教你如何架设VPN网络.docx

教你如何架设VPN网络.docx

《教你如何架设VPN网络.docx》由会员分享，可在线阅读，更多相关《教你如何架设VPN网络.docx（10页珍藏版）》请在冰豆网上搜索。

教你如何架设VPN网络

教你如何架设VPN网络2009-11-0821:

36:

03阅读24评论0字号：

大中小订阅

　　简介

　　让远程用户连接ExchangeServer的传统解决方案是使用OutlookWebAccess.然而，为何不使用虚拟专用网（VirtualPrivateNetwork，VPN）让你的远程用户与你的Exchange连接在一起呢？

　　如果你不熟悉VPN，我将向你介绍，VPN是穿越不安全的网络，譬如Internet的一个逻辑的、安全的网络连接。

远程用户能够通过他们的已经存在的Internet连接，安全地连接进入你的网络，就像他们亲自在办公室中一样。

另外一个优势是，VPN是交换独立的，这意味着你能够使用VPN连接访问ExchangeServer，而不用考虑版本问题，并且你还可以使用VPN连接访问其它网络资源。

　　VPN技术对机构和很多远程用户来说，是极端有用的，但在设定上，它可能有些复杂。

下面的指南将手把手的教你如何建立VPN，它包含各个步骤详细的操作流程。

　　第一步：

系统需求

　　VPN分为两种，一种是硬件解决方案，一种是软件解决方案，在这个手把手的指南中，我将介绍一种软件解决方案，即使用Microsoft产品建立VPN.

　　为了架设VPN，你将需要三个独立的Windows2003服务器和至少一个远程用户，远程用户的机器上需要运行WindowsXP操作系统。

　　你的VPN需要的第一台Windows2003服务器是一台基本的基础设施服务器，它必须作为一台域控制器（domaincontroller），DHCP服务器（DHCPserver），DNS服务器（DNSServer）和认证中心（certificateauthority）。

如果你的网络中已经有一台Windows2003服务器，你就不需要去购买一台服务器担当此角色。

　　任何Windows2003域都至少有一台域控制器和一台作为DNS的服务器，多数Windows2003网络同时运行DHCP服务。

如果你所有的这些服务已经到位，你所关心的唯一的事情就是设置一个认证中心（我将在第三步为你说明如何做这件事情）。

下载，你只需知道作为认证中心的那台服务器必需运行WindowsServer2003EnterpriseEdition操作系统。

　　你需要的第二台服务器将是VPN服务器（VPNserver），WindowsServer2003StandardEdition和EnterpriseEdition都提供了VPN服务器的必要软件，因此，你不需要在这台服务器上安装任何特别的软件。

唯一特别的是硬件上，这台服务器需要双网卡，一块网卡连接Internet，另一块网卡则连接你的专用企业网络。

　　你需要的最后一台服务器将是认证服务器（authenticationserver）。

当远程用户通过VPN尝试进入你的企业网络时，他们必需通过认证。

远程用户认证的机制可以选择RADIUS服务器（RADIUSserver），RADIUS是RemoteAuthenticationDialInUserService（远程身份验证拨入用户服务）的首字母缩写。

在WindowsServer2003StandardEdition和EnterpriseEdition中，包含有微软自有版本的RADIUS.微软的RADIUS叫做Internet验证服务（InternetAuthenticationService，IAS），对这台服务器来说，没有特殊的硬件和软件要求。

　　在这一部分，最后我想说的是服务器的安置问题。

任何一台我谈论到的服务器都将通过Hub或交换机接入你的专用网络，唯一与外界连接的服务器是你的VPN服务器，但将VPN服务器直接与Internet连接将会带来安全风险，因此，在VPN服务器的前面放置一台防火墙是很好的解决办法，你可以用它过滤掉除了VPN通讯外所有其它的信息。

　　在第二步，我们将开始配置域的过程，所以在进入下一步之前，你的网络中必需包含必需的Windows2003域控制器和DNS服务器。

　　第二步：

实施DHCP服务

　　1.打开服务器的控制面板，选择“添加或删除程序”。

　　2.当“添加或删除程序”对话框出现时，点击“添加/删除Windows组件”按钮。

　　3.在弹出的窗口中，选择“网络服务”，按下“详细信息”。

　　4.现在从网络服务列表中选择“动态主机配置协议（DHCP）”，然后单击“确定”，进行下一步操作。

　　Windows现在将安装DHCP服务，安装结束后，你将要创建一个地址范围，并且启动DHCP服务器，在你的网络上运行。

　　5.为了做到这些，请在控制面板――管理工具中选择动态主机配置协议（DHCP）配置，打开DHCP管理器。

　　6.在DHCP管理器中你的服务器上单击右键，选择启动（Authorize）。

　　7.启动DHCP服务器后，在DHCP管理器的服务器列表窗口中单击右键，选择“新建作用域（NewScope）”，这将启动新建作用域向导。

　　8.点击下一步略过向导的欢迎界面。

　　9.输入你正在创建的作用域的名称，并且点击下一步。

（你可以输入任何你想到的名称，但在这个教程中，我将命名此作用域为“CorporateNetwork”。

）

　　10.现在你将需要填入IP地址范围。

在这里只需输入你已经使用的起始IP地址和结束IP地址，但注意不要与已经存在的IP地址冲突。

长度和子网掩码部分则会自动输入，不需要你的干涉，当然，你也可以手动调节这两者的值。

　　11.接下来的三个画面包括一些你不必关心的设置，连续三次点击下一步，直到你进入“路由（默认网关）（Router（DefaultGateway））”界面。

　　12.输入你网络网关的IP地址，点击添加，然后下一步。

　　13.输入你的域的名称和你的DHCP服务器的IP地址（IPaddressofyourDHCPserver），然后点击下一步。

　　14.单击下一步略过WINS配置窗口。

　　15.最后，根据提示选“是，我想激活作用域（Yes，IWantToActivateTheScopeNow）”再点击“完成”即可结束最后设置。

　　第三步：

创建一个企业认证中心

　　在我向你讲述如何创建一个企业认证中心之前，我将告诉你几个必需注意的事项。

安装认证中心并不是一个轻松的过程，如果一个XX的用户进入了你的认证中心，他将几乎控制你的所有网络。

同样，如果认证中心服务器当机，它可能对给你的网络带来毁灭性的破坏。

　　所以，一定要像保护原子弹一样保护你的认证中心，确保认证中心尽可能的安全，并频繁的做好全系统的备份，你还需要保护这些备份，以防止它们偶然地出现问题。

下面是创建企业认证中心的具体过程。

　　1.打开服务器的控制面板，选择“添加或删除程序”，点击其中的“添加/删除Windows组件”按钮。

　　2.选择Windows组件中的“证书服务”。

　　3.你将会看到一个警告窗口，上面的信息为：

“安装证书服务后，计算机名和域成员身份都不能更改，因为计算机名到CA信息的绑定存储在ActiveDirectory中。

更改计算机名或域成员身份将使此CA颁发的证书无效。

在安装证书服务前请确认配置了正确的计算机名和域成员身份。

您想继续吗？

”点击“是”，接受这一警告信息，并点击“下一步”，开始安装证书服务。

　　4.选择“独立根CA”作为你想安装的CA类型，并点击下一步。

　　在这里，为自己的CA服务器取个名字，设置证书的有效期限。

默认的证书有效期限为5年，不过你可以通过企业安全策略来增加或减少此有效期限。

　　5.填写好这两个文本框，点击下一步，Windows将开始生成加密密钥。

　　6.最后指定证书数据库和证书数据库日志的位置，按照默认即可，除非你自己想更换路径，然后点击下一步。

　　7.现在将出现一则消息，提示Windows必需重新启动IIS服务，才能够让证书服务正常运行。

点击“是”，Windows将安装必要的组件。

　　第四步：

安装Internet验证服务

　　Internet验证服务是WindowsServer2003实施RADIUS的一种服务，Internet验证服务将认证那些通过VPN连接进入你的企业网络的用户，因此，你的Internet验证服务器必需是你的域服务器中的一员，并且运行WindowsServer2003操作系统。

为了正确安装IAS，请遵循以下的步骤：

　　1.定位到开始|设置|控制面板（Start|Settings|ControlPanel）。

　　2.双击添加或删除程序（Add/RemovePrograms）。

　　3.选择添加/删除Windows组件（Add/RemoveWindowsComponents）。

　　4.在组件列表中，选择网络服务（NetworkingServices），并点击详细内容。

　　5.选择Internet验证服务（InternetAuthenticationService）的确认框，然后点击OK，并点击下一步。

　　完成安装之后，系统中将具有用于因特网认证服务的管理工具的一个新的连接。

接着，你必须为每一台机器设置一个客户端，并指定一个远距离访问规范以控制访问。

　　第五步：

配置Internet验证服务

　　1.进入管理工具（AdministrativeTools）->Internet验证服务（InternetAuthenticationService）。

　　2.在这里，你需要做的第一件事情是在活动目录（ActiveDirectory）中注册你的Internet验证服务器。

为了做到这些，请在Internet验证服务器（本地）（InternetAuthenticationService（Local））容器上单击右键，选择在活动目录中注册服务器（RegisterServerinActiveDirectory）。

　　3.点击确定完成注册过程。

　　4.现在，在RADIUS客户（RADIUSClients）容器上单击右键，选择新RADIUS客户（RADIUSClients）。

如果你正好直到你某台客户端机器的IP地址或DNS名称，继续下去，输入一个友好的名字。

否则，暂时将它留空，在随后的设置客户端连接时再进行填写。

　　5.点击下一步。

　　6.此时，会提示你输入一个共享的密钥。

共享密钥是RADIUS服务器和客户端同时使用的密钥，确定客户端供应商选项设置为RADIUS标准，输入一个共享密钥值，点击完成。

　　第六步：

创建远程访问策略

　　1.在Internet验证服务控制台，右击远程访问策略（RemoteAccessPolicies）容器，选择新建远程访问策略（NewRemoteAccessPolicy）选项，这将启动新建远程访问策略向导。

　　2.在欢迎使用新建远程访问策略向导页，点击下一步。

　　3.在策略配置方式页，选择使用向导为通用环境建立典型的策略（TypicalPolicyforaCommonScenario）选项，在策略名字文本框中输入一个名字，在此我们命名为“VPNAccess”，点击下一步。

　　4.在访问方式页，选择VPN选项，然后点击Next.

　　5.在访问的组或者用户页，选择组或用户，然后点击添加。

如果你还没有做这一步，我建议你花一些事件创建一个建立在能够通过VPN访问网络的用户纸上的活动目录组，然后将这个组添加进入策略。

　　6.点击下一步，进入认证方法窗口。

　　7.确认选择了“MicrosoftEncryptedAuthenticationversion2（MSCHAPV2）”，然后点击下一步。

　　8.在策略加密级别页，确认只选择了“Strongencryption”选项，随后点击下一步，根据向导，在完成新建远程访问策略向导页点击完成。

　　第七步：

配置VPN服务器

　　1.开始，请打开服务器的网络连接（NetworkConnections）目录，并将连接重命名为有意义的名字，例如，你可以将连接命名为企业和Internet，或者其它你喜欢的名字。

　　2.进入管理工具（AdministrativeTools）->路由和远程访问（RoutingandRemoteAccess），打开路由和远程访问管理器。

　　3.在管理器目录数中，右键单击你的VPN服务器，选择配置和启用路由和远程访问（ConfigureandEnableRoutingandRemoteAccess），这将载入路由和远程访问服务器设置向导（RoutingandRemoteAccessServerSetupWizard）。

　　4.点击下一步，略过向导的欢迎页面，然后你将看到向导的配置窗口。

　　5.选择远程访问（拨号或VPN）RemoteAccess（Dial-UporVPN），然后点击下一步。

　　6.选中VPN前面的复选框，点击下一步。

　　7.现在，你将看到一个窗口，此窗口中显示有你的机器的网络连接。

选择连接Internet的那个连接，确认启用安全（EnableSecurity）复选框被选择，然后单击下一步。

　　8.确认选中了自动（Automatically），并点击下一步。

　　9.现在，在选项中选择和设置跟RADIUS服务器一起工作的服务器，并单击下一步。

　　10.输入你的RADIUS服务器的IP地址，和你为RADIUS服务器分配的共享密钥信息。

　　11.点击下一步，点击完成。

　　第八步：

使VPN服务器和DHCP服务器关联起来

　　1.在路由和远程访问控制台目录数中指向你的服务器->IP路由（IPRouting）->DCHP中继代理（DHCPRelayAgent）。

　　2.在DHCP中继代理上单击右键，选择属性（Properties）。

　　3.输入你的DHCP服务器的IP地址，点击添加，然后再单击确定。

　　现在你的VPN服务器已经配置好了。

万事俱备，剩下的唯一要做的就是配置你的客户端，使它们与你刚刚创建的VPN服务协同工作。

　　第九步：

配置远程客户端

　　你应该可以记起，我们必需为那些能够通过VPN访问企业内部网络的用户创建一个特别的安全组。

所以，我假设你的远程用户已经被加入必要的组，并且客户端的计算机已经接入了Internet.

　　允许一台运行WindowsXP操作系统的客户端计算机访问你的专用网络，就必需告诉它们如何使用VPN连接。

　　1.为了做到这些，请打开控制面板（ControlPanel），选择网络和Internet连接（NetworkandInternetConnections）选项。

　　2.创建一个新连接，在向导中选择连接到我的工作场所的网络（ConnectiontotheNetworkAtYourWorkplace）选项。

　　3.Windows现在将询问你，想创建一个拨号连接（dial-upconnection），还是一个虚拟专用网络连接（VPNconnection）。

选择虚拟专用网络连接，点击下一步。

　　4.在这一步，你将看到公司名的项目，你能够在这里输入你公司的名字，你连接的服务器的名字，或者其它你用来描述连接的东西。

　　5.点击下一步，你将被要求输入你正连接的计算机的主机名或IP地址，请填入你的VPN服务器的外网IP地址（即连接进入Internet的IP地址）。

　　6.再次单击下一步，根据向导最后完成你的VPN连接创建。

　　第十步：

测试客户端连接

　　1.双击可用连接列表中的VPN连接。

　　2.你将被要求输入用户名和密码。

为了更好的使用VPN连接，我们还需要进行一些设置，因此请点击此界面中的属性（Properties）按钮。

　　3.在属性窗口中，选择网络（Networking）标签。

　　4.选择VPN类型为PPTPVPN，按下确定按钮。

　　5.现在你将回到VPN连接登陆窗口，以domain/username格式输入你的用户名.

　　6.然后输入你的密码，点击连接（Connect）。

　　7.这里可能会提供一个机会，让你选择想连接那个网络。

如果有提示，选择局域网连接（LANConnection）选项。

　　8.一旦连接建立，请在开始->运行中输入\\servername\ROOT命令。

　　你应该可以看到你的服务器的C盘的内容（假设你有相应的权限）。

当然，这种直接访问服务器C盘的方式非常罕见，多数情况下，你只能访问服务器上的特定共享资源，而要做到这些，你应该在开始->运行中输入\\servername\sharename.

　　第十一步：

改变VPN的配置选项

　　在这个手把手的指南中，我只概述了半打客户端VPN连接类型中的一个，根据不同的加密和认证技术，存在多种多样的VPN连接类型，若是你对此非常有兴趣，则可以参考微软的《Step-by-StepGuideforSettingUpVPN-basedRemoteAccessinaTestLab》，其网址为