Windows Server網(wǎng)絡操作系統(tǒng)項目教程 課件 第8章 VPN服務器配置管理

WindowsServer網(wǎng)絡操作系統(tǒng)項目教程（WindowsServer2019）（微課版）第8章VPN服務器配置管理重點AKEY知識VPN的工作過程以及VPN的分類VPN使用的主要技術規(guī)劃部署VPN服務器配置與管理VPN服務器配置VPN服務器的網(wǎng)絡策略VPN基礎知識技能實踐8.1.1VPN技術概述VPN屬于遠程訪問技術，簡單地說就是利用公共網(wǎng)絡架設專用網(wǎng)絡。VPN是指通過綜合利用訪問控制技術和加密技術，并通過一定的密鑰管理機制，在公共網(wǎng)絡中建立起安全的“專用”網(wǎng)絡，保證數(shù)據(jù)在“加密管道”中進行安全傳輸?shù)募夹g。VPN可以利用公共網(wǎng)絡來發(fā)送專用信息，形成邏輯上的專用網(wǎng)絡，其目標是在不安全的公共網(wǎng)絡上建立一個安全的專用通信網(wǎng)絡。1．VPN的定義8.1.1VPN技術概述2．VPN的主要特點安全性VPN用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性01經(jīng)濟性VPN可以使移動用戶和一些小型的分支機構的網(wǎng)絡開銷減少，不僅可以大幅度減少傳輸數(shù)據(jù)的開銷，還可以減少傳輸語音的開銷03VPN會在非面向連接的公共IP網(wǎng)絡中建立一個邏輯的、點對點的連接，稱為建立一個隧道專用性02擴展性和靈活性VPN能夠支持通過Internet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點048.1.1VPN技術概述3．VPN的工作過程01要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備03對需要加密的數(shù)據(jù)，VPN設備將其整個數(shù)據(jù)包進行加密并附上數(shù)據(jù)簽名，加上新的數(shù)據(jù)報頭重新進行封裝05數(shù)據(jù)包到達目的VPN設備后，目的VPN設備將其解封，核對數(shù)字簽名無誤后，對數(shù)據(jù)包進行解密02VPN設備根據(jù)網(wǎng)絡管理員設置的規(guī)則，確定是對數(shù)據(jù)進行加密還是直接傳輸04將封裝后的數(shù)據(jù)包通過隧道在公共網(wǎng)絡上傳輸8.1.2VPN的分類1．按VPN的協(xié)議分類VPN三層隧道協(xié)議通用路由封裝（GenericRoutingEncapsulation，GRE）協(xié)議04IPSec05二層隧道協(xié)議點到點隧道協(xié)議（PointtoPointTunnelingProtocol，PPTP）01二層隧道協(xié)議（Layer2TunnelingProtocol，L2TP）02二層轉發(fā)（Layer2Forwarding，L2F）協(xié)議038.1.2VPN的分類2．按VPN的實現(xiàn)方式分類集成VPN某些硬件設備，如路由器、防火墻等，都含有VPN功能硬件VPN可以通過專用的硬件實現(xiàn)VPN軟件VPN可以通過專用的軟件實現(xiàn)VPNVPN服務器在大型局域網(wǎng)中，可以通過在網(wǎng)絡中心搭建VPN服務器的方法實現(xiàn)VPN8.1.2VPN的分類3．按VPN的服務類型分類01是指從客戶端到網(wǎng)關，使用公共網(wǎng)絡作為骨干網(wǎng)在設備之間傳輸VPN數(shù)據(jù)流量的VPN適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。遠程身份認證撥號用戶服務（RemoteAuthenticationDial-inUserService，RADIUS）可對員工進行驗證和授權，以保證連接的安全性AccessVPN02是指從網(wǎng)關到網(wǎng)關，通過公司的網(wǎng)絡架構連接來自同公司的資源的VPN它是企業(yè)的總部與分支機構之間通過公共網(wǎng)絡構筑的虛擬網(wǎng)，是一種從網(wǎng)絡到網(wǎng)絡、以對等的方式連接起來組成的VPN這種方式可以減少廣域網(wǎng)帶寬的費用，能使用靈活的拓撲結構，且新的站點能更快、更容易地被連接IntranetVPN03通過連接共享的基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)企業(yè)內(nèi)部網(wǎng)擁有與專用網(wǎng)絡相同的策略，包括安全、服務質量、可管理性和可靠性。ExtranetVPN8.1.2VPN的分類（1）AccessVPNAccessVPN的優(yōu)點如下。能減少費用，簡化網(wǎng)絡。以本地撥號接入的功能來取代遠距離接入或800電話接入，這樣能顯著減少遠距離通信的費用。具有極大的可擴展性，能簡便地對加入網(wǎng)絡的新用戶進行調(diào)度。提供基于RADIUS標準、基于策略功能的安全服務。8.1.2VPN的分類（2）IntranetVPNIntranetVPN的優(yōu)點如下。能減少廣域網(wǎng)帶寬的費用。能使用靈活的拓撲結構，包括全網(wǎng)連接。新的站點能更快、更容易地被連接。通過設備供應商廣域網(wǎng)的連接冗余，可以延長網(wǎng)絡的可用時間8.1.2VPN的分類（3）ExtranetVPNExtranetVPN的優(yōu)點如下。能實現(xiàn)對外部網(wǎng)絡進行部署和管理，外部網(wǎng)絡的連接可以使用與部署內(nèi)部網(wǎng)絡和AccessVPN相同的架構及協(xié)議實現(xiàn)。外部網(wǎng)絡的用戶只有一次機會被允許連接到其合作伙伴的網(wǎng)絡。8.1.3VPN使用的主要技術1．隧道技術隧道技術指的是利用一種網(wǎng)絡協(xié)議來傳輸另一種網(wǎng)絡協(xié)議的技術，如圖8.4所示。8.1.3VPN使用的主要技術隧道技術涉及了兩種類型的隧道協(xié)議。二層隧道協(xié)議三層隧道協(xié)議AB主要有PPTP、L2TP和L2F協(xié)議，用于傳輸二層網(wǎng)絡協(xié)議，主要用于構建AccessVPN和ExtranetVPN主要有GRE協(xié)議、IPSec，用于傳輸三層網(wǎng)絡協(xié)議，主要用于構建IntranetVPN和ExtranetVPN8.1.3VPN使用的主要技術為確保私有資料在傳輸過程中不被其他人瀏覽、竊取或篡改，可以使用安全外殼（SecureShell，SSH）、安全多用途互聯(lián)網(wǎng)郵件擴展（SecureMultipurposeInternetMailExtensions，S/MIME）協(xié)議。加解密技術密鑰管理的主要任務就是保證在開放網(wǎng)絡環(huán)境下安全地傳輸密鑰而不被黑客竊取。互聯(lián)網(wǎng)密鑰交換（InternetKeyExchange，IKE）協(xié)議用于通信雙方協(xié)商和建立安全聯(lián)盟并交換密鑰。密鑰管理技術網(wǎng)絡中的用戶與設備都需要確定性的身份認證，可以使用用戶名和密碼方式[密碼認證協(xié)議（PasswordAuthenticationProtocol，PAP）、CHAP]、認證中心（CertificateAuthority，CA）所發(fā)出的符合X.509規(guī)范的標準數(shù)字證書（Certificate）、IKE提供的共享驗證字（Pre-sharedKey）、公鑰加密驗證、數(shù)字簽名驗證等驗證方法來進行身份認證。身份認證技術VPN基礎知識技能實踐8.1.3VPN使用的主要技術隧道技術涉及了兩種類型的隧道協(xié)議。二層隧道協(xié)議三層隧道協(xié)議AB主要有PPTP、L2TP和L2F協(xié)議，用于傳輸二層網(wǎng)絡協(xié)議，主要用于構建AccessVPN和ExtranetVPN主要有GRE協(xié)議、IPSec，用于傳輸三層網(wǎng)絡協(xié)議，主要用于構建IntranetVPN和ExtranetVPN8.2.1規(guī)劃部署VPN服務器部署VPN服務器的網(wǎng)絡拓撲結構圖如圖8.5所示。1．項目規(guī)劃8.2.1規(guī)劃部署VPN服務器在部署VPN服務器之前需完成如下配置。在服務器server-01上部署域環(huán)境，域名為。設置VPN服務器的TCP/IP屬性，如設置其IP地址、子網(wǎng)掩碼、默認網(wǎng)關和DNS服務器的IP地址等相關信息。設置VPN客戶端的TCP/IP屬性，如設置其IP地址、子網(wǎng)掩碼、默認網(wǎng)關和DNS服務器的IP地址等相關信息。VPN服務器必須有兩個網(wǎng)絡連接，一個用于連接內(nèi)部網(wǎng)絡（VMnet1為僅主機模式），另一個用于連接外部網(wǎng)絡（VMnet8為NAT模式）。使用提供遠程訪問VPN服務的WindowsServer2019操作系統(tǒng)。合理規(guī)劃分配給VPN客戶端的IP地址（地址池：01～00）。8.2.1規(guī)劃部署VPN服務器2．配置VPN服務器網(wǎng)卡相關信息為VPN服務器添加第二塊網(wǎng)卡。在“VMwareWorkstation”窗口中，選中VPN服務器，選擇“虛擬機”→“設置”命令，彈出“虛擬機設置”對話框，單擊“添加”按鈕，彈出“添加硬件向導”對話框，如圖8.6所示選擇“網(wǎng)絡適配器”選項，單擊“完成”按鈕，返回“虛擬機設置”對話框。設置第二塊網(wǎng)卡，選擇剛添加的“網(wǎng)絡適配器2”選項，單擊“僅主機模式：與主機共享的專用網(wǎng)絡”單選按鈕，如圖8.7所示。8.2.1規(guī)劃部署VPN服務器查看虛擬機網(wǎng)絡地址信息。在“VMwareWorkstation”窗口中，選中VPN服務器，選擇“編輯”→“虛擬機網(wǎng)絡編輯器”命令，彈出“虛擬網(wǎng)絡編輯器”對話框，如圖8.8所示選擇查看VMnet8網(wǎng)卡的信息，單擊“NAT設置”按鈕，彈出“NAT設置”對話框，如圖8.9所示，在此可查看虛擬機網(wǎng)絡地址信息。8.2.1規(guī)劃部署VPN服務器查看VPN服務器網(wǎng)絡地址信息。開啟VPN服務器，選擇“控制面板”→“網(wǎng)絡和Internet”→“網(wǎng)絡和共享中心”→“更改適配器設置”選項，打開“網(wǎng)絡連接”窗口，如圖8.10所示，選擇查看Ethernet0（外網(wǎng)）和Ethernet1（內(nèi)網(wǎng)）的地址信息。8.2.1規(guī)劃部署VPN服務器分別雙擊“Ethernet0（外網(wǎng)）”與“Ethernet1（內(nèi)網(wǎng)）”選項，分別彈出“Ethernet0屬性”和“Ethernet1屬性”對話框，雙擊“Internet協(xié)議版本4（TCP/IPv4）”選項，彈出“Internet協(xié)議版本4（TCP/IPv4）屬性”對話框，在此可查看其網(wǎng)卡地址信息，如圖8.11和圖8.12所示。8.2.1規(guī)劃部署VPN服務器3．未連接到VPN服務器時的測試（win10-user01）以管理員身份登錄客戶端win10-user01，按“Ctrl+R”組合鍵，彈出“運行”對話框，輸入cmd命令，按“Enter”鍵，打開“命令提示符”窗口，使用ping命令測試與VPN服務器連接的信息，測試結果如圖8.13所示，可以看到客戶端與VPN服務器的IP地址00、網(wǎng)關地址均可相互訪問，而與VPN服務器的IP地址00無法相互訪問（即內(nèi)網(wǎng)無法相互訪問）。8.2.2安裝路由和遠程訪問服務在部署VPN服務器之前，必須安裝路由和遠程訪問服務。在WindowsServer2019中，路由和遠程訪問是包括在網(wǎng)絡策略和訪問服務、路由和遠程訪問角色中的，并且默認沒有安裝。用戶可以根據(jù)自己的需要選擇同時安裝網(wǎng)絡策略和訪問服務中的所有組件或者只安裝路由和遠程訪問服務。8.2.2安裝路由和遠程訪問服務以管理員身份登錄VPN服務器，打開“服務器管理器”窗口，選擇“管理”→“添加角色和功能”命令，打開“添加角色和功能向導”窗口，持續(xù)單擊“下一步”按鈕，直到進入“選擇服務器角色”界面，勾選“網(wǎng)絡策略和訪問服務”和“遠程訪問”復選框，如圖8.14所示。單擊“下一步”按鈕，直到進入“選擇角色服務”界面，勾選“DirectAccess和VPN（RAS）”“Web應用程序代理”和“路由”復選框，如圖8.15所示，單擊“下一步”按鈕，直到完成路由和遠程訪問服務的安裝。8.2.3配置與管理VPN服務器1．配置并啟用VPN服務以管理員身份登錄VPN服務器，打開“服務器管理器”窗口，選擇“工具”→“路由和遠程訪問”命令，打開“路由和遠程訪問”窗口，選擇“SERVER-01（本地）”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“配置并啟用路由和遠程訪問”命令，如圖8.16所示，彈出“路由和遠程訪問服務器安裝向導”對話框，如圖8.17所示。8.2.3配置與管理VPN服務器單擊“下一步”按鈕，進入“配置”界面，如圖8.18所示單擊“遠程訪問（撥號或VPN）”單選按鈕，單擊“下一步”按鈕，進入“遠程訪問”界面，如圖8.19所示8.2.3配置與管理VPN服務器勾選“VPN”復選框，單擊“下一步”按鈕，進入“VPN連接”界面，如圖8.20所示，選擇Ethernet0網(wǎng)卡，用于VPN連接外網(wǎng)單擊“下一步”按鈕，進入“地址范圍分配”界面，單擊“新建”按鈕，彈出“新建IPv4地址范圍”對話框，如圖8.21所示8.2.3配置與管理VPN服務器輸入分配訪問內(nèi)網(wǎng)的IP地址池，單擊“確定”按鈕，返回“地址范圍分配”界面，單擊“下一步”按鈕，進入“管理多個遠程訪問服務器”界面，如圖8.22所示，單擊“否，使用路由和遠程訪問來對連接請求進行身份驗證”單選按鈕單擊“下一步”按鈕，進入“正在完成路由和遠程訪問服務器安裝向導”界面，如圖8.23所示，單擊“完成”按鈕，返回“路由和遠程訪問”窗口8.2.3配置與管理VPN服務器展開服務器節(jié)點，選擇“網(wǎng)絡接口”選項，右側窗格中將顯示VPN服務器中的所有網(wǎng)絡接口，如圖8.24所示選擇“端口”選項，右側窗格中將顯示VPN服務器中的所有端口，其狀態(tài)均為“不活動”，如圖8.25所示。8.2.3配置與管理VPN服務器2．配置域用戶賬戶允許連接VPN服務以管理員賬戶登錄VPN服務器，打開“服務器管理器”窗口，選擇“工具”→“ActiveDirectory用戶和計算機”命令，打開“ActiveDirectory用戶和計算機”窗口，選擇“”→“Users”選項，選擇“Administrator”用戶并單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，如圖8.26所示，彈出“Administrator屬性”對話框。選擇“撥入”選項卡，在“網(wǎng)絡訪問權限”選項組中單擊“允許訪問”單選按鈕，如圖8.27所示，單擊“確定”按鈕，完成設置。8.2.3配置與管理VPN服務器3．在客戶端上建立VPN連接在客戶端計算機win10-user01上，選擇“開始”→“Windows系統(tǒng)”→“控制面板”→“網(wǎng)絡和Internet”→“網(wǎng)絡和共享中心”選項，打開“網(wǎng)絡和共享中心”窗口，如圖8.28所示。在“更改網(wǎng)絡設置”選項組中，選擇“設置新的連接或網(wǎng)絡”選項，打開“設置連接或網(wǎng)絡”窗口，如圖8.29所示。8.2.3配置與管理VPN服務器選擇“連接到工作區(qū)”選項，單擊“下一步”按鈕，進入“連接到工作區(qū)”界面，如圖8.30所示選擇“我將稍后設置Internet連接”選項，進入“你希望如何連接？”界面，如圖8.31所示8.2.3配置與管理VPN服務器選擇“使用我的Internet連接（VPN）”選項，進入“鍵入要連接的Internet地址”界面，輸入Internet地址和目標名稱，如圖8.32所示，單擊“創(chuàng)建”按鈕，完成VPN連接的創(chuàng)建。選擇“開始”→“Windows系統(tǒng)”→“控制面板”→“網(wǎng)絡和Internet”→“網(wǎng)絡和共享中心”→“更改適配器設置”選項，打開“網(wǎng)絡連接”窗口，可以查看剛剛創(chuàng)建的VPN連接，如圖8.33所示。8.2.3配置與管理VPN服務器4．在客戶端上測試VPN連接選擇“開始”菜單并單擊鼠標右鍵，在彈出的快捷菜單中選擇“網(wǎng)絡連接”→“VPN”→“VPN連接”命令，打開VPN連接設置窗口，如圖8.34所示。單擊“連接”按鈕，彈出“Windows安全中心”對話框，如圖8.35所示。8.2.3配置與管理VPN服務器輸入用戶賬戶和密碼，單擊“確定”按鈕，進行VPN連接，連接成功后，VPN連接設置窗口中顯示“已連接”，如圖8.36所示。也可以在“網(wǎng)絡連接”窗口中查看VPN的連接狀態(tài)，如圖8.37所示。8.2.3配置與管理VPN服務器在“命令提示符”窗口中，使用ipconfig/all命令查看此時的IP地址信息，可以看到VPN客戶端獲得的VPN連接的IP地址為02，如圖8.38所示已經(jīng)可以使用ping命令訪問內(nèi)部網(wǎng)絡IP地址00，如圖8.39所示。8.2.3配置與管理VPN服務器以管理員賬戶登錄VPN服務器，打開“服務器管理器”窗口，選擇“工具”→“路由和遠程訪問”命令，打開“路由和遠程訪問”窗口，展開服務器節(jié)點，選擇“遠程訪問客戶端（1）”選項，如圖8.40所示，右側窗格中將顯示連接時間及連接的賬戶，這表明已經(jīng)有一個用戶建立了VPN連接。選擇“端口”選項，在右側窗格中可以看到有一個端口的狀態(tài)是“活動”，表明有客戶端連接到VPN服務器，如圖8.41所示。8.2.3配置與管理VPN服務器5．停止或啟動路由和遠程訪問服務通過“路由和遠程訪問”窗口實現(xiàn)操作。在“路由和遠程訪問”窗口中，選擇“SERVER-01（本地）”選項，在彈出的快捷菜單中選擇“所有任務”→“停止”或“啟動”命令，即可停止或啟動路由和遠程訪問服務，如圖8.42所示。通過“服務”窗口實現(xiàn)操作。打開“服務器管理器”窗口，選擇“工具”→“服務”命令，打開“服務”窗口，找到“RoutingandRemoteAccess”選項，在“服務（本地）”選項組中，單擊“停止”或“重啟動”鏈接即可停止或啟動路由和遠程訪問服務，如圖8.43所示。8.2.4配置VPN服務器的網(wǎng)絡策略1．新建網(wǎng)絡策略以管理員賬戶登錄VPN服務器，打開“服務器管理器”窗口，選擇“工具”→“網(wǎng)絡策略服務器”命令，打開“網(wǎng)絡策略服務器”窗口，選擇“策略”→“網(wǎng)絡策略”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“新建”命令，如圖8.44所示，彈出“新建網(wǎng)絡策略”對話框，如圖8.45所示。8.2.4配置VPN服務器的網(wǎng)絡策略輸入策略名稱VPN-Policy01，單擊“網(wǎng)絡訪問服務器的類型”單選按鈕，在其下拉列表中選擇“遠程訪問服務器（VPN撥號）”選項，單擊“下一步”按鈕，進入“指定條件”界面，單擊“添加”按鈕，彈出“選擇條件”對話框，從中選擇“日期和時間限制”選項，如圖8.46所示彈出“日期和時間限制”對話框，單擊“允許”單選按鈕，選擇允許的日期和時間，如圖8.47所示。8.2.4配置VPN服務器的網(wǎng)絡策略單擊“確定”按鈕，返回“指定條件”界面，如圖8.48所示單擊“下一步”按鈕，進入“指定訪問權限”界面，單擊“已授予訪問權限”單選按鈕，如圖8.49所示。8.2.4配置VPN服務器的網(wǎng)絡策略單擊“下一步”按鈕，進入“配置身份驗證方法”界面，如圖8.50所示，在“安全級別較低的身份驗證方法”選項組中勾選相應的復選框單擊“下一步”按鈕，進入“配