虛擬專用網(wǎng)絡(luò)的架設(shè)與配置

1、服務(wù)器安裝好之后，它也就隨之自動存在了！不過此時當(dāng)你打開 程訪問”項進(jìn)入其主窗口后，在左邊的 ”樹欄中選中 狀態(tài)正處于”已停止(未配置)”的情況下。服務(wù)器準(zhǔn)狀態(tài)”，即可從右邊看到其”Administra tarJ営蠢的令昨WF靈営理*= “,養(yǎng)的旺J 打 f*arntu-ft*i恒AK務(wù)(ns音逮贏Micf*s*ft HZT Ftvvvrk 1 配覺 Ml CTOiott 陲fruawcrk- 1 |*Sf 導(dǎo) TtfeM分布式立祥系皈.記爭字幫勵和寶持E:毀爭眩ai；営理窕的ffi等器 昌計g機(jī)gg宀二 Iblarii4t Ej(pl at ft(Li5由和透程訪聞所有程IT1 *f芳怡占丿

2、 I團(tuán)計a機(jī)音理翌注惴回其機(jī)如 Inttma爭件普對冏5洛負(fù)載平es器t*i運(yùn)程A面 證書圖機(jī)構(gòu) 捋誦眼潯甘5龍 捋蘭相第配S 咖R務(wù)轄授朝 詛件朋脅年 月曰實驗項目名稱：虛擬專用網(wǎng)絡(luò)的架設(shè)與配置一、實驗?zāi)康?1) 了解VPN服務(wù)的功能和作用。(2) 熟悉掌握VPN服務(wù)器的安裝、配置及用戶管理的方法。(3) 掌握為遠(yuǎn)程訪問和路由器到路由器的VPN連接提供虛擬專用網(wǎng)(VPN)服務(wù)。二、實驗原理及實驗流程或裝置示意圖VPN的關(guān)鍵技術(shù)，在 Windows Server 2003_F 架設(shè)VPN服務(wù)器三、使用儀器、材料1. 裝有 Windows Server 2003 的主機(jī)；2. 搭載 Window

3、s Server 2003 的 VMware Workstation 虛擬機(jī)四、實驗步驟及注意事項與結(jié)果1. 配置VPN服務(wù)器(1) 尚未配置：Win2003中的VPN包含在路由和遠(yuǎn)程訪問服務(wù)”中。當(dāng)你的Windos2003 管理工具中的”路由和遠(yuǎn)(2) 開始配置：要想讓 Win2003計算機(jī)能接受客戶機(jī)的 VPN撥入，必須對VPN服務(wù)器 進(jìn)行配置。在左邊窗口中選中 SERVER(服務(wù)器名)，在其上單擊右鍵，選 ”配置并啟用路 由和遠(yuǎn)程訪問”。-f配萱您可以啟用下列服務(wù)的任意組合，或者您可以自走義此服務(wù)器.r遠(yuǎn)程訪問號或vHf）龜）允許運(yùn)程客戸端通過撥號或安全的虛擬專用網(wǎng)絡(luò)（vrm連接來連接到

4、此服務(wù)器r網(wǎng)路地址轉(zhuǎn)換（HAT）（K）允許內(nèi)都客戶端使用一個公共IF地址連接到Internet.a癥擬考用網(wǎng)絡(luò)（mo訪同和N燈更悴遠(yuǎn)程蓉戸端通迂Internet連接到此服務(wù)器，本地客戶端使用一個單一的 公共IP地址連接到lKterK.t.r兩亍彗用網(wǎng)絡(luò)之間的安全連接$）將此網(wǎng)緒連接到一個遠(yuǎn)程網(wǎng)絡(luò).例如一個分支辦公室.廠自定交配著選揮在路由和遠(yuǎn)程訪問中的任何可用功能的組合有關(guān)遠(yuǎn)些選項的更碧信息潔卷閱躋由和遠(yuǎn)程a同幫助B上1歩下一步| 取消 I（5） 在遠(yuǎn)程客戶協(xié)議”的對話框中，一般來說，這里面至少應(yīng)該已經(jīng)有了 TCP/IP協(xié)議， 則只需直接點(diǎn)選”是，所有可用的協(xié)議都在列表上”再下一步”即可。（6

5、） 之后系統(tǒng)會要求你再選擇一個此服務(wù)器所使用的In ternet連接，在其下的列表中選擇所用的連接方式（比如已建立好的撥號連接或通過指定的網(wǎng)卡進(jìn)行連接等）再”下步”。（7）接著在回答”您想如何對遠(yuǎn)程客戶機(jī)分配IP地址”的詢問時，除非你已在服務(wù)器端 安裝好了 DHCP服務(wù)器，否則請在此處選 ”來自一個指定的IP地址范圍”（推薦）。（8） 然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址，”添加進(jìn)列表中，比如此處為192.168.0.80192.168.0.90。（請注意，此IP地址范圍要同服務(wù)器本身的IP地址處在同一個網(wǎng)段中，即前面的192.168.0部分一定要相同?。?）最后再選”不，我

6、現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS即可完成最后的設(shè)置。此時屏幕上將自動出現(xiàn)一個正在開戶”路由和遠(yuǎn)程訪問服務(wù)”的小窗口，當(dāng)它消失之后，打開理工具”中的”服務(wù)”，即可以看到Routing and Remote Access（路由和遠(yuǎn)程訪問）項動”處于”已啟動”狀態(tài)。2. 賦予用戶撥入的權(quán)限(1) 默認(rèn)的，任何用戶均被拒絕撥入到服務(wù)器上。（在(2) 欲給一個用戶賦予撥入到此服務(wù)器的權(quán)限，需打開管理工具中的用戶管理器計算機(jī)管理”項或Active Directory用戶和計算機(jī)中)，選中所需要的用戶，在其上單擊右鍵，屬性”。(3) 在該用戶屬性窗口中選”撥入”項，然后點(diǎn)擊”允許訪問”項，再”確定”即可

7、完成賦 予此用戶撥入權(quán)限的工作。在 Win dows Server 2003 Web Editio n和 Win dows Server 2003 Sta ndard Editi on上,（VPN） 如果 為止。您最多可以創(chuàng)建1000個點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）端口，最多可以創(chuàng)建1000個第二層隧道協(xié)議 （L2TP）端口。然而，Windows Server 2003 WebEdition 一次只能接受一個虛擬專用網(wǎng)絡(luò) 連接。Windows Server 2003 Standard Edition最多可以接受 1000 個并發(fā) VPN 連接。已經(jīng)連接了 1000個VPN客戶端，則其他連接嘗試將被

8、拒絕，直到連接數(shù)目低于10001）使用虛擬專用網(wǎng)（VPN）服務(wù)器向遠(yuǎn)程訪問客戶端分配IP地址租約。如果您的VPN服務(wù)器處理多于20個同時的遠(yuǎn)程訪問連接，則請使用 VPN服務(wù)器向遠(yuǎn)程 訪問客戶端分配IP地址租約。當(dāng)在VPN服務(wù)器上創(chuàng)建IP地址池時，請確保不在網(wǎng)絡(luò)上分配 DHCP服務(wù)器已在使用中的地址。如果未安裝DHCP服務(wù)器并且有一個子網(wǎng)（用靜態(tài) IP地址配置的計算機(jī)組成），請用 IP地址池配置VPN服務(wù)器，它是一個與 VPN服務(wù)器相連子網(wǎng)的地址子集。詳細(xì)信息，請參 閱創(chuàng)建靜念I(lǐng)P地址池。2）使用強(qiáng)身份驗證使用大于8個字符并包含大小寫字母、數(shù)字和所允許標(biāo)點(diǎn)符號混合的強(qiáng)密碼。不要使用 基于名稱或詞

9、的密碼。強(qiáng)密碼可以更好的抵抗字典攻擊，在這種攻擊中未授權(quán)的用戶通過發(fā) 送一組常用名稱和詞來企圖破解此處的密碼。EAP-TLS與遠(yuǎn)程訪盡管EAP-TLS可以與基于注冊表的證書一起使用，但是強(qiáng)烈建議僅將問VPN連接的智能卡-起使用。因為智能卡被分發(fā)到受信的用戶并要求個人標(biāo)識號(PIN)，所以智能卡比基于注冊表的用戶證書更加安全。如果您使用基于密碼的用戶身份驗證，則使用MS-CHAP版本2。您nJ 以從Microsoft獲得運(yùn)行 Windows NT 4.0，Windows 95或Windows 98的VPN客戶端的最新 MS-CHAP更新。 有關(guān)詳細(xì)信息，請參閱 MS-CHAP版本2。3) 使用強(qiáng)

10、加密使用情況允許的最強(qiáng)級別加密。配置遠(yuǎn)程訪問策略的配置文件屬性時，可用的加密級別 是：基本、強(qiáng)和最強(qiáng)。3. 通過局域網(wǎng)來進(jìn)行的 VPN連接建立到VPN服務(wù)器的連接。首先進(jìn)入我的電腦網(wǎng)絡(luò)中，雙擊”建立新連接”，然后在”請鍵入對方計算機(jī)的名稱”輸入連接名，比如為局域網(wǎng)內(nèi)的VPN連接”，接著出現(xiàn)”請輸入VPN 服務(wù)器的名稱或IP地址”，在其下的文字框中輸入 Win2003服務(wù)器的名字或IP地址，比如 此處為192.168.0.1，再根據(jù)提示操作即可建立成功！然后在”撥號網(wǎng)絡(luò)中雙擊剛才建立好的局域網(wǎng)內(nèi)的VPN連接”圖標(biāo)，再輸入相應(yīng)的用戶名(需具有撥入服務(wù)器的權(quán)限)和密碼，再按連接按鈕。如果成功連接到了

11、 VPN服務(wù)器，此時就會像普通撥號上網(wǎng)成功一樣，在任務(wù)欄右下角會出現(xiàn)兩個小電腦的圖標(biāo)，雙擊它即可出現(xiàn)連接狀態(tài)小窗口。VPN建立成功之后，雙方便可以通過IP地址或”網(wǎng)上鄰居”來達(dá)到互訪的目的，當(dāng)然也就可以使用對方所共享出 來的軟硬件資源了！的安VPNVPN是遠(yuǎn)程辦公者對企業(yè)網(wǎng)絡(luò)進(jìn)行安全訪問的有效方法。它通過公用網(wǎng)絡(luò)提供 LAN全擴(kuò)展，因此在遠(yuǎn)程分支機(jī)構(gòu)和外部網(wǎng)方案中也很有用。與傳統(tǒng)的撥號解決方案相比， 由于其易于管理和總體擁有成本更低等特點(diǎn)。五、本實驗的關(guān)鍵環(huán)節(jié)及改進(jìn)措施 做好本實驗需要把握的關(guān)鍵環(huán)節(jié)VPN連接提供虛擬專用網(wǎng)(VPN)對VPN遠(yuǎn)程訪問操縱和對遠(yuǎn)程訪問和路由器到路由器的 服務(wù)。 若重做本實驗，為實現(xiàn)預(yù)期效果，儀器操作和實驗步驟應(yīng)如何改善 應(yīng)事先開啟Workstation 服務(wù)。不然無法使用 Administator 屬性中的撥入選項卡PPTP L2TPISP，ISP、通過直六、實驗問題回答1. VPN與PPTP的區(qū)別。答：VPN是虛擬專用網(wǎng)絡(luò)技術(shù)，它通過建立一個網(wǎng)絡(luò)隧道，利用加密技術(shù)對傳輸數(shù) 據(jù)進(jìn)行加密，方便在公共的網(wǎng)絡(luò)上建立專用的網(wǎng)絡(luò)。它有三種隧道協(xié)議： 和IP Sec。其中PPTP （點(diǎn)