第3章虚拟专用网络技术重点.pptVIP

3.4.4　内部网络中的VPN 在一个企业内部网络中，可能有一些敏感部门的计算机或局域网络需要实现特殊的保护。 例如，企业的财务部门与审计部门之间的通信不能让其他部门介入，并且财务部门与审计部门的网络连接也必定是受限的。这种应用其实没有涉及新的技术，可以把这两个部门的网络连接看作是两个协作企业网络之间的连接，即一个特殊的Extranet VPN，只是原来所说的两个企业的内部网络现在改为部门的局域网络，连接这两个部门局域网络的是企业的骨干网络。因为同样需要在通信双方之间建立VPN隧道实现保密的通信，所以这时就是在内部网络中实现隧道技术、用户认证、加密通信、密钥管理等。 * 第3章　虚拟专用网络技术 * 3.5 虚拟专用网的实现 VPN可以通过支持VPN功能的路由器或交换机实现，Windows Server 2000或Windows Server 2003或更高版本都提供了VPN功能。本节讨论如何通过安装了Windows Server 2003的主机实现VPN功能。 * 第3章　虚拟专用网络技术 * 3.5.1 准备工作 要实现VPN连接，内部网络中必须有一台基于Windows Server 2003以上或Windows Server 2000的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，这就要求VPN服务器必须拥有一个公共的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。在Windows Server 2003中支持两种类型的VPN技术。 点对点隧道协议（PPTP） 带有IP协议安全（IPSec）的第二隧道协议（L2TP） * 第3章　虚拟专用网络技术 * 3.5.2 配置VPN服务器 下面以一个远程客户端与一个公司总部VPN服务器之间的连接为例，介绍VPN的安装设置步骤 首先，需要公司总部的计算机（以下称为“VPN服务器”）和分公司的计算机（以下称为“VPN客户机”）均应能访问Internet，并且VPN服务器拥有一个Internet上合法的IP地址（即公网IP）。然后，当VPN客户机通过虚拟拨号和VPN服务器连接成功，VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内，任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源，操作方法和普通局域网完全一样。 * 第3章　虚拟专用网络技术 * （1）依次单击【开始】-【程序】-【管理工具】-【路由和远程访问】，打开“路由和远程访问”控制台，如图3-6所示 * 第3章　虚拟专用网络技术 * 图3-6 路由和远程访问控制台 （2）在左边“路由和远程访问”栏中右击“X3650(本地)”，选择“配置并启用路由和远程访问”，打开“路由和远程访问安装向导”窗口，在“欢迎使用路由和远程访问安装向导”中没有可以设置的选项，直接单击“下一步”按钮，出现“配置”对话框，如图3-7所示。 （3）在图3-7中选择“虚拟专用网络（VPN）访问和NAT”，然后单击“下一步按钮。 * 第3章　虚拟专用网络技术 * * 第3章　虚拟专用网络技术 * 图3-7选择虚拟专用网络（VPN）访问和NAT （4）在“路由和远程访问服务器安装向导”的“VPN连接”中选择与Internet相连的接口，本例为“本地连接”。然后单击“下一步”按钮。 5）在出现的对话框“IP地址指定”对话框中需要选择为远程VPN客户端指定IP地址的方法。如果本机配置了DHCP服务器，可以选为“自动”，由本机给客户机分配IP地址；若本机没有配置DHCP服务器，则选为“来自一个指定的地址范围”，本例选择“来自一个指定的地址范围”，如图3-8，然后单击“下一步”按钮。 * 第3章　虚拟专用网络技术 * * 第3章　虚拟专用网络技术 * 图3-8 选择如何给客户端配置IP地址 （6）在“地址范围指定”对话框中可以为VPN客户机指定所分配的IP地址范围。例如，打算分配的IP地址范围为“0～9”，则单击“新建”按钮打开“新建地址范围”窗口，输入IP地址范围后单击“确定”按钮，如图3-9所示，然后单击“下一步”按钮。 为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信，它们必须同VPN服务器的IP地址处在同一个网段中。 * 第3章　虚拟专用网络技术 * * 第3章　虚拟专用网络技术 * 图3-9 输入IP地址范围 图3-10 管理多个远程访问服务器 （7）在“管理多个远程访问服务器”对话框中设置是否集中管理多个VPN服务器。选择“否，使用路由和远程访问来对连接请求进行身份验证”，如图3-10所示，然后单击“下一步”按钮。 （8）出现“正在完成路由和远程访问服务器安装向层”后，