Windowsserver部署站点到站点的VPN.docx

1、Windowsserver部署站点到站点的VPNWindows server 2008部署站点到站点的VPNVPN是个好东西，从它的定义：“在公网上通过一组规则建立起来的私有连接”就可以看出来。一方面它使用加密、认证、隧道等技术实现了安全性，另一方面是它的经济性。你想啊，咱们不用给电信交额外的钱。只需要几条命令或是几个NEXT就在两个节点间架设了一条虚拟的“DDN”，多划算啊。路由器上做基于三层的IPsecVPN我想大家应该都司空见惯了，本次我们在windows server 2008上来做基于二层的VPN。为什么要在windows上做呢？活学活用呗，客户要啥解决方案我们就能提供什么解决方案，

2、由他（她）选好了。在08上做其实很简单和在03上做是一样的。闲话我就不扯了咱们开始吧！拓扑如下:可以看到如下信息：1.总公司有一台VPN服务器，两块网卡。连接局域网的LAN（IP：192.168.1.1/24）网卡；和连接Internet的WAN（IP：61.134.1.4/24 DG:61.134.1.5）网卡。2.分公司同总公司一样一台VPN服务器，两块网卡。LAN（IP：192.168.10.1/24）和WAN（IP：61.134.1.5/24 DG：61.134.1.4）3.总公司和分公司各有一台文件服务器。TCP/IP参数分别是：总公司（IP：192.168.1.10/24 DG：1

3、92.168.1.1）；分公司（IP：192.168.10.10/24 DG：192.168.10.1） 拓扑大家也看到了，现在我们要实现总公司和分公司之间的员工能够跨Internet像访问局域网一样互访。下面是实现的步骤：第一部分：在总公司服务器上配置VPN服务器1 打开服务器管理器，单击“角色”，再单击“添加角色”。下一步之后选择“网络策略和访问服务”，如图：2 两次单击“下一步”按钮。选择“路由和远程访问服务”及相关组件，单击下一步。如图：3现在确认一下咱们所选择的组件是否正确，确认后单击安装。如图：4好了现在就开始安装路由和远程访问服务了。如图：5现在可以看到我们已经将这个服务安装好了

4、。如图：6现在我们要启用刚刚安装好的路由和远程访问服务。打开“管理工具”中的路由和远程访问。右击服务器名，选择“配置并启用路由和远程访问”。如图：7 单击下一步按钮，选择“两个专用网络之间的安全连接”，单击下一步按钮。8 在“请求拨号连接”页单击“是”，单击下一步按钮。9选择“来自一个指定的范围”，单击下一步。（它让咱们给对方分IP了）10单击“新建”按钮，输入起始IP地址和结束IP地址，单击“确定”按钮，如图：说明：此处的IP您想怎么设就怎么设只要能够写上去，系统不报错误即可。应该注意的是为了安全性不要给太多。11单击“下一步”按钮，就可以看到下图中的界面，完了之后。再单击“完成”按钮12此

5、时会弹出一个请求拨号接口向导咱们按提示走，选择启动请求拨号连接向导，下一步后它会让我们指定接口名称，（如图）此接口是对方的接口名称，咱们的应该添分公司那边设置拨出凭证时设置的接口名称。此处是：fenggongsi-router.13选择“使用虚拟专用网（VPN）连接，单击”，单击“下一步”按钮。14选择“自动选择”，单击下一步按钮。15输入目标地址，单击“下一步”按钮，如图：目标地址是对方VPN服务器外网卡的地址.咱们这里设置为：61.134.1.5（分公司的外网口的公网地址）16选择“在此接口上路由选择IP数据包”和“添加一个用户账户使远程路由器可以拨入”，单击“下一步”按钮，如图：17单击

6、“添加”按钮，输入目标网络的网路号、子网掩码和跃点数，单击“确定”按钮，如图:目标网络指分公司局域网的网络号。18单击“下一步”按钮，设置拨入凭据，单击“下一步”按钮，咱们现在设置的这个凭证，就是分公司那边设置的一个关卡，只有填写正确的用户名和密码才可发拨入到远程的分公司站点。如图：19设置拨出凭据，包括用户名、密码和域名，单击“下一步”，按钮。这个就刚好相反，现在设置的拨出凭证，就相当于给分公司设置的拨入凭证。20OK！单击“完成”按钮，完成设置过程。完成后如图所示： 现在总公司这边已经设置好了，下面我们到分公司VPN服务器上去设置。第二部分：分公司VPN服务器上的配置。 这次就不需要截太多

7、图了吧！我把关键的图截下来就可以了，从上面大家也能看出来，基本都是下一步。Windows的东西还是比较“图文并貌”的。当然为了大家阅读起来方便基本步骤我还是得写到这里，要注意截了图的部分是和总公司VPN服务器上的设置是不一样的哦。1打开服务器管理器，单击“角色”，再单击“添加角色”。然后单击“下一步”按钮，选择“网络策略和访问服务”，两次单击“下一步”按钮。2选择“路由和远程访问服务”及相关组件，单击下一步。单击“安装”，开始安装路由和远程访问服务。完成安装后单击“关闭”。3打开“管理工具”中的路由和远程访问。右击服务器名，选择“配置并启用路由和远程访问”。4单击下一步按钮，选择“两个专用网络

8、之间的安全连接”，单击下一步按钮。5在“请求拨号连接”页单击“是”，单击下一步按钮。6选择“来自一个指定的范围”，单击下一步。7单击“新建”按钮，输入起始IP地址和结束IP地址，单击“确定”按钮，如图：8单击“下一步”按钮，单击“完成”按钮。此时启动请求拨号连接向导，单击“下一步”按钮。9指定接口名称，单击“下一步”按钮，此接口是对方的接口名称，现在我们应该添总公司那边的.10选择“使用虚拟专用网（VPN）连接，单击”，单击“下一步”按钮。选择“自动选择”，单击下一步按钮。11输入目标地址，单击“下一步”按钮，如图：目标地址是对方VPN服务器外网卡的地址12选择“在此接口上路由选择IP数据包”

9、和“添加一个用户账户使远程路由器可以拨入”，单击“下一步”按钮.13单击“添加”按钮，输入目标网络的网路号、子网掩码和跃点数，单击“确定”按钮，如图:目标网络指上海分公司局域网的网络号。14 单击“下一步”按钮，设置拨入凭据，单击“下一步”按钮，如图：15 设置拨出凭据，包括用户名、密码和域名，单击“下一步”，按钮。OK！完成设置过程。第三部分：实现总公司和分公司员工的互访完成以上设置后，可以在总公公司VPN服务器的“路由与远程访问”窗口，单击“网络接口”，在右侧窗口的“fengongsi-router”请求拨号连接上右击，选择“连接”，连接到分公司的服务器，如图：好！拨上来了，如下图,可以看

10、到已连接。现在咱们用命令ipconfig可以看到我们获得了分公司VPN服务器静态地址池给我们分配的地址：192.168.10.201/255.255.255.255.如图：现在再到分公司服务器上瞧瞧。无需像总公司那样请求拨号，刷新一下就可以看到网络接口“zonggongsi-router”连接状态为已连接状态。如图：执行ipconfig命令可以看到我们从总公司VPN服务器上获得了IP：192.168.1.1203/255.255.255.255。如图：现在大家应该迫不及待地咱想总公司和分公司之间如何互访，太简单了，直接把分公司当成本地用户一样访问一样就可以了，如图分公司某员工的IP是192.168.10.5/24.直接使用URL路径访问远程总公司中的文件服务器（IP：192.168.1.10/24）。 现在我们就在windows server 2008上实现了站点到站点的VPN，以此解决了跨Internet公司总部与分部互访的问题。最后需要注意的是拨入凭证和拨出凭证容易搞混，应小心设置。双方管理员应达成默契。