第 13 章 VPN 服务配置与管理

1. 第13章 VPN服务配置与管理

2. 学习目标 本章主要讲解Windows Server 2003的VPN服务器的配置与管理。通过本章学习，读者应该掌握以下知识： ● VPN服务的基本概念； ● 安装与配置VPN服务器； ● 客户端VPN连接的配置。

3. 13.1 VPN 概述 图13-1 远程拨号访问

4. 用户远程访问网络的安全性 • 用户远程访问网络的安全性主要包括两个方面： • 一是不允许非授权用户访问内部网络，如通过用户身份识别ID和密码验证用户，或采用RADIUS等安全协议验证用户等； • 二是保证授权用户安全连接、访问内部网络，即远程用户连接内部网络，访问内部网络资源的信道是安全的，防止别有用心的人的窃听、对信息的截获和篡改等操作。

5. 图13-2 安全隧道连接客户机和服务器

6. 采用VPN所带来的好处 • 采用VPN所带来的好处有： • (1)降低费用。 • (2)增强的安全性。 • (3)网络协议支持。 • (4)IP地址安全。

7. VPN使用两种隧道协议 • VPN使用的两种隧道协议是： • (1)点到点隧道协议（PPTP）。 • (2) 第二层隧道协议（L2TP）。

8. 使用VPN连接两个局域网 • 图13-3 使用VPN连接两个局域网

9. 13.2 安装和启用 VPN 服务器 • 13.2.1 构造VPN网络环境 • 13.2.2 VPN服务器的安装

10. 13.2.1 构造VPN网络环境 图13-4 模拟的VPN环境

11. 13.2.2 VPN服务器的安装 • 使用Windows Server 2003安装VPN 服务器，具体的操作步骤如下： • 步骤一，启动“路由和远程访问”管理应用程序。单击“开始”/“程序”/“管理工具”，运行“路由和远程访问”管理应用程序，打开“路由和远程访问”管理控制台窗口。

12. 步骤二，设置服务器状态。在控制台左窗格中单击与本地服务器名称匹配的服务器图标。如果该图标左下角有一个红圈，则说明尚未启用“路由和远程访问”服务。如果该图标左下角有一个指向上方的绿色箭头，则说明已启用“路由和远程访问”服务。如果先前已启用“路由和远程访问”服务，则需要重新配置服务器。若要重新配置服务器，需完成下列操作步骤：步骤二，设置服务器状态。在控制台左窗格中单击与本地服务器名称匹配的服务器图标。如果该图标左下角有一个红圈，则说明尚未启用“路由和远程访问”服务。如果该图标左下角有一个指向上方的绿色箭头，则说明已启用“路由和远程访问”服务。如果先前已启用“路由和远程访问”服务，则需要重新配置服务器。若要重新配置服务器，需完成下列操作步骤： • 1. 鼠标右击服务器对象，单击“禁用路由和远程访问”，单击“是”继续。

13. 2. 鼠标右击服务器图标，单击“配置并启用路由和远程访问”启动“路由和远程访问服务器安装向导”，如图13-5所示。单击“下一步”继续。 • 3. 在出现如图13-6所示向导对话框中，单击“远程访问（拨号或 VPN）”选项，以允许远程客户端通过拨号或安全的虚拟专用网络连接到此服务器，单击“下一步”继续。

14. 图13-5 启用“路由和远程访问”

15. 图13-6启用该服务器为“远程访问”

16. 步骤三，选择远程访问服务器模式。在出现如图13-7所示向导对话框中，根据应用模式选择服务器的角色，选择 “VPN” 或“拨号”，这里我们选择“VPN”。 • 步骤四，配置远程访问服务器外网连接地址。在出现如图13-8所示向导对话框的“网络接口”窗口中，选择连接到 Internet 的网络接口，如本例中名称是“本地连接-外”、IP地址为210.43.23.3的网络接口连接着外网。然后单击“下一步”。

17. 图13-7 配置服务器接受VPN连接

18. 图13-8 配置外网接口

19. 步骤五，配置远程访问服务器内网连接地址。在出现如图13-9所示的向导对话框中，为VPN服务器所连接的内部网络指派一个接口。在“网络连接”窗口中，单击连接到内部网络的接口，如本例中名称是“本地连接-内”、IP地址为192.168.0.1的网络接口连接着内网。然后单击“下一步”。步骤五，配置远程访问服务器内网连接地址。在出现如图13-9所示的向导对话框中，为VPN服务器所连接的内部网络指派一个接口。在“网络连接”窗口中，单击连接到内部网络的接口，如本例中名称是“本地连接-内”、IP地址为192.168.0.1的网络接口连接着内网。然后单击“下一步”。

20. 图13-9 配置内网接口

21. 步骤六，对远程客户指派IP地址。如图13-10所示，如果要使用 DHCP 服务器（DHCP概念参见第10章）给远程客户端分配地址，在 IP 地址指定设置对话框中选择“自动”；如果给远程客户端分配静态IP地址，选择“来自一个指定的地址范围”。采用DHCP管理分配IP地址更简单方便，但若网络中没有安装DHCP服务，则必须指定一个地址范围。单击“下一步”继续。

22. 图13-10 IP地址的指定

23. 步骤七， 如果选择了“来自一个指定的地址范围”，出现如图13-11所示地址范围分配对话框。单击“新建”按钮，指定“起始 IP 地址”和“结束 IP 地址”。Windows 将自动计算地址的数目。单击“确定”以返回到地址范围分配窗口，如图13-11所示。本例中为远程访问客户分配了从192.168.0.1至192.168.0.20共20个IP地址。远程访问客户在VPN客户端设置时，可以选择该范围中的任何一个IP地址分配。单击“下一步”继续。

24. 图13-11 IP地址的范围的设定

25. 步骤八，在出现如图13-12所示的身份验证模式对话框中，选择默认选项“否，使用路由和远程访问对连接请求进行身份验证”，此时远程访问用户使用本服务器中管理的用户账号连接本VPN服务器，并且该账号已经授予远程访问权限。如果网络中存在RADIUS服务器，可以集成该服务器验证远程访问客户。然后单击“下一步”继续。步骤八，在出现如图13-12所示的身份验证模式对话框中，选择默认选项“否，使用路由和远程访问对连接请求进行身份验证”，此时远程访问用户使用本服务器中管理的用户账号连接本VPN服务器，并且该账号已经授予远程访问权限。如果网络中存在RADIUS服务器，可以集成该服务器验证远程访问客户。然后单击“下一步”继续。

26. 图13-12 身份验证模式设置

27. 步骤九，在出现对话框中，单击“完成”按钮，结束安装。系统启用路由和远程访问服务并将该服务器配置为远程访问服务器。步骤九，在出现对话框中，单击“完成”按钮，结束安装。系统启用路由和远程访问服务并将该服务器配置为远程访问服务器。

28. 13.3 配置VPN服务器 • 13.3.1 配置远程访问策略 • 13.3.2 修改同时连接的数目 • 13.3.3 配置用户的属性

29. 13.3.1 配置远程访问策略 • 配置远程访问策略遵循如下步骤： • 步骤一，单击“开始”/“程序”/“管理工具”，运行“路由和远程访问”应用程序。 • 步骤二，在出现如图13-13所示窗口中，选择本地远程访问服务器MSI，单击“远程访问策略”，在右边窗口中鼠标右击“到Microsoft路由选择和远程访问服务器的连接”，单击“属性”菜单项。

30. 图13-13 配置远程访问策略属性

31. 图13-14 配置拨入权限

32. 步骤三，在出现的如图13-14所示“属性”对话框中，我们可以对远端客户端的远程访问权限进行设置，如果允许远程客户端通过Internet访问该服务器，则选择“授予远程访问权限”；反之，选择“拒绝远程访问权限”。如果还需要对配置文件进行设置，单击“编辑配置文件”按钮，出现如图13-15所示“编辑拨入配置文件”对话框。步骤三，在出现的如图13-14所示“属性”对话框中，我们可以对远端客户端的远程访问权限进行设置，如果允许远程客户端通过Internet访问该服务器，则选择“授予远程访问权限”；反之，选择“拒绝远程访问权限”。如果还需要对配置文件进行设置，单击“编辑配置文件”按钮，出现如图13-15所示“编辑拨入配置文件”对话框。

33. 图13-15 编辑拨入配置文件

34. 步骤四，在“编辑拨入配置文件”对话框中单击IP选项卡，根据需要选择IP地址的分配。共有四种选择，其含义如下：步骤四，在“编辑拨入配置文件”对话框中单击IP选项卡，根据需要选择IP地址的分配。共有四种选择，其含义如下： • （1）选择“服务器必须提供一个IP地址”选项，则需要在用户“属性”对话框中给远程登录用户配置一个静态的IP地址，用户属性配置参见用户管理，分配用户静态IP地址如图13-16所示。

35. 图13-16 设定VPN用户属性使用静态IP地址

36. （2）选择“客户端可以请求一个IP地址”选项，VPN客户可以设置使用VPN服务器地址池中的任意IP地址，此时VPN用户拥有固定的内网IP地址。（2）选择“客户端可以请求一个IP地址”选项，VPN客户可以设置使用VPN服务器地址池中的任意IP地址，此时VPN用户拥有固定的内网IP地址。 • （3）选择“服务器设定IP地址分配”选项，VPN客户端无需配置内部网络IP地址，VPN客户端软件连接VPN服务器时，自动从VPN服务器的IP地址池中获取一个内部IP地址。 • （4）选择“分配一个静态IP地址”选项，VPN服务器只为VPN客户端提供一个固定的IP地址，因此，一个时刻只允许远端一台客户机登录VPN服务器。 • 对上述内容设置完成后单击“确定”，完成对“远程访问策略”的设置。

37. 13.3.2 修改同时连接的数目 图13-17 配置端口属性

38. 13.3.3 配置用户的属性 • 对于允许远程连接的客户账户必须设定其“允许远程访问”，具体步骤如下： • 步骤一，选择“开始”/“控制面板”/“管理工具”/“计算机管理”，打开“计算机管理”窗口，选择“本地用户和组”，单击“用户”。如图13-18所示。 • 步骤二，在用户窗口中选择要设置的用户，鼠标右击用户选择“属性”菜单项。

39. 图13-18 选择用户属性

40. 步骤三，在出现的“属性”窗口中单击“拨入”选项，然后在出现的如图13-19所示窗口中，选择“允许访问”或“通过远程访问策略控制访问”，则该用户具有远程连接权力。反之，不允许用户远程访问该服务器。若选择“通过远程访问策略控制访问”，则需要按13.3.1节配置“远程访问控制策略”。点击“确定”按钮完成设置。步骤三，在出现的“属性”窗口中单击“拨入”选项，然后在出现的如图13-19所示窗口中，选择“允许访问”或“通过远程访问策略控制访问”，则该用户具有远程连接权力。反之，不允许用户远程访问该服务器。若选择“通过远程访问策略控制访问”，则需要按13.3.1节配置“远程访问控制策略”。点击“确定”按钮完成设置。

41. 图13-19 设置访问权限

42. 13.4配置客户端VPN连接 • 13.4.1 新建“虚拟专用连接” • 13.4.2 建立与VPN服务器的连接

43. 13.4.1 新建“虚拟专用连接” • 在客户计算机上新建“虚拟专用连接”，步骤如下： • 步骤一，在客户计算机上，确认与 Internet 的连接配置正确。 • 步骤二，“控制面板”，单击“网络连接”。单击网络任务下的“创建一个新的连接”，然后单击“下一步”。 • 步骤三，在连接建立向导上，选择“连接到我的工作场所的网络”，如图13-20所示，单击“下一步”。

44. 图13-20 设置网络连接类型

45. 步骤四，在出现的对话框中单击“虚拟专用网络连接”，然后单击“下一步”。步骤四，在出现的对话框中单击“虚拟专用网络连接”，然后单击“下一步”。 • 步骤五，在公司名称对话框中为连接键入一个描述性的名称，即对公司名称的一个简单描述，然后单击“下一步”。 • 步骤六，在出现如图13-21对话框中，键入目标地址即 VPN 服务器的 IP 地址或主机名。然后单击“下一步”。

46. 图13-21 输入计算机的主机名或IP地址

47. 步骤七，在出现的对话框中，如果要允许登录到该计算机的任何用户都能访问此拨号连接，则选择“任何人使用”选项；如果限制使此连接仅供当前登录用户使用，则选择“只是我使用”选项。单击“下一步”。步骤七，在出现的对话框中，如果要允许登录到该计算机的任何用户都能访问此拨号连接，则选择“任何人使用”选项；如果限制使此连接仅供当前登录用户使用，则选择“只是我使用”选项。单击“下一步”。 • 步骤八，单击“完成”按钮以保存新建的连接。

48. 13.4.2 建立与VPN服务器的连接 图13-22 连接“虚拟专用连接”

49. 图13-23 “虚拟专用连接”连接成功

50. 图13-24 连接时出错