使用安装服务器.ppt

VPN服务配置与管理 学习目标 本章主要讲解WindowsServer2003的VPN服务器的配置与管理 通过本章学习 读者应该掌握以下知识 VPN服务的基本概念 安装与配置VPN服务器 客户端VPN连接的配置 VPN概述 图13 1远程拨号访问 用户远程访问网络的安全性 用户远程访问网络的安全性主要包括两个方面 一是不允许非授权用户访问内部网络 如通过用户身份识别ID和密码验证用户 或采用RADIUS等安全协议验证用户等 二是保证授权用户安全连接 访问内部网络 即远程用户连接内部网络 访问内部网络资源的信道是安全的 防止别有用心的人的窃听 对信息的截获和篡改等操作 图13 2安全隧道连接客户机和服务器 采用VPN所带来的好处 采用VPN所带来的好处有 1 降低费用 2 增强的安全性 3 网络协议支持 4 IP地址安全 VPN使用两种隧道协议 VPN使用的两种隧道协议是 1 点到点隧道协议 PPTP 2 第二层隧道协议 L2TP 使用VPN连接两个局域网 图13 3使用VPN连接两个局域网 13 2安装和启用VPN服务器 13 2 1构造VPN网络环境13 2 2VPN服务器的安装 13 2 1构造VPN网络环境 图13 4模拟的VPN环境 13 2 2VPN服务器的安装 使用WindowsServer2003安装VPN服务器 具体的操作步骤如下 步骤一 启动 路由和远程访问 管理应用程序 单击 开始 程序 管理工具 运行 路由和远程访问 管理应用程序 打开 路由和远程访问 管理控制台窗口 步骤二 设置服务器状态 在控制台左窗格中单击与本地服务器名称匹配的服务器图标 如果该图标左下角有一个红圈 则说明尚未启用 路由和远程访问 服务 如果该图标左下角有一个指向上方的绿色箭头 则说明已启用 路由和远程访问 服务 如果先前已启用 路由和远程访问 服务 则需要重新配置服务器 若要重新配置服务器 需完成下列操作步骤 1 鼠标右击服务器对象 单击 禁用路由和远程访问 单击 是 继续 2 鼠标右击服务器图标 单击 配置并启用路由和远程访问 启动 路由和远程访问服务器安装向导 如图13 5所示 单击 下一步 继续 3 在出现如图13 6所示向导对话框中 单击 远程访问 拨号或VPN 选项 以允许远程客户端通过拨号或安全的虚拟专用网络连接到此服务器 单击 下一步 继续 图13 5启用 路由和远程访问 图13 6启用该服务器为 远程访问 步骤三 选择远程访问服务器模式 在出现如图13 7所示向导对话框中 根据应用模式选择服务器的角色 选择 VPN 或 拨号 这里我们选择 VPN 步骤四 配置远程访问服务器外网连接地址 在出现如图13 8所示向导对话框的 网络接口 窗口中 选择连接到Internet的网络接口 如本例中名称是 本地连接 外 IP地址为210 43 23 3的网络接口连接着外网 然后单击 下一步 图13 7配置服务器接受VPN连接 图13 8配置外网接口 步骤五 配置远程访问服务器内网连接地址 在出现如图13 9所示的向导对话框中 为VPN服务器所连接的内部网络指派一个接口 在 网络连接 窗口中 单击连接到内部网络的接口 如本例中名称是 本地连接 内 IP地址为192 168 0 1的网络接口连接着内网 然后单击 下一步 图13 9配置内网接口 步骤六 对远程客户指派IP地址 如图13 10所示 如果要使用DHCP服务器 DHCP概念参见第10章 给远程客户端分配地址 在IP地址指定设置对话框中选择 自动 如果给远程客户端分配静态IP地址 选择 来自一个指定的地址范围 采用DHCP管理分配IP地址更简单方便 但若网络中没有安装DHCP服务 则必须指定一个地址范围 单击 下一步 继续 图13 10IP地址的指定 步骤七 如果选择了 来自一个指定的地址范围 出现如图13 11所示地址范围分配对话框 单击 新建 按钮 指定 起始IP地址 和 结束IP地址 Windows将自动计算地址的数目 单击 确定 以返回到地址范围分配窗口 如图13 11所示 本例中为远程访问客户分配了从192 168 0 1至192 168 0 20共20个IP地址 远程访问客户在VPN客户端设置时 可以选择该范围中的任何一个IP地址分配 单击 下一步 继续 图13 11IP地址的范围的设定 步骤八 在出现如图13 12所示的身份验证模式对话框中 选择默认选项 否 使用路由和远程访问对连接请求进行身份验证 此时远程访问用户使用本服务器中管理的用户账号连接本VPN服务器 并且该账号已经授予远程访问权限 如果网络中存在RADIUS服务器 可以集成该服务器验证远程访问客户 然后单击 下一步 继续 图13 12身份验证模式设置 步骤九 在出现对话框中 单击 完成 按钮 结束安装 系统启用路由和远程访问服务并将该服务器配置为远程访问服务器 13 3配置VPN服务器 13 3 1配置远程访问策略13 3 2修改同时连接的数目13 3 3配置用户的属性 13 3 1配置远程访问策略 配置远程访问策略遵循如下步骤 步骤一 单击 开始 程序 管理工具 运行 路由和远程访问 应用程序 步骤二 在出现如图13 13所示窗口中 选择本地远程访问服务器MSI 单击 远程访问策略 在右边窗口中鼠标右击 到Microsoft路由选择和远程访问服务器的连接 单击 属性 菜单项 图13 13配置远程访问策略属性 图13 14配置拨入权限 步骤三 在出现的如图13 14所示 属性 对话框中 我们可以对远端客户端的远程访问权限进行设置 如果允许远程客户端通过Internet访问该服务器 则选择 授予远程访问权限 反之 选择 拒绝远程访问权限 如果还需要对配置文件进行设置 单击 编辑配置文件 按钮 出现如图13 15所示 编辑拨入配置文件 对话框 图13 15编辑拨入配置文件 步骤四 在 编辑拨入配置文件 对话框中单击IP选项卡 根据需要选择IP地址的分配 共有四种选择 其含义如下 1 选择 服务器必须提供一个IP地址 选项 则需要在用户 属性 对话框中给远程登录用户配置一个静态的IP地址 用户属性配置参见用户管理 分配用户静态IP地址如图13 16所示 图13 16设定VPN用户属性使用静态IP地址 2 选择 客户端可以请求一个IP地址 选项 VPN客户可以设置使用VPN服务器地址池中的任意IP地址 此时VPN用户拥有固定的内网IP地址 3 选择 服务器设定IP地址分配 选项 VPN客户端无需配置内部网络IP地址 VPN客户端软件连接VPN服务器时 自动从VPN服务器的IP地址池中获取一个内部IP地址 4 选择 分配一个静态IP地址 选项 VPN服务器只为VPN客户端提供一个固定的IP地址 因此 一个时刻只允许远端一台客户机登录VPN服务器 对上述内容设置完成后单击 确定 完成对 远程访问策略 的设置 13 3 2修改同时连接的数目 图13 17配置端口属性 13 3 3配置用户的属性 对于允许远程连接的客户账户必须设定其 允许远程访问 具体步骤如下 步骤一 选择 开始 控制面板 管理工具 计算机管理 打开 计算机管理 窗口 选择 本地用户和组 单击 用户 如图13 18所示 步骤二 在用户窗口中选择要设置的用户 鼠标右击用户选择 属性 菜单项 图13 18选择用户属性 步骤三 在出现的 属性 窗口中单击 拨入 选项 然后在出现的如图13 19所示窗口中 选择 允许访问 或 通过远程访问策略控制访问 则该用户具有远程连接权力 反之 不允许用户远程访问该服务器 若选择 通过远程访问策略控制访问 则需要按13 3 1节配置 远程访问控制策略 点击 确定 按钮完成设置 图13 19设置访问权限 13 4配置客户端VPN连接 13 4 1新建 虚拟专用连接 13 4 2建立与VPN服务器的连接 13 4 1新建 虚拟专用连接 在客户计算机上新建 虚拟专用连接 步骤如下 步骤一 在客户计算机上 确认与Internet的连接配置正确 步骤二 控制面板 单击 网络连接 单击网络任务下的 创建一个新的连接 然后单击 下一步 步骤三 在连接建立向导上 选择 连接到我的工作场所的网络 如图13 20所示 单击 下一步 图13 20设置网络连接类型 步骤四 在出现的对话框中单击 虚拟专用网络连接 然后单击 下一步 步骤五 在公司名称对话框中为连接键入一个描述性的名称 即对公司名称的一个简单描述 然后单击 下一步 步骤六 在出现如图13 21对话框中 键入目标地址即VPN服务器的IP地址或主机名 然后单击 下一步 图13 21输入计算机的主机名或IP地址 步骤七 在出现的对话框中 如果要允许登录到该计算机的任何用户都能访问此拨号连接 则选择 任何人使用 选项 如果限制使此连接仅供当前登录用户使用 则选择 只是我使用 选项 单击 下一步 步骤八 单击 完成 按钮以保