连接。
基于 PPTP 的持续分支机构
芝加哥分部是一个基于 PPTP 的分支机构,它使用 Windows 2000 路由器与纽约
的 VPN 服务器创建一个持续的、路由器到路由器 VPN 连接。此连接永远不被终
止,即使处于空闲状态。
要根据本文“VPN 服务器的通用配置”和“持续分支机构”部分配置的设置来部
署连接企业总部双向发起的、持续的 PPTP 路由器到路由器 VPN 连接,可在 VP
N 服务器和芝加哥路由器上配置下列设置。
VPN 服务器配置
VPN 服务器配置了请求拨号接口、静态路由和 PPTP 数据包筛选器。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将芝加哥路由器连接到 VPN 服
务器,可用请求拨号接口向导和下列设置创建一个请求拨号接口:
接口名称
VPN_Chicago
连接类型
选择使用虚拟专用网络连接(VPN)。
VPN 类型
选择点对点隧道协议 (PPTP)。
目标地址
131.107.0.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:VPN_CorpHQ
域:electronic.microsoft.com
密码:o3\Dn6@`-J4
确认密码:o3\Dn6@`-J4
创建请求拨号接口后,进行下列更改:
对请求拨号接口的属性,在选项选项卡上连接类型下选择持续型连接。
芝加哥分部网络的静态路由
要使芝加哥网络上所有位置都可到达,可配置下列静态路由:
接口:VPN_Chicago
目的位置:192.168.9.0
子网掩码:255.255.255.0
跃点数:1
芝加哥路由器配置
芝加哥路由器配置了请求拨号接口和静态路由。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将芝加哥分部路由器连接到 VP
N 服务器,可用“请求拨号接口”向导和下列设置创建一个请求拨号接口:
接口名称
VPN_CorpHQ
连接类型
选择使用虚拟专用网络连接(VPN)。
VPN 类型
选择点对点隧道协议 (PPTP)。
目标地址
207.46.130.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:VPN_Chicago
域:electronic.microsoft.com
密码:U9!j5dP(%q1
确认密码:U9!j5dP(%q1
创建请求拨号接口后,进行下列更改:
对请求拨号接口的属性,在选项选项卡上连接类型下选择持续型连接。要查看请
求拨号接口的属性,请单击路由接口,右击想要的请求拨号接口,然后单击属性
。
Electronic, Inc. VPN 服务器的静态路由
要使 Internet 上 Electronic, Inc. VPN 服务器的所有位置都可到达,可配置
下列静态路由:
接口:连接 Internet 的 WAN 适配器。
目的位置:207.46.130.1
子网掩码:255.255.255.255
网关:0.0.0.0
跃点数:1
备注 因为 WAN 适配器创建到 ISP 的点对点连接,所以可以为网关输入任何地址
。如网关地址 0.0.0.0 就是一个例子。0.0.0.0 是未指定的 IP 地址。
企业 Intranet 和分支机构的静态路由
要使企业 Intranet 的所有位置都可到达,可配置下列静态路由:
接口:VPN_CorpHQ
目的位置:172.16.0.0
子网掩码:255.240.0.0
跃点数:1
要使 Electronic, Inc. 分支机构上的所有位置都可到达,可配置下列静态路由
:
接口:VPN_CorpHQ
目的位置:192.168.0.0
子网掩码:255.255.0.0
跃点数:1
Internet 接口上的 PPTP 数据包筛选器
要确保 Internet 连接上只允许基于 PPTP 的通信,可以在 Internet 接口上配
置 PPTP 数据包筛选器。有关详细信息,请参见附录 A 中“添加 PPTP 数据包筛
选器”的过程。
基于 L2TP 的持续分支机构
菲尼克斯分部是一个基于 L2TP 的分支机构,它使用 Windows 2000 路由器与纽
约的 VPN 服务器创建一个持续的、路由器到路由器 VPN 连接。连接永不终止,
即使处于空闲状态。
要根据本文“VPN 服务器的通用配置”和“持续分支机构连接”部分配置的设置
来部署连接企业总部双向发起的、持续 L2TP 路由器到路由器 VPN 连接,可在
VPN 服务器和菲尼克斯路由器上配置下列设置。
VPN 服务器配置
VPN 服务器配置了请求拨号接口和静态路由。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将 VPN 服务器连接到菲尼克斯
路由器,可用请求拨号接口向导和下列设置创建一个请求拨号接口:
接口名称
VPN_Phoenix
连接类型
选择使用虚拟专用网络连接 (VPN)。
VPN 类型
选择第 2 层隧道协议 (L2TP)。
目标地址
131.107.128.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:VPN_CorpHQ
域:electronic.microsoft.com
密码:o3\Dn6@`-J4
确认密码:o3\Dn6@`-J4
创建请求拨号接口后,进行下列更改:
对请求拨号接口的属性,在选项选项卡上连接类型下选择持续型连接。
菲尼克斯分部网络的静态路由
要使菲尼克斯网络上所有位置都可到达,可配置下列静态路由:
接口:VPN_Phoenix
目的位置:192.168.14.0
子网掩码:255.255.255.0
跃点数:1
菲尼克斯路由器配置
菲尼克斯路由器是在连接到 Electronic, Inc. Intranet 时由 Electronic, In
c. 网络管理员配置的,然后被运送到菲尼克斯站点。当菲尼克斯路由器连接 El
ectronic, Inc. Intranet 时,通过自动登记安装了一个计算机证书。此外,菲
尼克斯路由器计算机配置了请求拨号接口和静态路由。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将菲尼克斯分部路由器连接到
VPN 服务器,可用请求拨号接口向导和下列设置创建一个请求拨号接口:
接口名称
VPN_CorpHQ
连接类型
选择使用虚拟专用网络连接 (VPN)。
VPN 类型
选择了第 2 层隧道协议 (L2TP)。
目标地址
207.46.130.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:VPN_Phoenix
域:electronic.microsoft.com
密码:z2F%s)bW$4f
确认密码:z2F%s)bW$4f
创建请求拨号接口后,进行下列更改:
对请求拨号接口的属性,在选项选项卡上连接类型下选择持续型连接。
Electronic, Inc. VPN 服务器的静态路由
要使 Internet 上 Electronic, Inc. VPN 服务器的所有位置都可到达,可配置
下列静态路由:
接口:连接 Internet 的 WAN 适配器。
目的位置:207.46.130.1
子网掩码:255.255.255.255
网关:0.0.0.0
跃点数:1
备注 因为 WAN 适配器创建到 ISP 的点对点连接,所以可以为网关输入任何地址
。如网关地址 0.0.0.0 就是一个例子。0.0.0.0 是未指定的 IP 地址。
企业 Intranet 和分支机构的静态路由
要使企业 Intranet 的所有位置都可到达,可配置下列静态路由:
接口:VPN_CorpHQ
目的位置:172.16.0.0
子网掩码:255.240.0.0
跃点数:1
要使 Electronic, Inc. 分支机构上的所有位置都可到达,可配置下列静态路由
:
接口:VPN_CorpHQ
目的位置:192.168.0.0
子网掩码:255.255.0.0
跃点数:1
Internet 接口上基于 IPSec 的 L2TP 数据包筛选器
要确保 Internet 连接上只允许基于 IPSec 的 L2TP 通信,可在 Internet 接口
上配置基于 IPSec 的 L2TP 数据包筛选器。有关详细信息,请参见附录 A 中“
添加 L2TP 数据包筛选器”的过程。
业务伙伴的 Extranet
Electronic, Inc. 的网络管理员创建了一个 Extranet,它是 Electronic, Inc
. 专用网络的一部分,可供业务伙伴通过安全的 VPN 连接来使用。Electronic,
Inc. Extranet 是连接到 Electronic, Inc. VPN 服务器的网络,它包括一个文
件服务器和一个 Web 服务器。部件分销商 Tasmanian Traders 和 Parnell Aer
ospace 是 Electronic, Inc. 的业务伙伴,他们使用按需的、路由器到路由器
VPN 连接而连接到 Electronic, Inc. Extranet。还使用了额外的远程访问策略
以确保业务伙伴只能访问 Extranet 文件服务器和 Web 服务器。
Electronic, Inc. Extranet 上的文件服务器配置了 IP 地址 172.31.0.10,We
b 服务器配置了 IP 地址 172.31.0.11。Tasmanian Traders 使用公用网络 ID
131.107.254.0,子网掩码 255.255.255.0。Parnell Aerospace 使用公用网络
ID 131.107.250.0,子网掩码 255.255.255.0。要确保业务伙伴能够访问 Extra
net Web 服务器和文件服务器,在文件服务器和 Web 服务器上为使用网关地址
172.31.0.1 的每个业务伙伴网络配置了静态路由。
为简化配置,VPN 连接是单向发起的连接。连接总是由业务伙伴的路由器发起。
有关详细信息,请参见 Windows 2000 Server 帮助中的“单向初始的请求拨号连
接”主题。
图 5 显示为业务伙伴提供 Extranet 连接的 Electronic, Inc. VPN 服务器。
如果您的浏览器不支持内嵌框,单击此处以在单独的页面上查看。
图 5 为业务伙伴提供 Extranet 连接的 Electronic, Inc. VPN 服务器
要根据本文“VPN 服务器的通用配置”部分配置的设置来部署业务伙伴按需的、
单向发起路由器到路由器 VPN 连接,将 Tasmanian Traders 和 Parnell Aeros
pace 连接到 Electronic, Inc. Extranet,可配置下列额外设置。
域配置
对于到 Tasmanian Traders 的 VPN 连接,可用下列设置创建用户帐户 PTR_Tas
manian:
密码 Y8#-vR7?]fI。
对于 PTR_Tasmanian 帐户的拨入属性,远程访问权限被设置为通过远程访问策略
控制访问,并添加子网掩码为 255.255.255.0 的静态路由 131.107.254.0。
对于 PTR_Tasmanian 的帐户属性,启用帐户永不过期帐户选项。
帐户 PTR_Tasmanian 被添加到 VPN_Partners 组。
对于到 Parnell Aerospace 的 VPN 连接,可用下列设置创建用户帐户 PTR_Par
nell:
密码 W@8c^4r-;2\。
对于 PTR_Parnell 帐户的拨入属性,远程访问权限被设置为通过远程访问策略控
制访问,并添加子网掩码为 255.255.255.0 的静态路由 131.107.250.0。
对于 PTR_Parnell 的帐户属性,选择帐户永不过期帐户选项。
帐户 PTR_Parnell 被添加到 VPN_Partners 组。
远程访问策略配置
要定义业务伙伴 VPN 连接的身份验证和加密设置,可创建下面的远程访问策略:
策略名:VPN 业务伙伴
条件:
NAS-Port-Type 设置为 Virtual (VPN)
Windows-Groups 设置为 VPN_Partners
Called-Station-ID 设置为 207.46.130.1
权限设置为授予远程访问权限
配置文件设置:
在 IP 选项卡上,配置下面的 TCP/IP 数据包筛选器:
来自客户端:
筛选器操作:除下面列出的外,拒绝所有通信
筛选器 1:目标网络 IP 地址 172.31.0.10 子网掩码 255.255.255.255
筛选器 2:目标网络 IP 地址 172.31.0.11 子网掩码 255.255.255.255
到客户端:
筛选器操作:除下面列出的外,拒绝所有通信
筛选器 1:源网络 IP 地址 172.31.0.10 子网掩码 255.255.255.255
筛选器 2:源网络 IP 地址 172.31.0.11 子网掩码 255.255.255.255
身份验证选项卡:选择可扩展身份验证协议,并且配置智能卡或其它证书 (TLS)
使用已安装的机器证书。还选定 Microsoft 加密身份验证版本 2 (MS-CHAP v2
)。
加密选项卡:只选择强加密和最强加密选项。
备注 Called-Station-ID 被设定为 VPN 服务器 Internet 接口的 IP 地址。只
允许从 Internet 发起的隧道连接。不允许从 Electronic, Inc. Intranet 发起
的隧道连接。要求从 Electronic, Inc. Intranet 访问 Internet 的 Electron
ic, Inc. 用户必须通过 Electronic, Inc. 代理服务器(没有显示),它控制和
监视 Internet 访问。
下面的部分描述业务伙伴 Tasmanian Traders 基于 PPTP 的 Extranet 和业务伙
伴 Parnell Aerospace 基于 L2TP 的 Extranet。
业务伙伴基于 PPTP 的 Extranet
Tasmanian Traders 是一个业务伙伴,它使用 Windows 2000 路由器在需要时与
纽约的 VPN 服务器创建一个按需的、基于 PPTP 的路由器到路由器 VPN 连接。
当建立连接并且空闲五分钟后,连接就被终止。Tasmanian Traders 路由器通过
永久 WAN 连接而连接到 Internet。
要根据本文“VPN 服务器的通用配置”和“业务伙伴的 Extranet”部分中配置的
设置部署到企业总部的单向发起的、按需的 PPTP 路由器到路由器 VPN 连接,可
在 Tasmanian Traders 路由器上配置下列设置。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将 Tasmanian Traders 路由器
连接到 Electronic, Inc. VPN 服务器,可用请求拨号接口向导和下列设置创建
一个请求拨号接口:
接口名称
Electronic
连接类型
选择使用虚拟专用网络连接 (VPN)。
VPN 类型
选择点对点隧道协议 (PPTP)。
目标地址
207.46.130.1
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:PTR_Tasmanian
域:electronic.microsoft.com
密码:Y8#-vR7?]fI
确认密码:Y8#-vR7?]fI
Electronic, Inc. Extranet 的静态路由
要使 Electronic, Inc. Extranet 上的所有位置都可到达,可配置下列静态路由
:
接口:Electronic
目的位置:172.31.0.0
子网掩码:255.255.0.0
跃点数:1
Internet 接口上的 PPTP 数据包筛选器
要确保 Internet 连接上只允许基于 PPTP 的通信,可在 Internet 接口上配置
PPTP 数据包筛选器。有关详细信息,请参见附录 A 中“添加 PPTP 数据包筛选
器”的过程。
业务伙伴基于 L2TP 的 Extranet
Parnell Aerospace 是一个业务伙伴,它使用 Windows 2000 路由器在需要时与
纽约的 VPN 服务器创建一个按需的、基于 L2TP 的路由器到路由器 VPN 连接。
当建立连接并空闲五分钟后,连接就被终止。Parnell Aerospace 路由器使用永
久 WAN 连接而连接到 Internet。
要根据本文“VPN 服务器的通用配置”和“业务伙伴的 Extranet”部分配置的设
置来部署到企业总部的单向发起的、按需的 L2TP 路由器到路由器 VPN 连接,可
在 Parnell Aerospace 路由器上配置下列设置:
证书配置
Parnell Aerospace 路由器是在它物理连接 Electronic, Inc. 的 Intranet 时
由 Electronic, Inc. 网络管理员配置的,然后运送给 Parnell Aerospace 的网
络管理员。当 Parnell Aerospace 路由器物理连接 Electronic, Inc. Intrane
t 时,通过自动登记安装了一个计算机证书。
路由器到路由器 VPN 连接的请求拨号接口
要使用路由器到路由器 VPN 连接通过 Internet 将 Parnell Aerospace 路由器
连接到 Electronic, Inc. VPN 服务器,可用请求拨号接口向导和下列设置创建
一个请求拨号接口:
接口名称
Electronic
连接类型
选择使用虚拟专用网络连接 (VPN)。
VPN 类型
选择第 2 层隧道协议 (L2TP)。
目标地址
207.46.130.1(这是 Internet 上 Electronic, Inc. VPN 服务器接口的 IP 地
址)。
协议及安全设置
选中在此接口上选择 IP 数据包路由复选框。
拨出凭据
用户名:PTR_Parnell
域:electronic.microsoft.com
密码:W@8c^4r-;2\
确认密码:W@8c^4r-;2\
Electronic, Inc. Extranet 的静态路由
要使 Electronic, Inc. Extranet 上的所有位置都可到达,可配置下列静态路由
:
接口:Electronic
目的位置:172.31.0.0
子网掩码:255.255.0.0
跃点数:1
Internet 接口上基于 IPSec 的 L2TP 数据包筛选器
要确保 Internet 连接上只允许基于 IPSec 的 L2TP 通信,可在 Internet 接口
上配置基于 IPSec 的 L2TP 数据包筛选器。有关详细信息,请参见附录 A 中“
添加 L2TP 数据包筛选器”的过程。
使用 RADIUS 身份验证的拨号和 VPN。
除了基于 VPN 的远程访问,Electronic, Inc. 的网络管理员还希望为纽约分部
的雇员提供基于调制解调器的拨号远程访问。纽约分部的所有雇员都属于一个称
为 NY_Employees 的基于 Windows 2000 的组。运行 Windows 2000 的另外一个
远程访问服务器通过电话号码 555-0111 提供拨号远程访问。网络管理员并非单
独地管理 VPN 服务器和远程访问服务器的远程访问策略,而是使用一台装有 In
ternet 验证服务 (IAS) 的 Windows 2000 计算机作为 RADIUS 服务器。IAS 服
务器在 Electronic, Inc. Extranet 上有 IP 地址 172.31.0.9,并且同时为远
程访问服务器和 VPN 服务器提供集中的远程访问身份验证、授权和计帐。
图 6 显示为 VPN 服务器和远程访问服务器提供身份验证和计帐的 Electronic,
Inc. RADIUS 服务器。
如果您的浏览器不支持内嵌框,单击此处以在单独的页面上查看。
图 6 为 VPN 服务器和远程访问服务器提供身份验证和计帐的 Electronic, Inc
. RADIUS 服务器。
域配置
对纽约分部每个获准拨号访问的雇员,用户帐户拨入属性的远程访问权限设定为
通过远程访问策略控制访问。
远程访问策略配置
必须用两种方式修改远程访问策略:
运行 Windows 2000 的 VPN 服务器上配置的现有远程访问策略必须复制到 IAS
服务器上。
必须为 IAS 服务器上的拨号远程访问客户添加新的远程访问策略。
复制远程访问策略
运行 Windows 2000 的 VPN 服务器被配置使用 RADIUS 身份验证后,就不再使用
存储在 VPN 服务器上的远程访问策略。相反,使用存储在运行 Windows 2000 的
IAS 服务器上的远程访问策略。因此,现有的远程访问策略集被复制到 IAS 服
务器上。
有关详细信息,请参见附录 A 中“将 IAS 配置复制到另一个服务器”的过程。
为拨号远程访问客户新建远程访问策略
要为纽约分部雇员的拨号连接定义身份验证和加密设置,可在 RADIUS 服务器计
算机上创建下面的远程访问策略:
策略名:纽约雇员的拨号
条件:
NAS-Port-Type 设置为“除”Virtual (VPN) 外的所有类型。
Windows-Groups 设置为 NY_Employees。
权限设置为授予远程访问权限。
配置文件设置:
身份验证选项卡:选择可扩展身份验证协议,并且配置智能卡或其它证书 (TLS)
使用已安装的机器证书。还选定 Microsoft 加密身份验证版本 2 (MS-CHAP v2
) 和 Microsoft 加密身份验证 (MS-CHAP)。
加密选项卡:所有选项都被选中。
RADIUS 配置
要配置 RADIUS 身份验证和计帐,Electronic, Inc. 的网络管理员将进行下面的
配置:
RADIUS 服务器是安装了 Internet 验证服务网络组件的 Windows 2000 Server
计算机。为两个 RADIUS 客户配置了 Internet 验证服务:远程访问服务器和 V
PN 服务器。有关详细信息,请参见附录 A 中“注册 RADIUS 客户”的过程。
运行 Windows 2000 的远程访问服务器被配置使用 IP 地址 172.31.0.9 处的 R
ADIUS 身份验证和计帐,它还被配置使用一个共享的机密。有关详细信息,请参
见附录 A 中“配置 RADIUS 身份验证”和“配置 RADIUS 计帐”的过程。
运行 Windows 2000 的 VPN 服务器被配置使用 IP 地址 172.31.0.9 处的 RADI
US 身份验证和计帐,它还被配置使用一个共享的机密。有关详细信息,请参见附
录 A 中“配置 RADIUS 身份验证”和“配置 RADIUS 计帐”的过程。
拨号远程访问客户的配置
使用建立新连接向导创建一个有下列设置的拨号连接:
电话号码:555-0111
附录 A:- 过程
启用路由和远程访问服务
单击开始,指向程序,然后指向管理工具,单击路由和远程访问。
默认情况下,本地计算机被列为服务器。
要添加另一个服务器,请在控制台树中,右击服务器状态,然后单击添加服务器
。
在添加服务器对话框中,单击可用的选项,然后单击确定。
在控制台树中,右击希望启用的服务器,然后单击配置并启用路由和远程访问。
在路由和远程访问服务器安装向导中,单击下一步。
在公共设置中,单击手动配置服务器,单击下一步,然后单击完成。
当被提示时,启动路由和远程访问服务。
备注 如果此服务器是 Windows 2000 Active Directory 域的一个成员,并且您
不是域管理员,则通知域管理员将此服务器的计算机帐户添加到此服务器所在域
的 RAS 和 IAS 服务器安全组中。 域管理员可以使用 Active Directory 用户和
计算机或 netsh ras add registeredserver 命令将计算机帐户添加到 RAS 和
IAS 服务器安全组。
创建静态 IP 地址池
单击开始,指向程序,然后指向管理工具,单击路由和远程访问。
在控制台树中,右击您希望为其创建静态 IP 地址池的服务器,然后单击属性。
在 IP 选项卡上,单击静态地址池,然后单击添加。
在起始 IP 地址中,键入起始 IP 地址,然后或者在结束 IP 地址中为该范围键
入结束 IP 地址,或者在地址数中键入该范围中 IP 地址的数目。
单击确定,然后对任何希望添加的范围重复第 3 步和第 4 步。
备注 如果静态 IP 地址池包括单独子网的 IP 地址范围,那么您需要或者在远程
访问服务器计算机上启用 IP 路由协议,或者向 Intranet 路由器添加包括每个
范围的 {IP 地址,掩码} 的静态路由。 如果没有添加路由,那么远程访问客户
就不能接收来自 Intranet 资源的通信。
启用 EAP
单击开始,指向程序,然后指向管理工具,单击路由和远程访问。
右击希望为其配置 EAP 的服务器名,然后单击属性。
在安全选项卡上,单击身份验证方法。
在身份验证方法对话框中,选择可扩展身份验证协议 (EAP) 复选框,然后单击确
定。
备注 当您启用 EAP 时,就启用了所有已安装的 EAP 类型。默认情况下,安装并
启用 EAP-MD5 CHAP 和 EAP-TLS。要查看已安装的 EAP 类型,单击 EAP 方法。
添加 PPTP 或 L2TP 端口
单击开始,指向程序,然后指向管理工具,单击路由和远程访问。
在控制台树中,单击您希望为其配置 PPTP 或 L2TP 端口的服务器。
在详细资料窗格中,右击端口,然后单击属性。
在端口属性对话框中,单击 WAN 微型端口 (PPTP) 或 WAN 微型端口 (L2TP),然
后单击配置。
在最多端口数中,键入端口的数目,然后单击确定。
单击确定保存对端口属性的更改。
设置设备上的电话号码
单击开始,指向程序,然后指向管理工具,单击路由和远程访问。
在控制台树中,单击您希望为其设置电话号码的服务器。
在详细资料窗格中,右击端口,然后单击属性。
在端口属性对话框中,单击对应于拨号或 VPN 的设备,然后单击配置。
在此设备的电话号码中,键入端口的电话号码。对 VPN 端口,键入 VPN 服务器
Internet 接口的 IP 地址。
单击确定。
添加 PPTP 数据包筛选器
单击开始,指向程序,然后指向管理工具,单击路由和远程访问。
在控制台树中,双击您希望为其配置 PPTP 数据包筛选的服务器。
双击 IP 路由选择。
单击常规。
在详细资料窗格中,右击连接 Internet 的端口,然后单击属性。
在常规选项卡上,单击输入筛选器。
在输入筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选中目标网络复选框。在 IP 地址中,键入 VPN 服
务器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 2
55.255.255.255。在协议中,单击其它。在协议号中,键入 47,然后单击确定。
在输入筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择目标网络复选框。在 IP 地址中,键入 VPN 服
务器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 2
55.255.255.255。在协议中,单击 TCP。在目标端口中,键入 1723,然后单击确
定。
在输入筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择目标网络复选框。在 IP 地址中,键入 VPN 服
务器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 2
55.255.255.255。在协议中,单击 TCP(已建立的)。在源端口中,键入 1723,
然后单击确定。
在输入筛选器对话框中,单击丢弃所有的包,满足下面条件的除外,然后单击确
定。
在常规选项卡上,单击输出筛选器。
在输出筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择源网络复选框。在 IP 地址中,键入 VPN 服务
器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 255
.255.255.255。在协议中,单击其它。在协议号中,键入 47,然后单击确定。
在输出筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择源网络复选框。在 IP 地址中,键入 VPN 服务
器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 255
.255.255.255。在协议中,单击 TCP。在源端口中,键入 1723,然后单击确定。
在输出筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择源网络复选框。在 IP 地址中,键入 VPN 服务
器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 255
.255.255.255。在协议中,单击 TCP(已建立的)。在目标端口中,键入 1723,
然后单击确定。
在输出筛选器对话框中,单击丢弃所有的包,满足下面条件的除外,然后单击确
定。
单击确定保存对接口属性的更改。
添加 L2TP 数据包筛选器
单击开始,指向程序,指向管理工具,然后单击路由和远程访问。
在控制台树中,单击您希望为其配置 L2TP 数据包筛选的服务器。
双击 IP 路由选择。
单击常规。
在详细资料窗格中,右击连接 Internet 的端口,然后单击属性。
在常规选项卡上,单击输入筛选器。
在输入筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择目标网络复选框。在 IP 地?/b>中,键入 VPN
服务器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入
255.255.255.255。在协议中,单击 UDP。在源端口中,键入 500。在目标端口
中,键入 500,然后单击确定。
在输入筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择目标网络复选框。在 IP 地址中,键入 VPN 服
务器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 2
55.255.255.255。在协议中,单击 UDP。在源端口中,键入 1701。在目标端口中
,键入 1701,然后单击确定。
在输入筛选器对话框中,单击丢弃所有的包,满足下面条件的除外,然后单击确
定。
在常规选项卡上,单击输出筛选器。
在输出筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选中源网络复选框。在 IP 地址中,键入 VPN 服务
器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 255
.255.255.255。在协议中,单击 UDP。在源端口中,键入 500。在目标端口中,
键入 500,然后单击确定。
在输出筛选器对话框中,单击添加。
在添加 IP 筛选器对话框中,选择源网络复选框。在 IP 地址中,键入 VPN 服务
器或请求拨号路由器 Internet 接口的 IP 地址,然后在子网掩码中,键入 255
.255.255.255。在协议中,单击 UDP。在源端口中,键入 1701。在目标端口中,
键入 1701,然后单击确定。
在输出筛选器对话框中,单击丢弃所有的包,满足下面条件的除外,然后单击确
定。
单击确定保存对接口属性的更改。
配置自动证书分配
以域管理员身份登录。
单击开始,指向程序,指向管理工具,然后单击 Active Directory 用户和计算
机。
在 Active Directory 用户和计算机中,右击包括您的证书颁发机构 (CA) 的域
,然后单击属性。
单击组策略选项卡,单击默认域策略,然后单击编辑。
在组策略中,双击计算机配置,双击Windows 设置,双击安全设置,然后单击公
钥策略。
右击自动证书申请设置,单击新建,然后单击自动证书申请。
在自动证书申请设置向导中,单击下一步。
在证书模板中,单击计算机,然后单击下一步。
选择您的证书颁发机构,单击下一步,然后单击完成。
关闭组策略控制台。
要在 VPN 服务器上通过自动登记立即获得一个证书,或者重新启动 VPN 服务器
计算机,或者在 Windows 2000 命令提示符下键入 secedit /refreshpolicy ma
chine_policy。
将 IAS 配置复制到另一个服务器
在命令提示符下,键入 netsh aaaa show config <路径>\file.txt。这可将包括
注册表设置在内的配置设置保存在一个文本文件中。路径可以是相对的、绝对的
或 UNC 路径。
将创建的文件复制到目标计算机,并在目标计算机的命令提示符下键入 netsh e
xec <路径>\file.txt。出现一个消息指示更新是否成功。
备注 要运行 netsh exec 命令,不需要在目标计算机上停止 IAS。当此命令运行
之后,IAS 会自动用更新的配置设置刷新。这一过程可复制所有的远程访问策略
、注册表和日志配置。
注册 RADIUS 客户
单击开始,指向程序,指向管理工具,然后单击 Internet 验证服务。
右击客户端,然后单击新建客户端。
在好记的名称中,键入一个描述性名称。
在协议中,单击 RADIUS,然后单击下一步。
在客户端地址(IP 或 DNS)中,键入客户端的 DNS 名或 IP 地址。如果使用 D
NS 名,则单击验证。在解析 DNS 名对话框中,单击解析,然后从搜索结果中选
择希望与名称相关联的 IP 地址。
如果客户端是一个 NAS,并且您为了配置而计划使用 NAS 特定的远程访问策略(
例如,包括供应商特定属性的远程访问策略),则单击客户端-供应商,然后选择
制造商的名称。如果不知道制造商的名称,或其不在列表中,单击 RADIUS Stan
dard。
在共享的机密中,键入客户的共享的机密,然后在确认共享的机密中再输入一遍
。
如果您的 NAS 支持使用数字签名验证(用 PAP、CHAP 或 MS-CHAP),则单击客
户端必须总是在请求中发送签名属性。如果 NAS 不支持 PAP、CHAP 或 MS-CHAP
的数字签名,不要单击这个选项。
备注 如果 IAS 从 RADIUS 代理服务器收到访问请求,IAS 就不能检测到发出请
求的 NAS 的制造商。如果计划使用基于客户端供应商的身份验证条件,并且已至
少有一个客户端被定义为 RADIUS 代理服务器,这将导致出现问题。
密码(共享的机密)是区分大小写的。确保客户端共享的机密与您在这个字段中
键入的共享的机密是相同的,并且符合密码规则。
当单击验证不能解析客户端地址时,确保键入的 DNS 名是正确的。
为 RADIUS 客户端提供的好记的名称可以用于远程访问策略中以限制访问。
配置 RADIUS 身份验证
单击开始,指向程序,指向管理工具,然后单击路由和远程访问。
在控制台树中,右击您希望为其配置 RADIUS 身份验证的服务器,然后单击属性
。
在安全选项卡上,在验证提供程序中,单击 RADIUS 身份验证,然后单击配置。
在 RADIUS 身份验证对话框中,单击添加。
在添加 RADIUS 服务器对话框中,配置 RADIUS 身份验证服务器的设置,然后单
击确定。
配置 RADIUS 计帐
单击开始,指向程序,指向管理工具,然后单击路由和远程访问。
在控制台树中,右击您希望为其配置 RADIUS 记帐的服务器,然后单击属性。
在安全选项卡上,在记帐提供程序中,单击 RADIUS 记帐,然后单击配置。
在 RADIUS 记帐对话框中,单击添加。
在添加 RADIUS 服务器对话框中,配置 RADIUS 记帐服务器的设置,然后单击确
定。
小结
Electronic, Inc. 使用了 Windows 2000 VPN 技术将 Internet 连接扩展到了远
程用户、分支机构和业务伙伴。Electronic, Inc. 的 Windows 2000 VPN 和拨号
远程服务器与 Internet 验证服务一起使用,为可扩展的 VPN 和拨号远程访问解
决方案提供了集中的身份验证、授权、计帐以及远程访问策略的管理。
其它信息
有关 Windows 2000 的最新信息,请查阅位于 http://www.microsoft.com/wind
ows2000 的 Web 站点和位于 http://computingcentral.msn.com/topics/windo
wsnt 的 Windows 2000/NT Forum。
--
欢迎到 WinNT 版来做客!
※ 来源:.月光程序代码网 http://www.moon-soft.com.[FROM: 202.103.59.179]
|
|