网管实战VPN.docx

1、网管实战VPN彭彭是一个对电脑有点喜爱、对网络有点好奇的半吊子，自诩为小虾，其实是个菜鸟。这不，公司请人建立了局域网，老板为节省请网管的银子，叫住了彭彭，让他兼任公司网管。这样，彭彭开始了他菜鸟网管生活的第一天。彭彭虽然平时对计算机研究得不错，但那都是单机，没有连过网，现在连网的计算机要管什么呢？网管工作只是看看网是否连通？可怎么知道网是连通的呢？网管工作可能没这么简单吧，一个网管到底需要做哪些事情呢？彭彭这心里呀真还没个底。为了能胜任这份网管工作，彭彭利用休息时间跑了书店，找了相关的书籍来啃了一下。这才知道，在今天的企业网络中，企业的一些业务甚至大部分业务都要经过网络，所以网络的运行状态、传

2、输效率、安全系数都直接影响到企业业务的运行状况。如果企业网络效率不高或运行状态不佳，数据流就会受到阻塞，关键数据就不能得到有效共享，从而影响企业的生产效率。原来网管的工作还真不少，彭彭心想，不是他以前想的仅是保证网通就可以了，而是要规划管理出高速、高效、安全的网络环境。而产生这一环境的前提就是要求网管从操作系统到服务器硬件、从网络布线到交换路由都要门门精通。所以说，网管是一门综合的艺术。想到这儿，彭彭既是高兴又是担心，高兴的是自己不仅可以通过网管工作来学习更多的知识，而且这个网管工作在公司还是一个重要的职位。担心的是按自己目前的水平，万一网出了问题该怎么办？好在彭彭一直就是个爱学习、爱动手的人

3、，他有信心能很快地熟悉自己的工作。1.1 Windows 2000下的VPN Windows 2000下的VPN VPN到底是什么 配置VPN 配置账号访问策略 客户端拨入配置 Windows XP中的设置 Windows 98 中的设置老板这几天心血来潮，学起别人做起SOHO一族，这不，老板向彭彭要求，让自己在家上网也可以调用公司其他机器的打印机，还要调用局域网中其他机器的文件。这下可苦了彭彭这个半吊子网管了，因为公司的计算机都在代理服务器的后面，外网是没办法直接访问的。不过是老板要求的，而且老板正在兴头上，没办法，彭彭只好找了本书啃起来。啃了几天书，搜索了好些个网站，彭彭发现，如果要将外网

4、的机器划入到内网来，好像在局域网内一样进行通信，需要做一个VPN的设置。1.1.1 VPN到底是什么看来老板的要求是可以实现的了。彭彭简单画了一个简略的网络示意图（图1.1.1）。公司采用Windows 2000 Server做代理服务器代理上网和发布网站。而老板则在家中上网，主要是电话拨号等，老板在家连上公网之后，再建立到公司的VPN通道，再由公司的VPN服务器分配公司局域网内部IP给老板的C机，到时候，老板就像在办公室上网一样了。图1.1.1 VPN通道示意图虚拟专用网（VPN）可以让企业利用现存的Internet来建立自己的内部网，适用于大型的、在各个分散的地方有分公司的而且需要将各地的

5、网络连起来的企业。VPN为这种连接提供了一种安全廉价的高性能解决方案，将企业分散在各地的网络通过现有的公共网络连接起来。VPN适用于任何类型的网络：专用 Intranet 或 Internet。VPN采用的隧道协议有许多优点，比如用户通过拨号网络连入Internet，接受ISP分配的动态IP地址，接着访问企业内部网，而企业网一般均采用防火墙等安全措施来保护自己的网络，那么我们通ISP拨号上网时就不能穿过防火墙访问企业内部网，只能访问企业的Web服务器。而采用隧道协议后，拨号用户不仅可以得到ISP的动态IP地址，还可以得到企业内部网的IP 地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到

6、达企业内部网。用户付出的仅仅是拨ISP的市话费用，不必直接拨号到企业内部。传统上，如果远程用户需要访问企业内部网，一般是直接拨号到企业内部的远程访问服务器，建立的费用是很低廉，但使用时拨号是拨的长途电话，费用就很高了。如果用专线，则就更加昂贵了。1.1.2 在Windows 2000 Server中支持VPN彭彭把这一层想通后，说干就干，马上就在公司的服务器上调试了起来。1打开控制面板中的管理工具，可以看到路由与远程访问图标，双击该图标（图1.1.2）。图1.1.2 路由与远程访问2打开路由与远程访问窗口之后，可以在窗口的右边看到关于路由与远程访问的基本操作。例如，该服务器名叫Server5，

7、则可以在左列的Server5(本地)上按右键（图1.1.3），选择配置并启用路由选择选项。图1.1.3 配置并启用路由选择选项3接着可以看到路由与远程访问服务器的安装向导，点击下一步按钮继续（图1.1.4）。图1.1.4 远程访问向导4在向导中选择虚拟专用网络（VPN）服务器，并点击下一步按钮继续（图1.1.5）。图1.1.5 选择虚拟专用网络（VPN）服务器5选择远程客户使用的协议，一般情况下，都是使用TCP/IP协议，所以可以选择是，所有可用协议都在列表上，并点击下一步按钮继续（图1.1.6）。图1.1.6 选择远程客户协议6选择Internet连接，一般的VPN服务器都是最少有两块网卡，

8、一块对外网，一块对内部局域网。在这里是指选择对外网的连接（图1.1.7）。图1.1.7 选择外网连接7和上一步的操作一样，需要选择一块对内的网卡连接，选好之后点击下一步继续（图1.1.8）。图1.1.8 选择内部网络连接8IP地址指定，如果该服务器上已经配置了DHCP服务，可以选择启动，使用DHCP服务器分配地址。点击下一步按钮继续（图1.1.9）。图1.1.9 启用DHCP服务器分配地址9管理多个远程访问服务器，如果有多个远程访问服务器，而且账号非常多的话，可以使用RADIUS服务器，不过一般情况下，可以选择不，我现在不想设置此服务器使用RADIUS（1.1.10）。图1.1.10 不使用R

9、ADIUS服务器名词解释：RADIUS更多请选择查询词汇的第一个字母：ABCDEFGHIJKLMNOPQRSTUVWXYZ0-910最后，经过一段时间的系统设置后，远程与路由访问窗口显示虚拟专用网络配置成功，并在左列窗口中显示具体所支持的接口与协议（图1.1.11）。点击放大图1.1.11 配置成功的VPN服务器 Windows 2000下的VPN VPN到底是什么 配置VPN 配置账号访问策略 客户端拨入配置 Windows XP中的设置 Windows 98 中的设置1.1.3 配置账号访问策略看来也不是很难嘛，彭彭暗自想，以后只要在客户端给装一个VPN客户端拨号程序就可以了，访问的时候只

10、要在客户端填上服务器的地址和服务器的账号就可以了呀。为了验证自己配置的是否正确，彭彭把服务器的一个Users组中的账号和地址给了外网的一个通过Modem拨号上网的朋友，请他来通过VPN客户端来登录服务器测试一下。不一会儿，朋友报告说，不能进入，提示该账号没有远程登录权限。幸亏没有直接推荐给老板，要不准挨骂。到底是什么原因呢？提示账号没有远程登录权限，看来与账号设置有关呀，彭彭带着疑问打开了Windows的用户管理。一、新增账号1彭彭的服务器为了管理的方便，已经升级到了域模式，需要管理账号的时候要通过打开管理工具中的Active Directory 用户和计算机（图1.1.12）。点击放大图1.

11、1.12 管理Active Directory 中的对象2在Active Directory 用户和计算机窗口中的左边列表中选择Users组，可以看到右边列表显示了整个域所有的账号和类型说明。现在需要给VPN服务器专门建立一个访问的账号，在右边列表空白处打开右键菜单，选择新建菜单中的用户命令（图1.1.13）。点击放大图 1.1.13 新建用户3在新建对象-用户窗口按照提示填入新账号的一些信息，如用户的姓名、登录名等（图1.1.14）。图1.1.14 新建账号4填入该账号的密码（图1.1.15）。密码框下面的四个选项现在可以不选。填好密码之后点击下一步继续。图1.1.15 设置密码5可以看到，

12、在Active Directory 用户和计算机窗口中，刚才新建的账号已经成功（图1.1.16）。点击放大图1.1.16 新建成功的账号二、修改账号的权限在刚刚新建的账号上按右键，选择属性（图1.1.17），打开属性面板中的拨入标签，在远程访问权限（拨入或VPN）中选择允许访问，并按确定完成修改。图1.1.17 修改用户拨入权限再一试，OK啦。1.2 客户端拨入配置老板家里有两台电脑，分别装了Windows XP和Windows 98，为了方便老板在任意一台机器上都可以访问到公司的网络，彭彭特意找来了在不同的操作系统中拨入VPN的方法。1.2.1 Windows XP中的设置1在桌面的网上邻居

13、图标上按右键，选择属性，打开网络连接窗口（图1.2.1）。并打开文件菜单中的新建连接命令。图1.2.1 网络连接窗口2使用网络连接向导，这是一个综合的网络连接向导，可以设置拨号、VPN、串行连接等服务（图1.2.2）。图1.2.2 连接向导3选择网络类型，在这里选择连接到我的工作场所的网络，点击下一步继续（图4.1.1）。图4.1.1选择网络类型4在这里选择虚拟专用网络连接，点击下一步按钮继续（图1.2.4）。图1.2.4 虚拟专用网络连接5填入这个远程连接的名称，可以根据具体情况来设置，填好之后点击下一步按钮继续（图1.2.5）。图1.2.5 建立远程连接名6VPN网络要求的前提是计算机已经

14、接通网络，所以在这里只要填入对方服务器的地址（可以是域名也可以是IP地址）即可。点击下一步继续（图1.2.6）。图1.2.6 填入VPN服务器地址7已经完成本VPN客户端的安装。单击完成之后，系统会在网络连接栏目中生成一个连接对象（图1.2.7）。图1.2.7 完成连接向导8最后，弹出连接对话框，填入VPN服务器所支持远程拨入的账号和密码，单击连接开始连接（图1.2.8）。图1.2.8 开始连接VPN服务器9如果服务器账号及服务设置都正确的话，就可以看到提示框显示正在网络上注册你的计算机，完成之后，也会在系统托盘中显示虚拟专用连接已经建立（图1.2.9、图1.2.10）。图1.2.9 正在网络上注册计算机图1.2.10 虚拟专用连接建立成功