VPN实验之二路由器网关到路由器网关的VPN应用.docx

1、VPN实验之二路由器网关到路由器网关的VPN应用VPN实验之二路由器（网关）到路由器（网关）的VPN应用 2010-03-31 09:32:12标签：VPN实验路由器网关应用网关(路由器)到网关（路由器）的VPN应用， 一般常用于两个公司的总部与分部之间的网络安全连接。 偶曾在较早些时侯，做了在ISA SERVER2004企业版环境中总公司到分公司的VPN连接的应用。这次网关到网关的VPN应用，是接上次的” 远程访问服务器的构建”之后的又一篇关于VPN应用实验，且仍是基于windows server 2003 SP1企业版平台的。 首先请了解两个关于VPN应用的概念：请求拨号与远程访问， 请求

2、拨号主要应用网关到网关的VPN连接，此时它连接的是整个网络。而远程访问则是将一台独立的客户端连接到远程网络中去。 请求拨号会在创建两个网关的VPN连接时出现，并充许对此进行配置，这个步骤在接下来的实验中会重点说明。要注意的是：1、这次的实验仍是两个地方各有一个子网的。也就是说整个网络的路由并不复 杂2、VPN到VPN的接号连接，是以拨叫对方IP的方式，并非以DNS A记录的方式3、分了验证实实验结果的成功性，采用了访问对方 内部局域网中共享资料和PING值返回的方式4、正确理解和区分具有拨号权限的用户账户与请求拨号接口两个概念5、 如果不同网关（总部和分部）所具有的网络有多个子网划分，请在网关

3、服务器和其它内部的路由器添加指向不同目标的路由6、这两个网 关服务器同时具有两种角色：呼叫路由器（VPN客户）应答路由器（VPN服务器），呼叫路由器在向应答服务器发出验证的同时，应答路由器也向呼叫路由器发 出验证7、如果分公司的网络需要通过总公司的网络连接互联网的话，可 以网关服务器“路由与远程访问”“IP路由选择”“NAT/基本访火墙”选项进行设置，充许其NAT代理连接INTERNET要具备的技术能力：1、VPN相关知识，DNS的 相关知识2、路由（添加静态路由）、路由协议（RIP/OSPF）3、熟悉WINDOWS2K3的路由与远程访问的操作虚 机环境1、物理主机为：双路AMD 250 2.

4、39GHz,4G ECC内存，10000转SCSI硬盘。2、虚机为VPC 2004 SP1 +Win2k3 sp1实验环境拓朴如下图：试生产环境中的机器网络环境配置：vpnClient1vpnClient1Ip:10.0.1.2Mask:255.255.255.0Gw:10.0.1.1Vpnserver1Ip:10.0.1.1Mask:255.255.255.0网 卡“nei”Ip:59.64.113.221Mask:255.255.255.0网卡“wai”vpnClint2Ip:192.168.1.2Mask:255.255.255.0Gw:192.168.1.1vpnrouter2Ip:1

5、92.168.1.1Mask:255.255.255.0网 卡“nei”Ip:59.64.113.222Mask:255.255.255.0网卡“wai”OK, 下面开始实验过程，以图片为主，基本上要做的配置都在图中有所显示。1、在虚机vpnserver1 和vpnserver2上分别建立两个用户账号（vpnone、vpntwo），并使此具有远程拨入的权限。以下操作均在VPNSERVER1上进行2、打开 “管理工具”“路由与远程访问”“配置并启用路由与远程访问”，下一步后，显示如下图的界面，由于要实现的是路由器到路由器的VPN应用，这里一定要选择 “两个专用网络之间的安全连接”。3、在“请求拨

6、号连接”界面，选择“是”，下一步，在出现的“地址X转指定”界面，新建一个地址段为 10.0.2.110.0.2.10，由于10.0.2.1默认由VPN服务器保留，故客户端所成分配的IP是以10.0.2.2开始的的。（当然，你 也可以不指定别的IP地址X围，这样你就要在前一操作步骤中选择DHCP，但这样子容易出问题，因为客户端被分配的IP和内部的IP在同一X围啦）4、IP添加完成后，出现“路由与远程访问服务器安装向导”完成界面。当你点击“完成”后，会弹出一个“欢迎使用 请求拨号接口向导”界面。注意，这里，你可以取消，以便在以后配置（在完成后，在“路由与远程访问”控制台里，右键“网络接口，新增拨号

7、接口”来完成）。 这里，偶选择“下一步”5、在“接口名称”界面。要求你输入一个名称，这里要说下 了，接口名称，一定要和VPN服务器上的具有拨入权限的用户名一致的，否则，身份验证通不过，这个实验就完不成。偶是走了一些弯路，但愿各位在这里加些细 心和思考。这里，我输入的是vpnone也就是VPNSERVER1上建立的具有远程拨入权限的用户名。6、在“连接类型”中，选择“使用虚拟专用网络连接（VPN）”。在“VPN类型”界面选择“点对点隧道协议”。 在“目标地址”对话框，输入要拨入的（应答服务器）VPN服务器的IP：59.64.113.222.用“拨入用户账户”输入用户名为vpntwo。7、在“协议

8、及安全措施”界面，只选择“在此接口上路由选择IP数据包”。而“添加一个用户账户使远程路由器可以 拨入”不要选，此用户，此前已经建立。在“远程网络的静态路由”界面，输入：目标：192.168.1.0 网络掩码：255.255.255.0 。确定。此处要多理解啊，一定要搞清路由的来源和目标。在VPNSERVER2上，执行同样的操作，部分要注意的，看下图。并注意，在“拨号接口名称 “界面输入vpntwo。拨号用户名为vpnone8、OK，两台VPN服务器配置完路由与远程访问服务器后，控制台显示如下图。此时，“网络接口”选项，连接状态 为“已断开”。9、在VPNSERVER2，“路由和远程访问”控制面

9、板中，“网络接口”右侧面板中，右键单击VPNTWO，在 弹出的下接菜单中，选“连接”。要注意，只在两台服务中的一台执行此操作便可，几秒钟后两者都可以连接上了。（双向连接）9、拨号连接后，在VPNSERVER1和VPNSERVER2上分别运行IPCONFIG命令，得到的结果如下两图。10、为了验证实验结果是否成功，下面分别在VPNCLIENT1和VPNCLIENT2上分别PING对方，可 得到正确的PING成功返回值。并分别访问对方的默认共享，也成功访问。11、为了便于各位的学习和交流，我在VPNSEREVER1 和VPNSERVER2上的路由表截图也贴了上来。后记，VPN连接应用系列之二，终于完成了，做的过程并不麻烦，可要是把它写出 来，而且还要把要点，以及要注意的事项写出来，却是有点麻烦的，而且还担心自己的文字表达不清，误了大家的进步。不过，若各位有什么要建议的或是交流的， 可以给偶发：ricky.fanglive.偶还要 说的是，强烈建议各位去看看偶发表的关于在ISA server 2004 上的VPN连接一文（ISA 微软实验手册做向导）。并关注偶不久后要发表的基于ISA SERVER2006的VPN连接的应用文章。本文出自 “下里巴人的家” 博客，请务必保留此出处rickyfang.blog.51cto./1213/127037