虚拟专用网络的架设与配置

实验项目名称：虚拟专用网络的架设与配置年月日

一、实验目的

(1)了解VPN 服务的功能和作用。

(2)熟悉掌握VPN 服务器的安装、配置及用户管理的方法。

(3)掌握为远程访问和路由器到路由器的VPN 连接提供虚拟专用网(VPN)服务。

二、实验原理及实验流程或装置示意图

VPN的关键技术，在Windows Server 2003_F架设VPN服务器

三、使用仪器、材料

1.装有Windows Server 2003的主机；

2.搭载Windows Server 2003的VMware Workstation虚拟机

四、实验步骤及注意事项与结果

1．配置VPN 服务器

（1）尚未配置：Win2003 中的VPN 包含在"路由和远程访问服务"中。当你的Windos2003服务器安装好之后，它也就随之自动存在了！不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后，在左边的"树"栏中选中"服务器准状态"，即可从右边看到其"状态"正处于"已停止（未配置）"的情况下。

（2）开始配置：要想让Win2003 计算机能接受客户机的VPN 拨入，必须对VPN 服务器进行配置。在左边窗口中选中"SERVER"（服务器名），在其上单击右键，选"配置并启用路由和远程访问"。

（3）如果以前已经配置过这台服务器，现在需要重新开始，则在 "SERVER"（服务器名）上单击右键，选"禁用路由和远程访问"，即可停止此服务，以便重新配置！

（4）当进入配置向导之后，在"公共设置"中，点选中"虚拟专用网络（VPN）服务器"，以便让用户能通过公共网络（比如Internet）来访问此服务器。

（5）在"远程客户协议"的对话框中，一般来说，这里面至少应该已经有了TCP/IP 协议，则只需直接点选"是，所有可用的协议都在列表上"再"下一步"即可。

（6）之后系统会要求你再选择一个此服务器所使用的Internet 连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或通过指定的网卡进行连接等）再"下一步"。

（7）接着在回答"您想如何对远程客户机分配IP 地址"的询问时，除非你已在服务器端安装好了DHCP 服务器，否则请在此处选"来自一个指定的IP 地址范围"（推荐）。

（8）然后再根据提示输入你要分配给客户端使用的起始IP 地址，"添加"进列表中，比如此处为"192.168.0.80~192.168.0.90"。（请注意，此IP 地址范围要同服务器本身的IP

地址处在同一个网段中，即前面的"192.168.0"部分一定要相同！）

（9）最后再选"不，我现在不想设置此服务器使用RADIUS"即可完成最后的设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口，当它消失之后，打开"管

理工具"中的"服务"，即可以看到"Routing and Remote Access"（路由和远程访问）项"自

动"处于"已启动"状态。

2．赋予用户拨入的权限

（1）默认的，任何用户均被拒绝拨入到服务器上。

（2）欲给一个用户赋予拨入到此服务器的权限，需打开管理工具中的用户管理器（在"计算机管理"项或"Active Directory 用户和计算机"中），选中所需要的用户，在其上单击右键，属性"。

（3）在该用户属性窗口中选"拨入"项，然后点击"允许访问"项，再"确定"即可完成赋予此用户拨入权限的工作。

在Windows Server 2003 Web Edition 和Windows Server 2003 Standard Edition 上，您最多可以创建1000 个点对点隧道协议(PPTP)端口，最多可以创建l000 个第二层隧道协议(L2TP)端口。然而，Windows Server 2003 Web Edition 一次只能接受一个虚拟专用网络(VPN) 连接。Windows Server 2003 Standard Edition 最多可以接受1000 个并发VPN 连接。如果已经连接了1000 个VPN 客户端，则其他连接尝试将被拒绝，直到连接数目低于l000 为止。

1)使用虚拟专用网(VPN)服务器向远程访问客户端分配IP 地址租约。

如果您的VPN 服务器处理多于20 个同时的远程访问连接，则请使用VPN 服务器向远程访问客户端分配IP 地址租约。当在VPN 服务器上创建IP 地址池时，请确保不在网络上分配DHCP 服务器已在使用中的地址。

如果未安装DHCP 服务器并且有一个子网（用静态IP 地址配置的计算机组成），请用IP 地址池配置VPN 服务器，它是一个与VPN 服务器相连子网的地址子集。详细信息，请参阅创建静念IP 地址池。

2)使用强身份验证

使用大于8 个字符并包含大小写字母、数字和所允许标点符号混合的强密码。不要使用

基于名称或词的密码。强密码可以更好的抵抗字典攻击，在这种攻击中未授权的用户通过发送一组常用名称和词来企图破解此处的密码。

尽管EAP-TLS 可以与基于注册表的证书一起使用，但是强烈建议仅将EAP-TLS 与远程访

问VPN 连接的智能卡-起使用。因为智能卡被分发到受信的用户并要求个人标识号(PIN)，所以智能卡比基于注册表的用户证书更加安全。

如果您使用基于密码的用户身份验证，则使用MS-CHAP 版本2。您nJ‘以从Microsoft

获得运行Windows NT 4.0，Windows 95 或Windows 98 的VPN 客户端的最新MS-CHAP 更新。有关详细信息，请参阅MS-CHAP 版本2。

3)使用强加密

使用情况允许的最强级别加密。配置远程访问策略的配置文件属性时，可用的加密级别是：基本、强和最强。

3.通过局域网来进行的VPN 连接

建立到VPN 服务器的连接。首先进入我的电脑网络中，双击"建立新连接"，然后在"请键入对方计算机的名称"输入连接名，比如为"局域网内的VPN 连接"，接着出现"请输入VPN 服务器的名称或IP 地址"，在其下的文字框中输入Win2003 服务器的名字或IP 地址，比如此处为"192.168.0.1"，再根据提示操作即可建立成功！然后在"拨号网络"中双击刚才建立好的"局域网内的VPN 连接"图标，再输入相应的用户名（需具有拨入服务器的权限）和密码，再按"连接"按钮。如果成功连接到了VPN 服务器，此时就会像普通拨号上网成功一样，在任务栏右下角会出现两个小电脑的图标，双击它即可出现连接状态小窗口。VPN 建立成功之后，双方便可以通过IP 地址或"网上邻居"来达到互访的目的，当然也就可以使用对方所共享出来的软硬件资源了！

VPN 是远程办公者对企业网络进行安全访问的有效方法。它通过公用网络提供 LAN 的安全扩展，因此在远程分支机构和外部网方案中也很有用。与传统的拨号解决方案相比，VPN 由于其易于管理和总体拥有成本更低等特点。

五、本实验的关键环节及改进措施

①做好本实验需要把握的关键环节

对VPN 远程访问操纵和对远程访问和路由器到路由器的VPN 连接提供虚拟专用网(VPN)服务。

②若重做本实验，为实现预期效果，仪器操作和实验步骤应如何改善

应事先开启Workstation服务。不然无法使用Administator属性中的拨入选项卡