網关(路由器)到网关(路由器)的VPN应用.docVIP

网关(路由器)到网关（路由器）的VPN应用， 一般常用于两个公司的总部与分部之间的网络安全连接。? ?偶曾在较早些时侯，做了在ISA SERVER2004企业版环境中总公司到分公司的VPN连接的应用。这次网关到网关的VPN应用，是接上次的” 远程访问服务器的构建”之后的又一篇关于VPN应用实验，且仍是基于windows server 2003 SP1企业版平台的。? ?首先请了解两个关于VPN应用的概念：请求拨号与远程访问，请求拨号主要应用网关到网关的VPN连接，此时它连接的是整个网络。而远程访问则是将一台独立的客户端连接到远程网络中去。 请求拨号会在创建两个网关的VPN连接时出现，并充许对此进行配置，这个步骤在接下来的实验中会重点说明。要注意的是：1、这次的实验仍是两个地方各有一个子网的。也就是说整个网络的路由并不复杂2、VPN到VPN的接号连接，是以拨叫对方IP的方式，并非以DNS A记录的方式3、分了验证实实验结果的成功性，采用了访问对方内部局域网中共享资料和PING值返回的方式4、正确理解和区分具有拨号权限的用户账户与请求拨号接口两个概念5、如果不同网关（总部和分部）所具有的网络有多个子网划分，请在网关服务器和其它内部的路由器添加指向不同目标的路由6、这两个网关服务器同时具有两种角色：呼叫路由器（VPN客户）应答路由器（VPN服务器），呼叫路由器在向应答服务器发出验证的同时，应答路由器也向呼叫路由器发出验证7、如果分公司的网络需要通过总公司的网络连接互联网的话，可以网关服务器“路由与远程访问”“IP路由选择”“NAT/基本访火墙”选项进行设置，充许其NAT代理连接INTERNET要具备的技术能力：1、VPN相关知识，DNS的相关知识2、路由（添加静态路由）、路由协议（RIP/OSPF）3、熟悉WINDOWS2K3的路由与远程访问的操作虚机环境1、物理主机为：双路AMD 250 2.39GHz,4G ECC内存，10000转SCSI硬盘。2、虚机为VPC 2004 SP1 +Win2k3 sp1实验环境拓朴如下图：试生产环境中的机器网络环境配置：vpnClient1??vpnClient1Ip:Mask:Gw:Vpnserver1Ip:Mask:网卡“nei”Ip:21Mask:网卡“wai”vpnClint2Ip:Mask:Gw:vpnrouter2Ip:Mask:网卡“nei”Ip:22Mask:网卡“wai”OK,下面开始实验过程，以图片为主，基本上要做的配置都在图中有所显示。1、在虚机vpnserver1 和vpnserver2上分别建立两个用户账号（vpnone、vpntwo），并使此具有远程拨入的权限。以下操作均在VPNSERVER1上进行2、打开“管理工具”“路由与远程访问”“配置并启用路由与远程访问”，下一步后，显示如下图的界面，由于要实现的是路由器到路由器的VPN应用，这里一定要选择“两个专用网络之间的安全连接”。3、在“请求拨号连接”界面，选择“是”，下一步，在出现的“地址范转指定”界面，新建一个地址段为—0，由于默认由VPN服务器保留，故客户端所成分配的IP是以开始的的。（当然，你也可以不指定别的IP地址范围，这样你就要在前一操作步骤中选择DHCP，但这样子容易出问题，因为客户端被分配的IP和内部的IP在同一范围啦）4、IP添加完成后，出现“路由与远程访问服务器安装向导”完成界面。当你点击“完成”后，会弹出一个“欢迎使用请求拨号接口向导”界面。注意，这里，你可以取消，以便在以后配置（在完成后，在“路由与远程访问”控制台里，右键“网络接口，新增拨号接口”来完成）。这里，偶选择“下一步”5、在“接口名称”界面。要求你输入一个名称，这里要说下了，接口名称，一定要和VPN服务器上的具有拨入权限的用户名一致的，否则，身份验证通不过，这个实验就完不成。偶是走了一些弯路，但愿各位在这里加些细心和思考。这里，我输入的是vpnone也就是VPNSERVER1上建立的具有远程拨入权限的用户名。6、在“连接类型”中，选择“使用虚拟专用网络连接（VPN）”。在“VPN类型”界面选择“点对点隧道协议”。在“目标地址”对话框，输入要拨入的（应答服务器）VPN服务器的IP：22.用“拨入用户账户”输入用户名为vpntwo。7、在“协议及安全措施”界面，只选择“在此接口上路由选择IP数据包”。而“添加一个用户账户使远程路由器可以拨入”不要选，此用户，此前已经建立。在“远程网络的静态路由”界面，输入：目标： 网络掩码： 。确定。此处要多理解啊，一定要搞清路由的来源和目标。在VP