网管员必读——超级网管经验谈(第2版)第十一章.pptVIP

第十二章大型VPN系统配置示例与故障排除 本章重点 Windows 98/2000 Professional/XP系统远程访问VPN的建立 远程访问VPN服务器的配置 PPTP路由器到路由器VPN方案的部署 L2TP路由器到路由器VPN方案的部 11.1 总体方案说明 【本章示例】小王所在公司是一个国际跨国公司，在广东省有三家子公司（分别位于广州市、珠海市和东莞市）和两个分支办公室（都位于广州市）。因被VPN通信的优势吸引，广州子公司要求广东省的三个子公司和两个分支办公室统一采用VPN通信方式连接。然后位于广州的子公司再集中以专线方式与大陆广州子公司连接。三个子公司在互联网上有独立的域名，现假设为、和；而两个分支办公室在互联网上没有申请域名。而且广州子公司要求，各子公司在建设VPN服务器时要同时考虑到公司外出员工也可以通过VPN方式与公司网络通信；而各子公司间则需要能进行双向VPN通信。同时三个子公司和其合作伙伴间也可以进行VPN通信。 总体网络结构如下图所示。 11.2 广州子公司VPN服务器的安装 在Windows 2000 Server/Server 2003系统中，均可利用系统自带的“路由和远程访问”服务来配置VPN服务器，grfw集团的三个子公司均采用Windows Server 2003系统部署VPN服务器。 在这两个系统所支持的VPN技术中，有两种不同的VPN通信方式，适用于两类不同用户选择使用，它们就是俗称的“远程访问VPN”和“路由器到路由器VPN”。前者也称之为“Access VPN”（远程访问VPN），后者又包括“Intranet VPN（企业内联VPN）”和“Extranet VPN（企业外联VPN）”。前者是采用Client-to-LAN（客户端到局域网）的模式；而后者所采用的是LAN-to-LAN（局域网到局域网）模式。前者适用于单机用户与企业VPN服务器之间的VPN通信连接，如本示例中的移动办公用户和分支办公室用户与相应公司的VPN服务器之间的通信，只需要一方配置VPN服务器即可；而后者适用于两个企业局域网VPN服务器之间的VPN通信，如各子公司，以及主要合作伙伴与相应子公司间的VPN通信，需要通信的双方都部署了VPN服务器。 远程访问VPN是一种在计算机（VPN客户端）与企业服务器（VPN服务器）之间的点对点连接。这种远程访问VPN连接只能是单向的，即由远程客户端向VPN服务器发起连接请求，VPN服务器端不可能向客户机发起连接请求。典型的网络结构如下图所示。 在Windows 2000 Server以前版本系统中是把两种不同类型的VPN服务器放在一起来部署的，但在Windows Server 2003系统中以上远程访问VPN服务器和路由器到路由器VPN则分开了。本节采用自定义的方式来安装VPN服务器  在Windows Server 2003系统中，安装VPN服务器的基本方法是在如下面左图所示的“路由和远程访问” 控制台窗口中进行的。在本地服务器名上单击鼠标右键，选择“配置并启用路由和远程访问服务”快捷菜单选项，打开 “欢迎使用路由和远程访问服务器安装向导”对话框。然后在下面右图所示对话框中选择“自定义配置”单选项。 在上页右图所示对话框中单击“下一步”按钮后，在打开的下面左图所示对话框中选择“VPN访问”、“请求拨号连接”、“NAT和基本防火墙”和“LAN路由”四个复选项。后面的步骤参见书中介绍。安装了VPN服务器后的“路由和远程访问”控制台窗口台下面右图所示。 11.3 广州子公司VPN服务器的通用网络配置 VPN服务器的通用配置主要需从以下几个方面进行充分考虑： 网络配置。 远程访问策略配置。 域配置。 安全配置。11.3.1 网络配置 网络配置的关键要点如下： 因广州子公司的网络规模较大，工作站数达到了近2000个，远大于C类IP地址所允许的最大数254，所以大陆子公司采用了一个专用的B类IP地址，网络ID为。然后划分成了32个子网，各子网的子网掩码为。 广州子公司使用的网段为～55。公司域控制器所使用的IP地址为、、三个；VPN服务器分配的局域网IP地址为0。 VPN服务器计算机通过使用T3（也叫DS-3，传输速率达44.736Mbps）的专用WAN链接可以直接连接到Internet。 广州子公司的VPN服务器直接与互联网连接，WAN适配器的IP地址是，由公司的Internet服务提供商分配。公司VPN服务器WAN适配器的IP地址所对应的Internet域名为“”（在其上先要安装配置好IIS，配置一个相应域名的Web站点）。 公司准备使用IP地址静态池配