VPN实验之二路由器(网关)到路由器(网关)的VPN应用
查看( 625 ) /
评论( 2 )
网关(路由器)到网关(路由器)的VPN应用, 一般常用于两个公司的总部与分部之间的网络安全连接。
偶曾在较早些时侯,做了在ISA SERVER2004企业版环境中总公司到分公司的VPN连接的应用。这次网关到网关的VPN应用,是接上次的” 远程访问服务器的构建”之后的又一篇关于VPN应用实验,且仍是基于windows server 2003 SP1企业版平台的。
首先请了解两个关于VPN应用的概念:请求拨号与远程访问,请求拨号主要应用网关到网关的VPN连接,此时它连接的是整个网络。而远程访问则是将一台独立的客户端连接到远程网络中去。 请求拨号会在创建两个网关的VPN连接时出现,并充许对此进行配置,这个步骤在接下来的实验中会重点说明。
要注意的是:
1、这次的实验仍是两个地方各有一个子网的。也就是说整个网络的路由并不复杂
2、VPN到VPN的接号连接,是以拨叫对方IP的方式,并非以DNS A记录的方式
3、分了验证实实验结果的成功性,采用了访问对方内部局域网中共享资料和PING值返回的方式
4、正确理解和区分具有拨号权限的用户账户与请求拨号接口两个概念
5、如果不同网关(总部和分部)所具有的网络有多个子网划分,请在网关服务器和其它内部的路由器添加指向不同目标的路由
6、这两个网关服务器同时具有两种角色:呼叫路由器(VPN客户)应答路由器(VPN服务器),呼叫路由器在向应答服务器发出验证的同时,应答路由器也向呼叫路由器发出验证
7、如果分公司的网络需要通过总公司的网络连接互联网的话,可以网关服务器“路由与远程访问”“IP路由选择”“NAT/基本访火墙”选项进行设置,充许其NAT代理连接INTERNET
要具备的技术能力:
1、VPN相关知识,DNS的相关知识
2、路由(添加静态路由)、路由协议(RIP/OSPF)
3、熟悉WINDOWS2K3的路由与远程访问的操作
虚机环境
1、物理主机为:双路AMD 250 2.39GHz,4G ECC内存,10000转SCSI硬盘。
2、虚机为VPC 2004 SP1 +Win2k3 sp1
实验环境拓朴如下图:
试生产环境中的机器网络环境配置:vpnClient1
vpnClient1
Ip:10.0.1.2
Mask:255.255.255.0
Gw:10.0.1.1
Vpnserver1
Ip:10.0.1.1
Mask:255.255.255.0
网卡“nei”
Ip:59.64.113.221
Mask:255.255.255.0
网卡“wai”
vpnClint2
Ip:192.168.1.2
Mask:255.255.255.0
Gw:192.168.1.1
vpnrouter2
Ip:192.168.1.1
Mask:255.255.255.0
网卡“nei”
Ip:59.64.113.222
Mask:255.255.255.0
网卡“wai”
OK,下面开始实验过程,以图片为主,基本上要做的配置都在图中有所显示。
1、在虚机vpnserver1 和vpnserver2上分别建立两个用户账号(vpnone、vpntwo),并使此具有远程拨入的权限。
以下操作均在VPNSERVER1上进行
2、打开“管理工具”“路由与远程访问”“配置并启用路由与远程访问”,下一步后,显示如下图的界面,由于要实现的是路由器到路由器的VPN应用,这里一定要选择“两个专用网络之间的安全连接”。
3、在“请求拨号连接”界面,选择“是”,下一步,在出现的“地址范转指定”界面,新建一个地址段为10.0.2.1—10.0.2.10,由于10.0.2.1默认由VPN服务器保留,故客户端所成分配的IP是以10.0.2.2开始的的。(当然,你也可以不指定别的IP地址范围,这样你就要在前一操作步骤中选择DHCP,但这样子容易出问题,因为客户端被分配的IP和内部的IP在同一范围啦)
4、IP添加完成后,出现“路由与远程访问服务器安装向导”完成界面。当你点击“完成”后,会弹出一个“欢迎使用请求拨号接口向导”界面。注意,这里,你可以取消,以便在以后配置(在完成后,在“路由与远程访问”控制台里,右键“网络接口,新增拨号接口”来完成)。这里,偶选择“下一步”
5、在“接口名称”界面。要求你输入一个名称,这里要说下了,接口名称,一定要和VPN服务器上的具有拨入权限的用户名一致的,否则,身份验证通不过,这个实验就完不成。偶是走了一些弯路,但愿各位在这里加些细心和思考。这里,我输入的是vpnone也就是VPNSERVER1上建立的具有远程拨入权限的用户名。
6、在“连接类型”中,选择“使用虚拟专用网络连接(VPN)”。在“VPN类型”界面选择“点对点隧道协议”。在“目标地址”对话框,输入要拨入的(应答服务器)VPN服务器的IP:59.64.113.222.用“拨入用户账户”输入用户名为vpntwo。
7、在“协议及安全措施”界面,只选择“在此接口上路由选择IP数据包”。而“添加一个用户账户使远程路由器可以拨入”不要选,此用户,此前已经建立。在“远程网络的静态路由”界面,输入:目标:192.168.1.0 网络掩码:255.255.255.0 。确定。此处要多理解啊,一定要搞清路由的来源和目标。
在VPNSERVER2上,执行同样的操作,部分要注意的,看下图。并注意,在“拨号接口名称“界面输入vpntwo。拨号用户名为vpnone
8、OK,两台VPN服务器配置完路由与远程访问服务器后,控制台显示如下图。此时,“网络接口”选项,连接状态为“已断开”。
9、在VPNSERVER2,“路由和远程访问”控制面板中,“网络接口”右侧面板中,右键单击VPNTWO,在弹出的下接菜单中,选“连接”。要注意,只在两台服务中的一台执行此操作便可,几秒钟后两者都可以连接上了。(双向连接)
9、拨号连接后,在VPNSERVER1和VPNSERVER2上分别运行IPCONFIG命令,得到的结果如下两图。
10、为了验证实验结果是否成功,下面分别在VPNCLIENT1和VPNCLIENT2上分别PING对方,可得到正确的PING成功返回值。并分别访问对方的默认共享,也成功访问。
11、为了便于各位的学习和交流,我在VPNSEREVER1 和VPNSERVER2上的路由表截图也贴了上来。
后记,VPN连接应用系列之二,终于完成了,做的过程并不麻烦,可要是把它写出来,而且还要把要点,以及要注意的事项写出来,却是有点麻烦的,而且还担心自己的文字表达不清,误了大家的进步。不过,若各位有什么要建议的或是交流的,可以给偶发邮件:ricky.fang@live.com.偶还要说的是,强烈建议各位去看看偶发表的关于在ISA server 2004 上的VPN连接一文(ISA 微软实验手册做向导)。并关注偶不久后要发表的基于ISA SERVER2006的VPN连接的应用文章。
偶曾在较早些时侯,做了在ISA SERVER2004企业版环境中总公司到分公司的VPN连接的应用。这次网关到网关的VPN应用,是接上次的” 远程访问服务器的构建”之后的又一篇关于VPN应用实验,且仍是基于windows server 2003 SP1企业版平台的。
首先请了解两个关于VPN应用的概念:请求拨号与远程访问,请求拨号主要应用网关到网关的VPN连接,此时它连接的是整个网络。而远程访问则是将一台独立的客户端连接到远程网络中去。 请求拨号会在创建两个网关的VPN连接时出现,并充许对此进行配置,这个步骤在接下来的实验中会重点说明。
要注意的是:
1、这次的实验仍是两个地方各有一个子网的。也就是说整个网络的路由并不复杂
2、VPN到VPN的接号连接,是以拨叫对方IP的方式,并非以DNS A记录的方式
3、分了验证实实验结果的成功性,采用了访问对方内部局域网中共享资料和PING值返回的方式
4、正确理解和区分具有拨号权限的用户账户与请求拨号接口两个概念
5、如果不同网关(总部和分部)所具有的网络有多个子网划分,请在网关服务器和其它内部的路由器添加指向不同目标的路由
6、这两个网关服务器同时具有两种角色:呼叫路由器(VPN客户)应答路由器(VPN服务器),呼叫路由器在向应答服务器发出验证的同时,应答路由器也向呼叫路由器发出验证
7、如果分公司的网络需要通过总公司的网络连接互联网的话,可以网关服务器“路由与远程访问”“IP路由选择”“NAT/基本访火墙”选项进行设置,充许其NAT代理连接INTERNET
要具备的技术能力:
1、VPN相关知识,DNS的相关知识
2、路由(添加静态路由)、路由协议(RIP/OSPF)
3、熟悉WINDOWS2K3的路由与远程访问的操作
虚机环境
1、物理主机为:双路AMD 250 2.39GHz,4G ECC内存,10000转SCSI硬盘。
2、虚机为VPC 2004 SP1 +Win2k3 sp1
实验环境拓朴如下图:
试生产环境中的机器网络环境配置:vpnClient1
vpnClient1
Ip:10.0.1.2
Mask:255.255.255.0
Gw:10.0.1.1
Vpnserver1
Ip:10.0.1.1
Mask:255.255.255.0
网卡“nei”
Ip:59.64.113.221
Mask:255.255.255.0
网卡“wai”
vpnClint2
Ip:192.168.1.2
Mask:255.255.255.0
Gw:192.168.1.1
vpnrouter2
Ip:192.168.1.1
Mask:255.255.255.0
网卡“nei”
Ip:59.64.113.222
Mask:255.255.255.0
网卡“wai”
OK,下面开始实验过程,以图片为主,基本上要做的配置都在图中有所显示。
1、在虚机vpnserver1 和vpnserver2上分别建立两个用户账号(vpnone、vpntwo),并使此具有远程拨入的权限。
以下操作均在VPNSERVER1上进行
2、打开“管理工具”“路由与远程访问”“配置并启用路由与远程访问”,下一步后,显示如下图的界面,由于要实现的是路由器到路由器的VPN应用,这里一定要选择“两个专用网络之间的安全连接”。
3、在“请求拨号连接”界面,选择“是”,下一步,在出现的“地址范转指定”界面,新建一个地址段为10.0.2.1—10.0.2.10,由于10.0.2.1默认由VPN服务器保留,故客户端所成分配的IP是以10.0.2.2开始的的。(当然,你也可以不指定别的IP地址范围,这样你就要在前一操作步骤中选择DHCP,但这样子容易出问题,因为客户端被分配的IP和内部的IP在同一范围啦)
4、IP添加完成后,出现“路由与远程访问服务器安装向导”完成界面。当你点击“完成”后,会弹出一个“欢迎使用请求拨号接口向导”界面。注意,这里,你可以取消,以便在以后配置(在完成后,在“路由与远程访问”控制台里,右键“网络接口,新增拨号接口”来完成)。这里,偶选择“下一步”
5、在“接口名称”界面。要求你输入一个名称,这里要说下了,接口名称,一定要和VPN服务器上的具有拨入权限的用户名一致的,否则,身份验证通不过,这个实验就完不成。偶是走了一些弯路,但愿各位在这里加些细心和思考。这里,我输入的是vpnone也就是VPNSERVER1上建立的具有远程拨入权限的用户名。
6、在“连接类型”中,选择“使用虚拟专用网络连接(VPN)”。在“VPN类型”界面选择“点对点隧道协议”。在“目标地址”对话框,输入要拨入的(应答服务器)VPN服务器的IP:59.64.113.222.用“拨入用户账户”输入用户名为vpntwo。
7、在“协议及安全措施”界面,只选择“在此接口上路由选择IP数据包”。而“添加一个用户账户使远程路由器可以拨入”不要选,此用户,此前已经建立。在“远程网络的静态路由”界面,输入:目标:192.168.1.0 网络掩码:255.255.255.0 。确定。此处要多理解啊,一定要搞清路由的来源和目标。
在VPNSERVER2上,执行同样的操作,部分要注意的,看下图。并注意,在“拨号接口名称“界面输入vpntwo。拨号用户名为vpnone
8、OK,两台VPN服务器配置完路由与远程访问服务器后,控制台显示如下图。此时,“网络接口”选项,连接状态为“已断开”。
9、在VPNSERVER2,“路由和远程访问”控制面板中,“网络接口”右侧面板中,右键单击VPNTWO,在弹出的下接菜单中,选“连接”。要注意,只在两台服务中的一台执行此操作便可,几秒钟后两者都可以连接上了。(双向连接)
9、拨号连接后,在VPNSERVER1和VPNSERVER2上分别运行IPCONFIG命令,得到的结果如下两图。
10、为了验证实验结果是否成功,下面分别在VPNCLIENT1和VPNCLIENT2上分别PING对方,可得到正确的PING成功返回值。并分别访问对方的默认共享,也成功访问。
11、为了便于各位的学习和交流,我在VPNSEREVER1 和VPNSERVER2上的路由表截图也贴了上来。
后记,VPN连接应用系列之二,终于完成了,做的过程并不麻烦,可要是把它写出来,而且还要把要点,以及要注意的事项写出来,却是有点麻烦的,而且还担心自己的文字表达不清,误了大家的进步。不过,若各位有什么要建议的或是交流的,可以给偶发邮件:ricky.fang@live.com.偶还要说的是,强烈建议各位去看看偶发表的关于在ISA server 2004 上的VPN连接一文(ISA 微软实验手册做向导)。并关注偶不久后要发表的基于ISA SERVER2006的VPN连接的应用文章。
TAG:
