虚拟专用网络和Windows Server 部署站点到站点VPNVPN的组件文档格式.docx
《虚拟专用网络和Windows Server 部署站点到站点VPNVPN的组件文档格式.docx》由会员分享,可在线阅读,更多相关《虚拟专用网络和Windows Server 部署站点到站点VPNVPN的组件文档格式.docx(31页珍藏版)》请在冰豆网上搜索。
如果将应答路由器配置为Windows身份验证,那么呼叫路由器身份验证证书中的用户帐户必须可以使用Windows安全性进行检验。
如果应答路由器配置为RADIUS身份验证,那么RADIUS必须能够访问呼叫路由器身份验证证书的用户帐户。
这个用户帐户必须具有下列设置:
在拨号选项卡中,将远程访问权限配置为允许访问或通过远程访问策略控制访问。
当您使用请求拨号接口向导创建用户帐户时,这个远程访问权限将被设置为允许访问。
在常规或帐户选项卡中,禁用用户必须在下次登录时更改密码,并启用密码从不过期。
您可以在使用请求拨号接口向导创建用户帐户时配置这些设置。
对于单向初始化的连接而言,您可以在拨号选项卡中配置静态IP路由,该IP路由将在请求拨号连接建立时被添加到应答路由器的路由表中。
路由。
要通过站点到站点VPN连接转发流量,VPN路由器路由表中的IP路由必须被配置为使用正确的请求拨号接口。
对于单向初始化的连接,请按常规方法配置呼叫路由器。
而对于应答路由器,您可以配置呼叫路由器身份验证证书中所指定的用户帐户以及静态IP路由。
远程访问策略。
在应答路由器或Internet身份验证服务(IAS)服务器(作为应答路由器的RADIUS服务器)上,要指定用于请求拨号连接的连接参数,请创建一个包括所有呼叫路由器用户帐户的用户组,然后创建一个单独的远程访问策略,在这个组上使用Windows-Groups属性集。
对于请求拨号连接,不需要创建单独的远程访问策略。
呼叫路由器完成下列工作:
根据管理员行为,或在被转发的数据包符合使用VPN请求拨号接口的路由时,初始化VPN连接。
在转发数据包之前等待身份验证和授权。
作为其站点中的节点和应答路由器之间的路由器转发数据包。
作为VPN连接的端点。
应答路由器完成下列工作:
侦听VPN连接尝试。
在允许数据转发之前,对VPN连接进行身份验证和授权。
作为其站点中的节点和呼叫路由器之间的路由器转发数据包。
VPN路由器通常安装有两个网络适配器:
其中一个网络适配器连接到Internet,而另一个网络适配器连接到内部网络。
在您配置和启用路由和远程访问服务时,路由和远程访问服务器安装向导将提示您选择该计算机所扮演的角色。
对于VPN路由器,您应该选择远程访问(拨号或VPN)选项。
在选择了远程访问(拨号或VPN)选项后,路由和远程访问服务器将作为VPN服务器运行,同时支持远程访问和站点到站点的VPN连接。
为了实现远程访问VPN连接,用户可以运行VPN客户端软件,并初始化一个连接到VPN服务器的远程访问连接。
为了实现站点到站点VPN连接,路由器将初始化一个连接到VPN服务器的VPN连接。
然后,VPN服务器可以初始化一个连接到另一个VPN路由器的VPN连接。
注意:
Microsoft推荐在路由和远程访问服务器安装向导中选择远程访问(拨号或VPN),而不是两个专用网络间的安全连接,这是因为两个专用网络间的安全连接选项不会提示您选择用于自动配置数据包筛选器的Internet接口,也不会提示您配置RADIUS服务器,它只会创建5个PPTP和5个L2TP端口。
当您在路由和远程访问服务器安装向导中选择远程访问(拨号或VPN)时:
1.
首先它会提示您指定是否需要VPN、拨号或同时需要两种访问类型。
2.
然后,提示您选择连接到Internet的接口。
您所选择的接口将自动地配置有数据包筛选器,只允许PPTP或L2TP相关的流量(除非您清除通过设置静态数据包筛选器,启用所选接口的安全性复选框)。
所有其他流量都被无声地禁止了。
例如,您将无法再ping到VPN服务器的Internet接口。
如果您希望将这个VPN服务器计算机作为网络地址转换器(NAT)、Web服务器或其他功能,请参阅附录B。
3.
接着,如果您拥有多个连接到内部网络的网络适配器,那么将提示您选择通过哪个接口获得DHCP、DNS和WINS配置。
4.
然后,提示您确定您是否希望使用DHCP获得IP地址,或通过指定的地址范围为远程访问客户端进行IP分配。
如果您选择指定的地址范围,那么将提示您添加一个或多个地址范围。
5.
然后,提示您指定是否希望使用RADIUS作为您的身份验证提供者。
如果您选择了RADIUS,那么将提示您配置主要和预备RADIUS服务器以及共享的密钥。
当您在路由和远程访问服务器安装向导中选择远程访问(拨号或VPN)时,其结果将是:
启用路由和远程访问服务器,同时作为远程访问服务器以及LAN和请求拨号路由器,并采用Windows作为身份验证和记帐提供者(除非选择和配置了RADIUS)。
如果只有一个网络适配器连接到内部网络,那么这个网络适配器将自动地被选为IP接口,从这个接口处获取DHCP、DNS和WINS配置。
否则,将选择向导中指定的网络适配器来获得DHCP、DNS和WINS配置。
在指定情况下,将配置静态IP地址范围。
创建128个PPTP和128个L2TP端口。
所有这些端口都可以用于入站远程访问连接和出站请求拨号连接。
选定的Internet接口将配置有入站和出站IP数据包筛选器,仅允许通过PPTP和L2TP/IPSec流量。
在内部接口中添加DHCPRelayAgent组件。
如果在运行向导时,VPN服务器是一个DHCP客户端,那么DHCPRelayAgent将被自动地配置为DHCP服务器的IP地址。
否则,您必须手动地使用您内部网络中DHCP服务器的IP地址来配置DHCPRelayAgent的属性。
DHCPRelayAgent将在VPN远程访问客户端和内部网DHCP服务器之间转发DHCPInform数据包。
添加IGMP组件。
内部接口被配置为IGMP路由器模式。
所有其他LAN接口被配置为IGMP代理模式。
这使得VPN远程访问客户端可以发送和接收IP多播流量。
在WindowsServer2003WebEdition和WindowsServer2003StandardEdition中,您可以创建最多1,000个点到点隧道协议(PPTP)端口,并能创建最多1,000个第二层隧道协议(L2TP)端口。
但是,WindowsServer2003WebEdition在一次只能接受一个虚拟专用网络(VPN)连接。
而WindowsServer2003StandardEdition可以接受最多1,000个并发VPN连接。
如果已经连接了1,000个VPN客户端,那么在连接数低于1,000之前,会禁止所有的其他连接尝试。
在VPN路由器上安装证书
如果VPN路由器建立了L2TP/IPSec连接或使用EAP-TLS身份验证,那么必须在VPN路由器计算机上安装证书。
对于L2TP/IPSec连接,必须同时在呼叫和应答路由器计算机上安装计算机证书,从而为建立IPSec会话提供身份验证。
对于EAP-TLS身份验证,必须在身份验证服务器(应答路由器或RADIUS服务器)上安装计算机证书,并且必须在呼叫路由器上安装用户证书。
更多有关在呼叫路由器、应答路由器以及身份验证服务器计算机上安装证书的信息,请参阅本文的证书基础构架部分。
设计点:
配置VPN路由器
在运行路由和远程访问服务器安装向导之前,请考虑下列问题:
哪些VPN路由器的连接应该连接到Internet?
通常连接到Internet的VPN路由器至少拥有两个LAN连接:
一个连接到Internet(直接连接或连接到周边网络),另一个连接到站点。
为了使得路由和远程访问服务器安装向导能够轻松地分辨出这些LAN连接,请使用网络连接根据用途或角色对这些连接进行重命名。
例如,将连接到Internet的连接(默认名为局域网连接2)的名称更改为Internet。
VPN路由器可以是DHCP客户端吗?
VPN路由器必须为其Internet接口手动配置TCP/IP。
虽然在技术上可能实现,但我们不建议将VPN路由器作为其内部网接口的DHCP客户端。
介于VPN路由器的路由需求,手动配置IP地址、子网掩码、DNS服务器和WINS服务器,但是不要配置默认网关。
请注意,VPN路由器可以拥有手动TCP/IP配置,并仍用DHCP为远程访问VPN客户端和其他呼叫路由器获得IP地址。
如果将IP地址分配给远程访问VPN客户端和其他呼叫路由器?
VPN路由器可以被配置为从DHCP,或者从手动配置的地址范围中获得IP地址。
使用DHCP来获得IP地址能够简化配置过程,但是您必须确信为呼叫路由器的站点连接所附属的子网所分配的DHCP范围具有足够多的地址,能够满足物理连接到子网的所有计算机以及最大数量的PPTP和L2TP端口。
例如,如果这个VPN路由器站点连接所附属的子网拥有50个DHCP客户端,那么为了满足VPN路由器的默认配置,这个地址范围应该包含至少307个地址(50个计算机+128个PPTP客户端+128个L2TP客户端+1个用于VPN路由器的地址)。
如果在这个范围中没有足够的IP地址,那么在所有的地址都被分配后,远程访问VPN客户端和连接的呼叫路由器将采用自动专用IP寻址(APIPA)段中的地址169.254.0.0/16。
如果您配置了一个静态地址池,请确保这个池拥有足够的地址能够分配给您的PPTP和L2TP端口,并需要为VPN路由器提供一个地址。
如果在静态池中没有足够的地址,远程访问VPN客户端和WindowsNT4.0RRAS呼叫路由器将无法进行连接。
但是,WindowsServer2003呼叫路由器仍然可以进行连接。
WindowsServer2003呼叫和应答路由器在建立连接的过程中,仍然需要请求对方的IP地址。
但是,如果其中一个路由器没有分配到地址,两个路由器仍然将继续连接建立过程。
点到点连接上的逻辑接口没有指定的IP地址。
这也被称为无编号连接。
虽然WindowsServer2003VPN路由器支持无编号连接,但WindowsServer2003中所包含的路由协议无法在无编号连接上进行工作。
如果您正在配置一个静态地址池,可能还有一些其他的路由考虑事项。
详细信息,请参阅本文的站点网络基础构架。
什么是身份验证和记帐提供者?
VPN路由器可将Windows或RADIUS作为其身份验证或记帐提供者。
当采用Windows作为身份验证和记帐提供者时,VPN路由器使用Windows安全性来检验呼叫路由器的证书,并访问呼叫路由器的用户帐户拨号属性。
本地配置的远程访问策略对VPN连接进行授权,本地记录的帐户日志文件记录下VPN连接帐户信息。
当采用RADIUS作为身份验证和记帐提供者时,VPN路由器使用配置的RADIUS服务器来检验呼叫路由器的证书,授权连接尝试,并存储VPN连接帐户信息。
您是否建立L2TP/IPSec连接?
如果是,您必须同时在呼叫路由器和应答路由器计算机上安装计算机证书。
您是否使用具有EAP-TLS的用户级证书身份验证?
如果是,您必须在呼叫路由器计算机上安装用户证书,必须在身份验证服务器(应答路由器计算机[如果应答路由器被配置为Windows身份验证提供者]或RADIUS服务器[如果应答路由器被配置为RADIUS身份验证提供者])上安装计算机证书。
如果身份验证服务器是WindowsServer2003VPN路由器或WindowsServer2003Internet身份验证服务(IAS)服务器,那么只有在身份验证服务器是ActiveDirectory服务域成员时,才能使用EAP-TLS。
对于请求连接,您是否需要避免在某个时间段内同时建立多个连接,或避免某些类型的流量同时建立多个连接?
如果是,请在呼叫路由器的请求拨号接口上配置拨出时间或请求拨号筛选器。
您是否希望使您的IP数据包筛选器与请求拨号筛选器相一致?
请求拨号筛选器将在连接建立之前加以应用。
而IP数据包筛选器则在连接建立之后加以应用。
为了避免为IP数据包筛选器所禁止的流量建立请求拨号连接,您需要:
如果您已经配置了许多具有传输所有除满足下列条件以外的数据包选项的外出IP数据包筛选器,那么请配置同样的请求拨号筛选器,并将初始化连接设置为针对所有流量,除了。
如果您已经配置了许多具有阻止所有除满足下列条件以外的数据包选项的外出IP数据包筛选器,那么请配置同样的请求拨号筛选器,并将初始化连接设置为仅针对下列流量。
在为站点到站点VPN连接更改VPN路由器的默认配置时,请考虑下列问题:
您是否希望支持远程访问VPN连接?
在默认情况下,所有的PPTP和L2TP都被配置为同时允许远程访问连接(仅限入站的)和请求拨号路由连接(入站的和出站的)。
为了禁用远程访问连接,创建一个专门的站点到站点VPN连接服务器,请在路由和远程访问嵌入式管理单元的端口对象中,清除WAN小端口(PPTP)和WAN小端口(L2TP)设备属性中的远程访问连接(仅限入站的)复选框。
或者,您也可以清除VPN服务器属性中常规选项卡的远程访问服务器复选框。
您是否需要安装计算机证书?
如果VPN路由器支持L2TP/IPSec连接,使用EAP-TLS身份验证协议来对连接进行身份验证,或配置为使用Windows身份验证提供者,那么您必须安装计算机证书。
如果VPN路由器是使用EAP-TLS身份验证协议的呼叫路由器,那么您必须安装用户证书。
详细信息,请参阅本文的“证书基础构架”部分。
您是否需要为VPN连接定制远程访问策略?
如果您为Windows身份验证或为RADIUS身份验证(同时RADIUS服务器是IAS服务器)配置了VPN路由器,那么默认的远程访问策略将拒绝所有类型的连接尝试,除非用户帐户拨号属性的远程访问权限被设置为允许访问。
如果您希望通过组或连接类型来管理授权和连接参数,您必须配置其他的远程访问策略。
详细信息,请参考本文的远程访问策略部分。
您是否需要独立的身份验证和记帐提供者?
路由和远程访问服务器安装向导将身份验证和记帐提供者配置为同一个。
在向导完成之后,您可以单独地配置身份验证和记帐提供者(例如,您希望使用Windows身份验证和RADIUS记帐)。
您可以在路由和远程访问嵌入式管理单元的VPN路由器属性的身份验证选项卡中配置身份验证和记帐提供者。
在配置了VPN路由器后,您可以使用路由和远程访问嵌入式管理单元,开始创建请求拨号接口,配置路由。
详细信息,请参阅本文的“部署基于PPTP的站点到站点VPN连接”和“部署基于L2TP/IPSec的站点到站点的VPN连接”。
Internet网络基础构架
要创建一个跨越Internet的站点到站点的VPN连接连接到应答路由器:
这个应答路由器的名称必须是可解析的。
这个应答路由器必须是可达到的。
必须允许从这个应答路由器进出的VPN流量。
应答路由器名称解析性
虽然可以使用连接建立的应答路由器的名称来配置请求拨号接口,但是我们推荐您使用IP地址,而不是名称。
如果您使用名称,那么它将被解析为应答路由器的公共IP地址,发送到VPN路由器上所运行服务的流量将以纯文本形式在Internet中传送。
应答路由器可到达性
为了能够到达,必须为应答路由器分配公共IP地址,使数据包能够通过Internet的路由基础构架进行转发。
如果您已经为其分配了来自ISP或Internet注册机构的静态公共IP地址,通常不会有任何问题。
在一些配置中,应答路由器实际上被配置为专用IP地址,而仅具有一个发布的静态IP地址,通过这个地址来让Internet的用户进行访问。
Internet和应答路由器之间的设备将对进出应答路由器的数据包中的发布的和真实的IP地址进行转换。
虽然路由基础构架可能有效,但是应答路由器仍然可能无法达到,可能是由于防火墙、数据包筛选路由器、网络地址转换器、安全性网关,或者其他类型的阻止应答路由器计算机发送或接受数据包的设备。
VPN路由器和防火墙配置
VPN路由器和防火墙的配合使用有两种方法:
VPN路由器直接连接到Internet,而防火墙位于VPN路由器和站点之间。
在这种配置中,您必须使用数据包筛选器来配置这个VPN路由器,仅允许VPN流量从它的Internet接口进出。
防火墙可以配置为允许特定类型的站点内流量。
防火墙连接到Internet,而VPN路由器位于防火墙和站点之间。
在这种配置中,防火墙和VPN路由器都连接到一个被称为周边网络(也被称为隔离区域[DMZ]或被屏蔽的子网)的网络上。
防火墙和VPN路由器都必须使用数据包筛选器进行配置,仅允许VPN流量进出Internet。
图2显示了这种配置。
有关在这两种配置中为VPN和防火墙配置数据包筛选器的详细信息,请参阅附录A。
应答路由器的Internet可访问性
在为站点到站点VPN连接配置您的Internet基础构架时,请考虑下列问题:
在任何可能的情况下,请使用应答路由器的IP地址来配置您的请求拨号接口。
如果您使用名称,那么请确保您应答路由器的DNS名称可以进行解析,可以在您的InternetDNS服务器或ISP的DNS服务器中添加合适的DNS记录。
使用ping工具来ping每个应答路由器的名称,检查名称的可解析性。
由于数据包筛选,ping命令的结果可能是"
Requesttimedout"
,但请检查指定的名称被ping工具解析为正确的IP地址。
确保您应答路由器的IP地址可以从Internet到达,您可以使用ping工具来ping应答路由器的名称或地址,并在直接连接到Internet时将timeout设置为5秒(使用-w命令行选项)。
如果您获得一个"
Destinationunreachable"
错误信息,那么表示这个应答路由器是无法到达的。
在连接到Internet和周边网络的防火墙及应答路由器接口上配置数据包筛选,针对PPTP流量、L2TP/IPSec流量或两者皆有。
您可以通过路由和远程访问服务器安装向导来自动地配置正确的数据包筛选器,您可以选择远程访问(拨号或VPN)配置。
详细信息,请参阅附录A。
身份验证协议
为了对尝试创建PPP连接的呼叫路由器进行身份验证,WindowsServer2003支持了大量不同的PPP身份验证协议,包括:
密码身份验证协议(PAP)
Shiva密码身份验证协议(SPAP)
质询握手身份验证协议(CHAP)
Microsoft质询握手身份验证协议(MS-CHAP)
MS-CHAP版本2(MS-CHAPv2)
可扩展身份验证协议-消息摘要5(EAP-MD5)
可扩展身份验证协议-传输层协议(EAP-TLS)
对于PPTP连接,您必须使用MS-CHAP、MS-CHAPv2或EAP-TLS。
只有这三种身份验证协议才能同时在呼叫路由器和应答路由器上生成相同的加密密钥。
MPPE使用这个加密密钥对所有VPN连接上发送的PPTP数据进行加密。
MS-CHAP和MS-CHAPv2是基于密码的身份验证协议。
在不使用用户证书时,强烈推荐使用MS-CHAPv2。
因为它是比MS-CHAP更强大的身份验证协议,能够提供共有的身份验证。
通过共有身份验证,应答路由器和呼叫路由器能够进行相互的身份验证。
如果您必须使用一个基于密码的身份验证协议,那么请在网络中强制使用强健的密码。
强健的密码是长密码(多于8个字符),由大小写字母、数字和符号随机的组成。
例如f3L*02~>
xR3w#4o就是一个强健的密码。
EAP-TLS的使用是于证书基础构架以及用户证书相结合的。
通过EAP-TLS,呼叫路由器发送用户证书用于身份验证,身份验证服务器(应答路由器或RADIUS服务器)发送计算机证书用于身份验证。
这是最强健的身份验证方式,它不依赖于密码。
如果身份验证服务器是WindowsServer2003VPN路由器或IAS服务器,EAP-TLS只有在该身份验证服务器是ActiveDirectory域成员时才能使用。
您可以使用第三方CA作为EAP-TLS证书。
详细信息,请参阅白皮书“虚拟专用网络和WindowsServer2003:
部署远程访问VPN”的附录E。
对于L2TP/IPSec连接,您可以使用所有的PPP身份验证协议,因为用户身份验证是在呼叫路由器和应答路由器已经建立安全的通讯通道(被称为IPSec安全关联[SA])之后进行的。
但是,我们还是推荐使用MS-CHAPv2或EAP-TLS。
使用哪种身份验证协议?
在为VPN连接选择身份验证协议时,请考虑下列内容:
如果您使用签署用户证书的证书基本构架,那么请为PPTP和L2TP连接使用EAP-TLS身份验证协议。
WindowsNT4.0RRAS路由器不支持EAP-TLS。
如果您必须使用一个基于密码的身份验证协议,则请使用MS-CHAPv2,并通过组策略强制采用强健的密码。
运行WindowsServer2003、Windows2000和WindowsNT4.0(具有RRAS和ServicePack4及更新版本)的计算机支持MS-CHAPv2。
VPN协议
WindowsServer2003支持两种基于PPP的站点到站点VPN协议:
点到点隧道协议
具有IPsec的第二层隧道协议
PPTP最初在WindowsNT4.0中引入,它利用点到点协议(PPP)用户身份验证和微软点到点加密(MPPE)来对IP流量进行封装和加密。
当使用MS-CHAPv2并具有强健的密码时,PPTP是一种安全的VPN技术。
对于非基于密码的身份验证,可以在WindowsServer2003中使用EAP-TLS来支持用户证书。
PPTP是被广泛支持的,并且能方便地部署,它可以用来跨越大部分的网络地址转换器(NAT)。
具有IPSec的第二层隧道协议
L2TP利用PPP用户身
升级会员 