好文档 - 专业文书写作范文服务资料分享网站

Windows pptp vpn案例分析

天下 分享 时间: 加入收藏 我要投稿 点赞

构建分布式办公网络案例分析

【案例描述】

一、一个远程客户端(出差人员、工作人员在家)与一个公司总部VPN server之间的连接 二、公司分支机构与总部之间的VPN,公司与业务合作伙伴之间的VPN连接

【案例实施】

一、部署Windows Server 2003中的远程访问VPN服务

试验环境如下图所示,Internet上的VPN客户端client(IP地址为61.139.0.8)将通过Server(外部IP地址为61.139.0.1,内部IP地址为10.1.1.1)上的VPN服务连接到内部网络(10.1.1.0/24)中。Inserver是内部网络上的Web服务器和证书服务器,IP地址为10.1.1.9。所有计算机的操作系统均为Windows Server 2003,并且均为独立服务器,在进行试验之前已经确保网络连接工作正常。

这篇文章中的试验步骤如下:

·在Server上启用路由和远程访问服务中的远程访问VPN服务; ·显式允许用户Administrator的远程拨入;

·在Client上创建PPTP模式的VPN连接并进行测试;

·修改VPN连接为L2TP预共享密钥方式,然后在Client上连接VPN进行测试;

·为Server、Client申请计算机证书,取消预共享IPSec密钥,然后在Client上连接VPN进行测试;

1、在Server上启用路由和远程访问服务中的远程访问VPN服务

毕业设计

在Server上以管理员身份登录,然后点击管理工具,选择路由和远程访问,在弹出的路由和远程访问管理控制台,右击服务器名,选择“配置并启用路由和远程访问”;

在弹出的欢迎使用路由和远程访问服务器安装向导页,点击下一步; 在配置页,选择“远程访问(拨号或VPN)”,然后点击下一步;如果你需要对内部网络提供网络共享服务,则选择“虚拟专用网络(VPN)访问和NAT”,再根据向导进行配置;

在远程访问页,选择此服务器接受的远程访问类型,在此我仅勾选“VPN”,然后点击下一步;

- 1 -

毕业设计

在VPN连接页,选择连接到Internet的网络接口,在此我选择对应的接口WAN61,默认情况下,RRAS会设置通过设置静态数据包筛选器来对选择的接口进行保护,这将在此接口上启用只是允许VPN流量的入站筛选器,从而保护这台VPN服务器。根据你的需要来决定是否启用此选项,在此我接受默认设置,点击下一步;

在IP地址指定页,选择你指定VPN客户地址的方式。由于在内部网络中并没有部署DHCP服务,所以在此我选择“来自一个指定的地址范围”,然后点击下一步;

在地址范围指定页,点击新建按钮,输入起止IP地址分别为172.16.0.1和172.16.0.254,然

- 2 -

毕业设计

后点击确定,完成后如下图所示,点击下一步;

在管理多个远程访问服务器页,由于在此我不使用RADIUS服务器,所以接受默认的否,然后点击下一步;

最后在正在完成路由和远程访问服务器安装向导页,点击完成。在弹出的提示你需要配置DHCP中继代理的对话框上点击确定;等待片刻后,VPN服务器就部署好了,如下图所示:

- 3 -

毕业设计

默认情况下VPN具有PPTP协议和L2TP协议端口各128个,这代表它允许连接的PPTP协议和L2TP协议类型的VPN客户数量,但是VPN客户的并发连接数还受到Windows系统版本的限制。对于允许的最多端口数和VPN客户并发连接数,根据Windows服务器操作系统版本的不同有以下不同:

· 对于Windows Server 2003 Web版本和标准版本,PPTP和L2TP允许的最多端口数均为1000,但是Web版本只支持1个VPN客户并发连接,而不论协议类型;标准版本支持1000个VPN客户并发连接,而不论协议类型。

·Windows Server 2003企业版最多支持30000个L2TP端口,16384个PPTP端口,支持的VPN客户并发连接数理论上只是受到端口数量的限制。

你可以对允许的端口数进行设置,在路由和远程访问管理控制台中右击端口,选择属性,然后在弹出的端口属性对话框中,选择端口后点击配置,

然后在弹出的配置设备对话框中修改最多端口数为你需要的数量即可。如果想取消对使用此类协议的VPN客户端的支持,你可以取消选择远程访问连接(仅入站)。

- 4 -

毕业设计

2、显式允许用户Administrator的远程拨入

现在,我们需要允许用户账户的远程拨入。在此例中,外部客户Client将使用Server上的Administrator用户账号来拨入VPN,所以,我们首先需要允许Administrator用户账户的远程拨入。

默认情况下,对于用户账户的拨入权限,根据网络环境的不同而不同:

·独立服务器角色的Windows Server 2003服务器会设置用户账户拨入权限为通过远程访问策略控制访问;

·域功能级为Windows 2000 Native或Windows Server 2003的活动目录会设置用户账户拨入权限为通过远程访问策略控制访问;

·域功能级为Windows 2003 Mix的活动目录通过远程访问策略控制访问此选项不可用,用户账户的拨入设置为拒绝访问;

Server是独立服务器角色,因此Administrator账户的拨入权限设置为通过远程访问策略控制访问,如下图所示,但是默认情况下没有远程访问策略允许它的拨入。所以在此我修改为允许访问来显式允许它的远程拨入,选择允许访问后点击确定。

3、在Client上创建PPTP模式的VPN连接并进行测试

现在我们在外部VPN客户Clinet上使用管理员身份登录,在网络连接文件夹中双击新建连接向导以创建VPN连接。

在弹出的欢迎使用新建连接向导页,点击下一步;

在网络连接类型页,选择连接到我的工作场所的网络,然后点击下一步;

- 5 -

毕业设计

在网络连接页,选择虚拟专用网络连接,然后点击下一步;

在连接名中输入公司名后点击下一步;

在VPN服务器选择页,输入VPN服务器Server的外部IP地址61.139.0.1,然后点击下一步;

- 6 -

毕业设计

在可用连接页,根据自己需要进行选择,在此我接受默认选择只是我使用,点击下一步;

最后在正在完成新建连接向导页,点击完成。

在弹出的连接对话框上,输入用于拨入VPN的用户名和密码,然后点击连接按钮。默认情况下,VPN客户端使用自动VPN类型选项,这意味着VPN客户先尝试建立一个基于L2TP/IPSec的VPN连接,如果不成功则尝试建立一个基于PPTP的VPN连接。

- 7 -

毕业设计

VPN连接成功,你可以点击任务栏弹出的气球以获得VPN连接的详细信息,如下图所示:

上面显示了当前是采用的PPTP协议的VPN连接,使用MS-CHAPv2进行的身份验证,加密方式是MPPE 128位。注意看服务器和客户端的IP地址,VPN服务器使用的是配置的静态IP地址池中的第一个IP地址。此时,由于VPN客户和内部网络不属于相同的子网,为了让VPN客户成功访问内部网络,你需要让内部网络和VPN客户知道如何访问对方(具有到达对方的路由)。在这个试验中由于VPN服务器Server是内部网络的默认网关,所以无需额外添加内部客户到VPN客户网络的路由。

我们打开浏览器,访问内部网络中的Web服务器Inserver(10.1.1.9)上的Web服务试试,访问成功,如下图所示,然后断开VPN连接。

- 8 -

毕业设计

4、修改VPN连接为L2TP预共享密钥方式,然后在Client上连接VPN进行测试

现在我们修改VPN连接为L2TP的预共享密钥方式,你需要同时在VPN服务器和VPN客户端上配置使用预定义的共享密钥。由于所有的VPN客户都需要配置为使用相同的L2TP共享密钥,这会极大的降低L2TP/IPSec的安全性,所以不建议你在商用网络中使用预共享密钥的L2TP连接。

首先在VPN服务器的路由和远程访问管理控制台中右击服务器名,然后选择属性;然后点击安全标签,然后勾选预共享的密钥,然后输入预定义的共享密钥,然后点击确定。你输入的共享密钥最好在15位以上,并且使用较为复杂的密码。

然后在VPN客户端Client上,右击创建的VPN连接,选择属性,然后在安全标签上点击IPSec设置,

- 9 -

毕业设计

在弹出的IPSec设置对话框上,勾选使用预共享的密钥作身份验证,输入和VPN服务器上配置使用的相同密钥,点击确定。

然后点击网络标签,在VPN类型栏,选择为L2TP IPSec VPN,然后点击确定。

此时VPN连接显示的端口类型从PPTP修改为L2TP,双击此VPN连接,然后点击连接按钮。此时,VPN连接成功,详细信息如下图所示,注意看,连接方式为L2TP,加密方式为IPSec, ESP 3DES。

- 10 -

毕业设计

5、为Server、Client申请计算机证书,取消预共享IPSec密钥,然后在Client上连接VPN进行测试

现在我们为VPN服务器和VPN客户端分别申请服务器身份验证和客户端验证证书。首先需要你在每台计算机上手动创建一个计算机证书管理控制台,创建的步骤如下: 点击开始菜单中的运行,输入mmc,点击确定;

在弹出的控制台1窗口,点击文件菜单下的添加/删除管理单元;

在弹出的添加/删除管理单元对话框,点击添加;然后在弹出的添加独立管理单元对话框,选择证书,点击添加;

- 11 -

毕业设计

在证书管理单元对话框,选择计算机账户,点击下一步;

在选择计算机对话框,接受默认的本地计算机,点击完成;

点击关闭,再点击确定,此时,管理本地计算机证书的管理控制台就设置好了,如下图所示。

你可以将它保存起来,以便以后使用。

然后,在VPN服务器Server上打开浏览器,访问证书服务器Inserver的Web注册登录地址http://10.1.1.9/certsrv/,如下图所示,点击申请一个证书链接;

- 12 -

毕业设计

然后点击高级证书申请链接;

然后点击创建并向CA提交一个申请链接;

在高级证书申请页,在姓名栏输入计算机名SERVER,注意,千万不能输错;在证书类型栏,选择服务器身份验证证书;

- 13 -

毕业设计

然后在下部勾选将证书保存在本地计算机存储中,点击提交;

在弹出的警告提示框上点击是,然后在证书已颁发页,点击安装此证书(如果没有配置CA自动颁发证书则你可能需要在证书颁发机构中手动颁发证书);

在弹出的安装证书警告提示框上点击是,此时证书会安装完成。此时,回到证书注册页面首页,点击下载一个CA证书,证书链或CRL,

- 14 -

毕业设计

然后点击下载CA证书,

在弹出的文件下载对话框,点击保存将其保存在本地硬盘上。

打开创建的计算机证书管理控制台,然后展开受信任的根证书颁发机构,右击证书,点击所有任务下的导入,

在弹出的欢迎使用证书导入向导页,点击下一步;

然后在要导入的文件页,选择刚才下载的CA证书,点击下一步;

- 15 -

毕业设计

在证书存储页点击下一步;然后在正在完成证书导入向导页,点击完成。此时,提示你证书导入成功。

在计算机证书管理控制台中,展开个人下的证书,你可以看到刚才申请的服务器验证证书,

双击此证书,弹出证书属性对话框,如下图所示。至此VPN服务器上的证书安装完成,VPN服务器已经可以使用此服务器身份验证证书来验证VPN客户端的L2TP/IPSec VPN连接了。

按照同样的方式在VPN客户端Client上申请客户端身份验证证书和下载CA证书,

完成后的客户端身份验证证书如下图所示,至此VPN客户端就可以使用此客户端身份验证证书来进行L2TP/IPSec VPN连接了。

- 16 -

毕业设计

现在我们分别在VPN服务器和VPN客户端上取消预定义的IPSec共享密钥,然后在VPN客户端上双击VPN连接进行连接,此时,VPN同样连接成功,如下图所示

至此,整个试验成功完成。

二、部署Windows Server 2003中的站点到站点VPN连接

Server是总部网络(10.1.1.0/24)连接到Internet的网关,而Client是分部网络(172.16.1.0/24)连接到Internet的网关。它们的操作系统均为Windows Server 2003,IP地址设置如下: Server:

·Internet:61.139.0.1/24

- 17 -

毕业设计

·HF LAN:10.1.1.1/24 Client:

·Internet:61.139.0.8/24 ·SH LAN:172.16.1.1/24

在这个案例中,我将在Server和Client之间创建站点到站点的VPN连接,从而允许总部网络和分部网络间的访问。

完整的配置一个双向初始化连接的站点到站点VPN连接包含以下步骤:

·在两台VPN服务器上分别启用远程访问VPN; ·在两台VPN服务器上分别创建请求拨号连接;

·在两台VPN服务器上分别创建远端VPN服务器用于初始化站点到站点VPN连接的拨入用户账户,此用户必须和本地VPN服务器上创建的请求拨号连接同名;

·如果使用L2TP/IPSec模式的VPN连接,还需要在每台VPN服务器上安装服务器身份验证证书和客户端身份验证证书。

在进行此站点到站点VPN连接试验之前,我已经做好了以下配置:

·在两台服务器上启用了远程访问VPN服务;

·因为需要配置L2TP/IPSec模式的站点到站点VPN连接,我已经为每台VPN服务器安装好了服务器身份验证证书和客户端身份验证证书。如下图所示:

以上配置可以参考操作案例一。 因此,这个案例中的试验只是包含创建请求拨号连接和拨入用户两部分,在创建请求拨号连接时,向导可以帮你自动创建拨入用户。详细的试验步骤如下:

·在总部的VPN服务器Server上创建请求拨号连接和拨入用户; ·在分部的VPN服务器Client上创建请求拨号连接和拨入用户; ·测试L2TP/IPSec模式的站点到站点连接; ·测试PPTP模式的站点到站点连接;

1、在总部的VPN服务器Server上创建请求拨号连接和拨入用户

在Server上的路由和远程访问管理控制台中,点击网络接口,然后在右边面板空白处右击,选新建请求拨号接口;

- 18 -

毕业设计

在弹出的欢迎使用请求拨号接口向导页,点击下一步;

在接口名称页,由于此请求拨号连接连接到分部网络,所以我取名为SH,点击下一步;

在连接类型页,选择使用虚拟专用网络连接(VPN),点击下一步;

- 19 -

毕业设计

在VPN类型页,接受默认的自动选择,请求拨号连接会先尝试使用更为安全的L2TP/IPSec协议进行连接,如果连接不成功再使用PPTP进行连接。点击下一步;

在目标地址页,输入远端VPN服务器的IP地址或域名。如果输入域名,则确保本地VPN服务器可以正确解析。在此我输入分部VPN服务器的IP地址61.139.0.8,点击下一步;

在协议及安全措施页,接受默认的选择在此接口上路由选择IP数据包,这样本地VPN服务器可以使用此请求拨号连接进行数据包的路由,由于我们是创建双向初始化的站点到站点VPN连接,所以勾选添加一个用户账户使远程路由器可以拨入,这样向导会在后面建立一个用于远程VPN服务器拨入的用户账户。点击下一步;

- 20 -

毕业设计

在远程网络的静态路由页,指定远程网络所包含的网络地址范围,当本地网络中的客户向此地址范围中的主机发起连接请求时,本地VPN服务器会自动初始化此请求拨号连接。点击添加按钮,

在弹出的静态路由对话框,输入目标和网络掩码分别为分部网络的网络ID和子网掩码172.16.1.0、255.255.255.0,跃点数接受默认的1,点击确定;

如果分部网络中具有多个网络地址范围可以重复添加。在此我已完成了分部网络地址范围的添加,因此在远程网络的静态路由页点击下一步;

- 21 -

毕业设计

在拨入凭据页,设置远程VPN服务器拨入本地VPN服务器所使用的用户账户。站点和站点VPN连接所使用的拨入用户的用户名必须和请求拨号连接的名字一致,你可以看到,用户名和连接名一致,固定为SH,你不能修改。输入并确认密码后,点击下一步;

在拨出凭据页,设置此请求拨号连接用于拨入远程VPN服务器的用户账户。在此输入用户名为HF和对应的密码,此账号我们将稍后在分部VPN服务器上设置,点击下一步;

在完成请求拨号接口向导页,点击完成,此时,总部VPN服务器Server上的请求拨号连接SH就创建好了,如下图所示:

- 22 -

毕业设计

并且,向导创建了一个名为SH的用户,并且显示授予了远程拨入权限。

2、在分部的VPN服务器Client上创建请求拨号连接和拨入用户

同样,在Client上的路由和远程访问管理控制台中,点击网络接口,然后在右边面板空白处右击,选新建请求拨号接口;

在接口名称页,由于此请求拨号连接连接到分部网络,所以我取名为HF,点击下一步;

在连接类型页,选择使用虚拟专用网络连接(VPN),点击下一步; 在VPN类型页,接受默认的自动选择,点击下一步;

在目标地址页,输入远端VPN服务器的IP地址或域名。如果输入域名,则确保本地VPN服务器可以正确解析。在此我输入总部VPN服务器的IP地址61.139.0.1,点击下一步;

- 23 -

毕业设计

在协议及安全措施页,接受默认的选择在此接口上路由选择IP数据包并勾选添加一个用户账户使远程路由器可以拨入,点击下一步;

在远程网络的静态路由页,点击添加按钮添加总部网络的网络地址范围10.1.1.0/24,然后点击下一步;

在拨入凭据页,设置远程VPN服务器拨入本地VPN服务器所使用的用户账户。你同样可以看到,用户名和连接名一致,固定为HF,你不能修改。输入并确认密码后,点击下一步;

- 24 -

毕业设计

在拨出凭据页,设置此请求拨号连接用于拨入远程VPN服务器的用户账户。在此我输入总部VPN服务器上创建的拨入用户SH和对应的密码,点击下一步;

在完成请求拨号接口向导页,点击完成,此时,分部VPN服务器Client上的请求拨号连接HF也创建好了,如下图所示:

3、测试L2TP/IPSec模式的站点到站点连接

我们在总部网络中的一台客户计算机10.1.1.8上,Ping分部网络中的一台计算机

172.16.1.8。注意看,作为网关的总部VPN服务器Server在刚开始时回复目的主机不可达,此时,Server向分部网络的VPN服务器Client初始化请求拨号连接,等几秒后,连接成功,此时,10.1.1.8发起的Ping请求得到了172.16.1.8的响应。

- 25 -

毕业设计

在分部网络中的主机172.168.1.8上Ping总部网络的主机10.1.1.8试试,一样成功。这表明总部和分部之间成功建立了站点到站点的VPN连接。

看看Server和Client上的安全日志,你可以发现快速模式的IKE安全关联成功建立的日志,这表明此站点到站点的VPN连接使用的是L2TP/IPSec模式。

- 26 -

毕业设计

现在我们测试一下分部VPN服务器是否可以初始化请求拨号连接,在任意一端VPN服务器的路由和远程访问管理控制台网络接口中右击对应的请求拨号接口,选择中断连接,然后在分部网络客户计算机172.16.1.8上同样采用连续Ping总部网络主机的办法来让分部VPN服务器初始化请求拨号连接,同样成功,如下图所示:

- 27 -

毕业设计

4、测试PPTP模式的站点到站点连接

在任意一端VPN服务器的路由和远程访问管理控制台网络接口中右击对应的请求拨号接口,选择属性,然后在网络标签中,修改类型为PPTP VPN。由于另外一段VPN服务器设置请求拨号连接VPN类型为自动,因此可以自动使用PPTP模式的VPN类型。

同样分别在10.1.1.8和172.16.1.8上连续Ping进行测试,如下图所示,测试均成功。并且你可以从不成功的Ping的数量可以看出,PPTP模式站点到站点VPN连接的连接速度远比L2TP/IPSec更快。

- 28 -

毕业设计

至此,本案例成功完成。

- 29 -

Windows pptp vpn案例分析

构建分布式办公网络案例分析【案例描述】一、一个远程客户端(出差人员、工作人员在家)与一个公司总部VPNserver之间的连接二、公司分支机构与总部之间的VPN,公司与业务合作伙伴之间的VPN连接【案例实施】一、部署WindowsServer2003中的远程访问VPN服务试验
推荐度:
点击下载文档文档为doc格式
35gfu9cq9i4uc568dlwz
领取福利

微信扫码领取福利

微信扫码分享