虚拟专用网络和Windows Server 部署站点到站点VPN.docx
《虚拟专用网络和Windows Server 部署站点到站点VPN.docx》由会员分享,可在线阅读,更多相关《虚拟专用网络和Windows Server 部署站点到站点VPN.docx(71页珍藏版)》请在冰豆网上搜索。
虚拟专用网络和WindowsServer部署站点到站点VPN
虚拟专用网络和WindowsServer2003:
部署站点到站点VPN
简介1
WindowsServer2003站点到站点VPN的组件5
部署基于PPTP的站点到站点VPN连接21
部署基于L2TP/IPSec的站点到站点VPN连接29
附录A:
配置防火墙和WindowsServer2003VPN路由器37
附录B:
候补配置42
附录C:
故障诊断44
总结53
相关链接53
简介
虚拟专用网(VPN)是专用网络的扩展,它跨越共享或公共网络(例如Internet)建立链接。
通过VPN,您可以跨越一个共享或公共网络,以模拟点到点专用链接(例如基于电信运营商的长距离广域网[WAN]链接)的方式在两台计算机间传输数据。
创建和配置一个虚拟专用网络的具体行动被称为虚拟专用网链接。
为了模拟点到点链接,需要使用一个带有路由信息的数据报头对数据进行封装,以便允许数据通过共享或公共网络到达其目的地。
为了模拟一条专用链接,出于安全性考虑,数据将进行加密。
如果没有密钥,即使在共享或公共网络截取到数据包也无法对其进行解读。
对专有数据进行封装和加密的逻辑链接便是一个VPN链接。
图1展示了VPN连接的逻辑示意图。
图1VPN连接的逻辑示意图
现在,在家中或旅途中工作的用户可以通过公共网络(例如Internet)所提供的基础构架,使用VPN连接与企业服务器建立远程访问连接。
从用户的角度来看,VPN连接是一个计算机(VPN客户端)和企业服务器(VPN服务器)之间的点到点连接。
对他们来说,并不关注共享或公共网络的确切基础构架,因为数据似乎是通过一个专门的专用链接来进行传输的。
企业也可以使用VPN连接来建立跨越公共网络(例如Internet)的站点到站点连接,将位置分散的办公室或其他公司连接在一起,并同时保证安全的通讯。
从逻辑上来看,站点到站点VPN连接将作为一个专门的WAN链接进行运作。
通过远程访问和站点到站点连接,企业就可以使用VPN连接与Internet服务提供商(ISP)进行交易,将远程拨号或租用线路转换为本地拨号或租用线路。
在WindowsServer2003操作系统中,有两种类型的基于PPP的站点到站点VPN技术:
1.点到点隧道协议(PPTP)
PPTP利用用户级别的点到点协议(PPP)身份验证方式和Microsoft点到点加密(MPPE)进行数据加密。
2.具有Internet协议安全(IPSec)的第二层隧道协议(L2TP)
具有IPSec的L2TP(L2TP/IPSec)利用用户级别的PPP身份验证方式和IPSec来实现使用证书的计算机身份验证,并确保数据的身份验证、完整性和加密。
注意:
在采用IPSec隧道模式实现站点到站点VPN连接时,可以使用运行WindowsServer2003的计算机。
由于IPSec隧道并不是数据包转发和接收的逻辑接口,因此无法在IPSec隧道上运行路由协议。
用于站点到站点VPN连接的IPSec隧道配置有着很大的差别,我们将不在本文中进行讨论。
详细信息,请参阅Microsoft知识库中的252735-"如何在Windows2000中配置IPSec隧道
对于加密,您可以选择链接加密,或者在链接加密以外再进行端到端加密:
●链接加密只针对路由器之间链接上的数据。
对于PPTP连接而言,您在使用MPPE时必须结合MS-CHAP、MS-CHAPv2或EAP-TLS身份验证。
而对于L2TP/IPSec连接,则由IPSec为路由器之间的链接提供加密。
●端到端加密对数据源主机和最终目的地之间的数据进行加密。
在建立了站点到站点的VPN连接后,您可以使用IPSec来对从数据源主机发送到目标主机的数据进行加密。
WindowsServer2003中的请求拨号路由(Demand-DialRouting):
概述
WindowsServer2003路由和远程(RoutingandRemoteAccess)服务支持通过拨号连接(例如模拟电话线路或ISDN)、VPN连接和PPPoverEthernet(PPPoE)连接的请求拨号路由(也称为“按需拨号路由”)。
请求拨号路由是跨越点到点协议(PPP)链接的数据包转发。
在WindowsServer2003路由和远程访问服务中,这种PPP链接将作为请求拨号的接口,用来创建跨越拨号、非永久或永久媒介的请求连接。
请求拨号连接允许您在低流量情况下使用拨号电话线路,而不是采用租用线路;并利用Internet的连通性,通过VPN连接将各分公司连接在一起。
请求拨号路由与远程访问不同。
远程访问将一台单独的计算机连接到网络中;而请求拨号则连接整个网络。
但是,它们都使用PPP作为基本协议,通过这个协议进行连接的协商和身份验证,并对其中发送的数据进行封装。
在WindowsServer2003路由和远程访问服务中,可以单独启用远程访问和请求拨号。
但是,它们仍然共享下列内容:
●用户帐户的拨号属性行为。
●安全性(身份验证协议和加密)。
●使用远程访问策略。
●使用Windows或远程身份验证拨号用户服务(RemoteAuthenticationDial-InUserService,RADIUS)——用于身份验证,授权和记帐。
●IP地址分配和配置。
●使用PPP特性,例如微软点到点压缩(MicrosoftPoint-to-PointCompression,MPPC)、多链接PPP和带宽分配协议(BandwidthAllocationProtocol,BAP)。
●故障诊断工具,包括事件日志、Windows或RADIUS身份验证和记帐日志,以及跟踪。
虽然请求拨号路由的概念十分简单,但其配置却要相对复杂的多。
配置的这种复杂性源于下面几个因素:
●连接端点寻址。
连接必须通过公共数据网络,例如模拟电话系统或Internet。
连接的端点必须通过拨号连接的电话号码或VPN连接的完全合格主机名称或IP地址来进行识别。
●呼叫者的身份验证和授权。
所有呼叫路由器的用户都必须经过身份验证和授权。
身份验证是基于呼叫者的证书集的,在连接建立过程中呼叫者将提交证书。
这些证书必须是对应于一个帐户的。
授权则根据帐户和远程访问策略的拨号属性进行分配。
●远程访问客户端和呼叫路由器之间的差异。
路由和远程访问服务共同存在于运行WindowsServer2003的计算机中。
而远程访问客户端和请求拨号路由器又都可以初始化一个连接。
因此,运行WindowsServer2003的计算机在对连接尝试做出响应时,必须能够区分远程访问客户端和请求拨号路由器。
在初始化这个连接的路由器(呼叫路由器)所发送的身份验证证书中包含有一个用户名;同时,响应这个连接尝试的WindowsServer2003(响应路由器)的请求拨号接口也拥有一个名称。
如果这两个名称相一致,那么这个连接就是请求拨号连接。
否则,这个传入的连接就是远程访问连接。
●连接两端的配置。
连接的两端都必须进行配置,即使只由连接的其中一端初始化请求拨号连接。
如果仅配置连接的其中一端,那么数据包只能朝一个方向进行成功的路由。
而通讯通常要求双方向的信息传递。
●静态路由的配置。
在临时的请求拨号连接上,您不应该使用动态路由协议。
因此,必须在请求拨号路由器的路由表中添加可以跨越请求拨号接口的网络ID路由,例如静态路由。
您可以手动地添加静态路由,也可以使用自动静态更新进行添加。
请求拨号路由更新:
当通过请求拨号路由来节约连接成本时,典型的路由协议总依赖于周期性公布过程与路由信息进行通讯。
例如,RIP-for-IP每隔30秒钟公布一次其所有接口上的路由表的内容。
此操作对永久性连接的LAN或WAN线路不成问题。
对于敏感用途的拨号WAN线路,此周期性的操作类型可能导致路由器每隔30秒钟就呼叫其他路由器,这会导致预料之外的电话费用。
因此,不应该运行通过临时拨号WAN线路的路由协议。
如果不使用路由协议更新路由表,那么必须输入路由作为静态路由。
手动或自动输入与通过接口可获得的网络ID对应的静态路由。
请求拨号接口静态路由的自动输入称为自动静态更新,运行“路由和远程访问”的服务器支持该功能。
RIP-for-IP支持自动静态更新,但OSPF不支持。
在执行过程中,对自动静态更新配置的请求拨号接口将通过活动连接发送请求,以获取连接的另外一端路由器中的所有路由。
在响应请求时,将请求的路由器的所有路由自动输入为请求路由器路由表中的静态路由。
静态路由也是永久的;它们将保留在路由表中,即使接口断开或重新启动路由器。
自动静态更新是路由信息的一次性单向交换。
您可以将更新作为计划任务执行,这样就可以自动化并计划执行自动静态更新。
详细信息,请参阅WindowsServer2000帮助和支持中的“计划自动静态更新”。
注意:
自动静态中的“自动”是指将请求路由自动添加为路由表中的静态路由。
通过明确的操作执行发送路由请求:
当请求拨号接口处于连接状态时,通过“路由和远程访问”或Netsh实用程序。
每次进行请求拨号连接时,不会自动执行自动静态更新。
站点到站点VPN连接的简介
站点到站点VPN连接是一种请求拨号连接,它使用VPN隧道协议(例如PPTP或L2TP/IPSec)来连接专用网络的两个部分。
每个VPN路由器都提供一个与VPN路由器所属网络的路由连接。
在站点到站点VPN连接中,任何一个路由器通过VPN连接发送的数据包通常都不在路由器上初始化。
呼叫路由器(VPN客户端)初始化这个连接。
应答路由器(VPN服务器)侦听连接请求,接收来自呼叫路由器的连接请求,并根据请求建立连接。
呼叫路由器向应答路由器证明自己的身份。
在使用共有身份验证协议(例如MS-CHAPv2或EAP-TLS)时,应答路由器也向呼叫路由器证明自己身份。
表1列出了与站点到站点VPN兼容的Microsoft操作系统。
表1与站点到站点VPN兼容的Microsoft操作系统
VPN隧道协议
Microsoft操作系统
PPTP
WindowsServer2003,Windows2000Server,具有路由和远程访问服务(RRAS)的WindowsNTversion4.0
L2TP/IPSec
WindowsServer2003,Windows2000Server
VPN路由器可以是任何计算机,只要它能够创建使用MPPE的路由PPTP连接,或创建使用IPSec加密的路由L2TP连接。
请求连接与永久连接:
站点到站点VPN连接可以是请求连接,也可以是永久连接:
●请求的站点到站点连接是在流量必须通过该连接转发时所建立的连接。
首先建立连接,接着转发流量,然后在所配置的空闲时间过后中断这个连接。
您可以为应答路由器配置空闲断开行为:
在用于这个站点到站点VPN的远程访问协议的配置文件属性拨号限制选项卡中进行设置。
您也可以为呼叫路由器配置空闲断开行为:
在路由和远程访问嵌入式管理单元中的请求拨号接口属性的选项选项卡中设置。
●永久的站点到站点连接总处于连接状态。
如果这个连接出现了故障,会立即重试。
要为应答路由器配置永久连接,请在用于站点到站点连接的远程访问策略的配置文件属性中,清除拨号限制选项卡中的在连接前可保持空闲的分钟数和客户端可以被连接的分钟数复选框(这些设置是默认禁用的)。
要为呼叫路由器配置永久连接,请在请求拨号接口属性的选项选项卡中选中永久连接。
如果呼叫路由器使用拨号链接(例如模拟电话线路或ISDN)连接到Internet,那么您需要配置一个拨号请求的站点到站点VPN连接,由应答路由器中的一个请求拨号接口和呼叫路由器中的两个请求拨号接口组成:
一个用于连接到本地Internet服务提供商(ISP),另一个用于这个站点到站点VPN连接。
拨号请求的站点到站点VPN连接还需要呼叫路由器IP路由表中的一个额外的主机路由。
详细信息,请参阅WindowsServer2003帮助和支持中的“拨号路由器到路由器VPN连接”。
不论是请求的或永久的站点到站点VPN连接,应答路由器总是一直连接到Internet的。
限制请求拨号连接的初始化:
为了避免呼叫路由器建立不需要的连接,您可以按照下列的几种方式来限制呼叫路由器建立请求的站点到站点VPN连接:
●请求拨号筛选。
您可以使用请求拨号筛选来决定哪种类型的IP流量不能导致请求拨号连接的建立,也可以配置哪种类型的IP流量可以导致建立连接。
配置请求拨号筛选的方法是:
在路由和远程访问嵌入式管理单元的网络接口节点的请求拨号接口上点击右键,然后点击设置IP请求拨号筛选器。
●拨出时间。
您可以使用拨出时间来配置允许或禁止呼叫路由器建立站点到站点VPN连接的时间段。
配置拨出时间的方法是:
在路由和远程访问嵌入式管理单元的网络接口节点的请求拨号接口上点击右键,然后点击拨出时间。
您可以使用远程访问策略来配置允许传入请求拨号路由连接的时间。
单向和双向初始化的连接:
在使用单向初始化的连接时,一台VPN路由器总是呼叫路由器,而另一台VPN路由器总是应答路由器。
单向初始连接很适合分散和集中拓扑,在这种结构中,分公司的路由器是唯一初始化连接的路由器。
单向初始化的连接需要满足下列条件:
●应答路由器被配置为LAN和请求拨号路由器。
●为应答路由器访问和验证的呼叫路由器的身份验证凭据添加用户帐户
●在应答路由器上配置了请求拨号接口,并且其名称与呼叫路由器所使用的用户帐户名称相同。
这个请求拨号接口不是用于拨号的,因此它并没有配置呼叫路由器的主机名或IP地址,也没有配置有效的用户证书。
在使用双向初始化的连接时,每个VPN路由器既可以是呼叫路由器,也可以是应答路由器,这取决于哪个路由器初始化的这个连接。
两个VPN路由器都必须配置为初始化和接受站点到站点VPN连接。
当站点到站点VPN连接不是24小时都处于活动状态时,您可以使用双向初始化的连接,每个路由器的流量都可以用来创建请求连接。
双向初始化的站点到站点VPN连接需要满足下列条件:
●两个路由器都通过永久的WAN链接连接到Internet。
●两个路由器都被配置为LAN和请求拨号路由器。
●在两个路由器中都添加了用户帐户,这样应答路由器可以访问和检验呼叫路由器的身份验证证书。
●必须在两个路由器上都完全配置请求拨号接口,并使用与呼叫路由器所使用的用户帐户相同的名称,还包括配置应答路由器的主机名称或IP地址以及用户帐户证书。
表2给出了在路由器1(在西雅图站点中的请求拨号路由器)和路由器2(在纽约站点中的请求拨号路由器)之间建立双向初始化的请求拨号路由的正确配置示例。
表2双向初始化的请求拨号路由的正确示例配置
路由器
请求拨号接口名称
用户证书中的用户帐户名称
路由器1
DD_NewYork
DD_Seattle
路由器2
DD_Seattle
DD_NewYork
请留意在一个路由器的请求拨号接口证书中的用户帐户名称是如何与另一个路由器的请求拨号接口名称相匹配的。
WindowsServer2003站点到站点VPN的组件
图2给出了WindowsServer2003站点到站点虚拟专用网络的组件。
图2:
WindowsServer2003站点到站点VPN的组件
主要组件包括:
●VPN路由器
●Internet基础构架
●内部网络基础构架
●身份验证,授权和记帐(AAA)基础构架
●证书基础构架
VPN路由器:
VPN路由器可以初始化或接受VPN请求拨号连接,由下列组件组成:
●路由和远程访问服务。
呼叫和应答路由器上的路由和远程访问服务都通过路由和远程访问服务器安装向导来进行配置。
●端口。
端口是能够支持单个PPP连接的逻辑或物理通道。
物理端口基于安装在VPN路由器上的设备。
虚拟专用网络(VPN)端口是逻辑端口。
●请求拨号接口。
配置在呼叫路由器上的请求拨号接口代表了PPP连接,并包含有使用的端口类型、用于创建连接的地址(IP地址或域名)、身份验证方式、加密要求以及身份验证证书等配置信息。
对于双向初始化的连接而言,配置在应答路由器上的请求拨号接口代表了连向呼叫路由器的PPP连接。
而对于单向初始化的连接而言,它使用呼叫路由器用户帐户上的静态路由,不需要在应答路由器上配置请求拨号接口。
●用户帐户。
为了对呼叫路由器进行身份验证,呼叫路由器的证书必须通过相应用户帐户的属性进行检验。
如果将应答路由器配置为Windows身份验证,那么呼叫路由器身份验证证书中的用户帐户必须可以使用Windows安全性进行检验。
如果应答路由器配置为RADIUS身份验证,那么RADIUS必须能够访问呼叫路由器身份验证证书的用户帐户。
这个用户帐户必须具有下列设置:
●在拨号选项卡中,将远程访问权限配置为允许访问或通过远程访问策略控制访问。
当您使用请求拨号接口向导创建用户帐户时,这个远程访问权限将被设置为允许访问。
●在常规或帐户选项卡中,禁用用户必须在下次登录时更改密码,并启用密码从不过期。
您可以在使用请求拨号接口向导创建用户帐户时配置这些设置。
对于单向初始化的连接而言,您可以在拨号选项卡中配置静态IP路由,该IP路由将在请求拨号连接建立时被添加到应答路由器的路由表中。
●路由。
要通过站点到站点VPN连接转发流量,VPN路由器路由表中的IP路由必须被配置为使用正确的请求拨号接口。
对于单向初始化的连接,请按常规方法配置呼叫路由器。
而对于应答路由器,您可以配置呼叫路由器身份验证证书中所指定的用户帐户以及静态IP路由。
●远程访问策略。
在应答路由器或Internet身份验证服务(IAS)服务器(作为应答路由器的RADIUS服务器)上,要指定用于请求拨号连接的连接参数,请创建一个包括所有呼叫路由器用户帐户的用户组,然后创建一个单独的远程访问策略,在这个组上使用Windows-Groups属性集。
对于请求拨号连接,不需要创建单独的远程访问策略。
呼叫路由器完成下列工作:
●根据管理员行为,或在被转发的数据包符合使用VPN请求拨号接口的路由时,初始化VPN连接。
●在转发数据包之前等待身份验证和授权。
●作为其站点中的节点和应答路由器之间的路由器转发数据包。
●作为VPN连接的端点。
应答路由器完成下列工作:
●侦听VPN连接尝试。
●在允许数据转发之前,对VPN连接进行身份验证和授权。
●作为其站点中的节点和呼叫路由器之间的路由器转发数据包。
●作为VPN连接的端点。
VPN路由器通常安装有两个网络适配器:
其中一个网络适配器连接到Internet,而另一个网络适配器连接到内部网络。
在您配置和启用路由和远程访问服务时,路由和远程访问服务器安装向导将提示您选择该计算机所扮演的角色。
对于VPN路由器,您应该选择远程访问(拨号或VPN)选项。
在选择了远程访问(拨号或VPN)选项后,路由和远程访问服务器将作为VPN服务器运行,同时支持远程访问和站点到站点的VPN连接。
为了实现远程访问VPN连接,用户可以运行VPN客户端软件,并初始化一个连接到VPN服务器的远程访问连接。
为了实现站点到站点VPN连接,路由器将初始化一个连接到VPN服务器的VPN连接。
然后,VPN服务器可以初始化一个连接到另一个VPN路由器的VPN连接。
注意:
Microsoft推荐在路由和远程访问服务器安装向导中选择远程访问(拨号或VPN),而不是两个专用网络间的安全连接,这是因为两个专用网络间的安全连接选项不会提示您选择用于自动配置数据包筛选器的Internet接口,也不会提示您配置RADIUS服务器,它只会创建5个PPTP和5个L2TP端口。
当您在路由和远程访问服务器安装向导中选择远程访问(拨号或VPN)时:
1.首先它会提示您指定是否需要VPN、拨号或同时需要两种访问类型。
2.然后,提示您选择连接到Internet的接口。
您所选择的接口将自动地配置有数据包筛选器,只允许PPTP或L2TP相关的流量(除非您清除通过设置静态数据包筛选器,启用所选接口的安全性复选框)。
所有其他流量都被无声地禁止了。
例如,您将无法再ping到VPN服务器的Internet接口。
如果您希望将这个VPN服务器计算机作为网络地址转换器(NAT)、Web服务器或其他功能,请参阅附录B。
3.接着,如果您拥有多个连接到内部网络的网络适配器,那么将提示您选择通过哪个接口获得DHCP、DNS和WINS配置。
4.然后,提示您确定您是否希望使用DHCP获得IP地址,或通过指定的地址范围为远程访问客户端进行IP分配。
如果您选择指定的地址范围,那么将提示您添加一个或多个地址范围。
5.然后,提示您指定是否希望使用RADIUS作为您的身份验证提供者。
如果您选择了RADIUS,那么将提示您配置主要和预备RADIUS服务器以及共享的密钥。
当您在路由和远程访问服务器安装向导中选择远程访问(拨号或VPN)时,其结果将是:
1.启用路由和远程访问服务器,同时作为远程访问服务器以及LAN和请求拨号路由器,并采用Windows作为身份验证和记帐提供者(除非选择和配置了RADIUS)。
如果只有一个网络适配器连接到内部网络,那么这个网络适配器将自动地被选为IP接口,从这个接口处获取DHCP、DNS和WINS配置。
否则,将选择向导中指定的网络适配器来获得DHCP、DNS和WINS配置。
在指定情况下,将配置静态IP地址范围。
2.创建128个PPTP和128个L2TP端口。
所有这些端口都可以用于入站远程访问连接和出站请求拨号连接。
3.选定的Internet接口将配置有入站和出站IP数据包筛选器,仅允许通过PPTP和L2TP/IPSec流量。
4.在内部接口中添加DHCPRelayAgent组件。
如果在运行向导时,VPN服务器是一个DHCP客户端,那么DHCPRelayAgent将被自动地配置为DHCP服务器的IP地址。
否则,您必须手动地使用您内部网络中DHCP服务器的IP地址来配置DHCPRelayAgent的属性。
DHCPRelayAgent将在VPN远程访问客户端和内部网DHCP服务器之间转发DHCPInform数据包。
5.添加IGMP组件。
内部接口被配置为IGMP路由器模式。
所有其他LAN接口被配置为IGMP代理模式。
这使得VPN远程访问客户端可以发送和接收IP多播流量。
在WindowsServer2003WebEdition和WindowsServer2003StandardEdition中,您可以创建最多1,000个点到点隧道协议(PPTP)端口,并能创建最多1,000个第二层隧道协议(L2TP)端口。
但是,WindowsServer2003WebEdition在一次只能接受一个虚拟专用网络(VPN)连接。
而WindowsServer2003StandardEdition可以接受最多1,000个并发VPN连接。
如果已经连接了1,000个VPN客户端,那么在连接数低于1,000之前,会禁止所有的其他连接尝试。
升级会员 