Windows虚拟专用网络连接方案.docVIP

Windows 2000 虚拟专用网络连接方案 摘要 VPN 服务器的通用配置 雇员的 VPN 远程访问 按需的分支机构 持续的分支机构 业务伙伴的 Extranet 使用 RADIUS 身份验证的拨号和 VPN 小结 摘要 使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。在这个方案中，一个虚构的公司 Electronic, Inc. 已部署 Windows 2000 点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP) VPN 技术来创建安全远程访问、分支机构和业务伙伴连接的解决方案。本白皮书介绍了 Electronic, Inc. 的 VPN 和拨号远程访问基础结构的设计和配置。 本白皮书介绍了如何使用 Windows 2000 操作系统为一个虚构的公司配置通用虚拟专用网络方案。尽管您的网络配置可能与这里描述的不同，但仍然可以在您的网络环境中应用虚拟专用网络的基本概念。 使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。 (VPN) 是专用网络的扩展，它包括的链接跨 Internet 这样的共享或公用网络。使用 VPN，您可以用模拟点对点专用链接的方式通过共享或公用网络在两台计算机之间传送数据。虚拟专用网络连接工作是创建和配置虚拟专用网络。 (VPN) 连接。 Electronic, Inc. 是一个虚构的电子设计和制造公司，它的总部在纽约，并在美国各地有分支机构和分发业务伙伴。Electronic, Inc. Windows 2000 操作系统实现了一个 VPN 解决方案来连接远程访问用户、分支机构和业务伙伴。 VPN 服务器提供远程访问和路由器到路由器的 PPTP 和 L2TP VPN 连接。此外，VPN 服务器还提供到 Intranet 和 Internet 位置数据包的路由。 VPN 服务器的通用配置，介绍以下虚拟专用网络方案： VPN 远程访问。 持续的分支机构访问。 业务伙伴的 Extranet。 RADIUS 身份验证的拨号和 VPN。 VPN 服务器的通用配置 Electronic, Inc. 部署 VPN 解决方案，网络管理员需执行分析，并作出关于下列方面的设计决定： 远程访问策略配置。 域配置。 安全配置。 网络配置 网络配置的关键要素是： Electronic, Inc. 企业 Intranet 使用子网掩码为 的专用网络 和子网掩码为 的专用网络 。企业总部网络部分使用子网 ，分支机构使用子网 。 VPN 服务器计算机使用 T3（也称为 DS-3）专用 WAN 链接直接接入 Internet。 Electronic, Inc. 的 Internet 服务提供商的分配，WAN 适配器在 Internet 上的 IP 地址是 。在 Internet 上，WAN 适配器的 IP 地址由域名 VPN 服务器计算机直接连入一个 Intranet 网段，它包括连接 Electronic, Inc. 企业总部 Intranet 其它部分的路由器。Intranet 网段的 IP 网络 ID 是 ，子网掩码为 。 IP 地址池对 VPN 服务器计算机进行配置，以分配给远程访问客户和呼叫路由器，呼叫路由器是 Intranet 网段（子网上的地址池）的一部分。 VPN 服务器上的硬件。 Intranet 网段的网络适配器和用于连接 Internet 的 WAN LAN 和 WAN 适配器上的 TCP/IP。 LAN 适配器，配置 IP 地址 ，子网掩码为 。 对 WAN 适配器，配置 IP 地址 ，子网掩码为 55。任何一个适配器都没有配置默认网关。另外还配置了 DNS 和 WINS A 中“启用路由和远程访问服务”的过程。 向导结束之后，配置了一个静态 IP 地址池，以 IP 地址 开始，以 IP 地址 54 结束。这样就为多达 253 个 VPN 客户创建了静态地址池。 A 中“创建静态 IP 地址池”的过程。 Windows 身份验证，这种方法在这个只包括一个 VPN 服务器的配置中是恰当的。有关 Electronic, Inc. 使用 RADIUS 身份验证的信息，请参见本文中的“使用 RADIUS 的拨号和 VPN”部分。有关使用 Windows 和 RADIUS 身份验证的详细信息，请参见 Windows 2000 Server 帮助中标题为“身份验证和授权”的主题。 EAP 身份验证方法。 VPN 客户和基于证书的呼叫路由器，网络管理员应在 VPN 服务器上启用可扩展身份验证协议 (EAP)。 A 中的“启用 EAP”过程。 VPN 服务器上配置静态路由