Windows Server 2012网络管理项目教程项目9：配置虚拟专用网络

在VPN通信过程中，位于两地的客户端与服务器，服务器与服务器之 间使用远程访问协议相互通信，Windows server 2012所支持的远程访 问协议是点对点协议（PPP，point-to-point）。为了建立点到点链路， 数据要被PPP协议封装，并且带有一个提供路由信息的数据头，这个 数据头可以穿公共网络到达目的地。PPP是目前应用最广泛的远程访 问协议。
9.3 任务2：创建具有远程访问权限的用户

VPN客户端连接到远程访问VPN服务器时，必须验证用户的身份（用户名和 密码）。身份验证成功后，用户就可以通过VPN服务器来访问有权访问的资 源。Windows Server 2012支持以下的验证协议。

1、PAP，使用明文密码，是最低级的验证协议。

2、CHAP，多种网络访问服务器和客户机供应商都使用，路由和远程访问服 务支持CHAP。

3、MS-CHAP2执行双向认证。

4、EAP，执行双向认证，需要智能卡、证书结构，提供最高级别验证安全。
实施过程

1、在VPN服务器上，打开“计算机管理”，右击“用 户”，选择“新用户”。

2、输入用户名test和密码，单击“下一步”按钮，右击 test，选择“属性”。
internet
VPN服务器
VPN客户端
公司内部网络
9.2 任务1 VPN服务器的安装

在此任务中，按照项目需求，我们使用远程访问VPN的架 构，在总部架设一台VPN服务器，以满足员工在出差期间 与总公司之间安全的数据传输。
实施过程

1、打开路由和远程访问管理控制台，右击服务器名称， 选择“配置并启用路由和远程访问”。

4、在对话框中输入Internet地址，该地址是VPN服务器外 网卡的地址202.168.168.2，单击“创建”。

5、输入具有远程访问权限的用户名和密码（任务2中创建 的），单击“确定”，即可通过VPN连接实现和公司内部 数据的安全传输。
9.5 知识能力拓展

站点间VPN连接（也称为路由器间VPN）使组织可以在各 个独立的办公室之间或与其他组织之间通过公用网络建立 路由的连接，同时帮助保证通信的安全。跨Internet的路 由器VPN连接在逻辑上作为专用广域网网（WAN）链路 使用。通过Internet连接网络时，路由器将通过VPN连接 将数据包转发到其他路由器。对于路由器，VPN连接作为 数据链路层使用。 站点间VPN连接用于连接专用网络的两个部分。VPN服务 提供与VPN服务器连接到网络的路由连接。呼叫路由器 （VPN客户端）向应答路由器（VPN服务器）进行自我身 份验证。为了进行相互身份验证，应答路由器也向呼叫路 由器进行自我身份验证。在站点间VPN连接中，从任意一 个路由器VPN连接发送的数据包通常不是源自路由器。
202.168.168.2
internet
VPN服务器
出差用户
公司网络：192.168.10.0/24
9.1 知识引入

虚拟专用网络（VPN，Virtual Private Network）可以跨专用网络或公 共网络（如Internet）创建安全的点对点连接，让远程用户通过因特 网安全地访问公司内部网络资源，也可以让分布在不同地点的局域网 安全地通信。
Windows网络管理（Windows Server 2012版）
项目9：配置虚拟专用网络
9.0 案例场景

ABC公司经常要派员工到外面出差，为了公司业务需求， 出差在外的员工经常要访问公司内部服务器的数据，为了 保证员工出差期间能够和公司之间实现安全的数据传输， 请你给出一个合适的解决方案。
192.168.10.254

在VPN的连接过程中，同时为了建立一个私有的链路，数据需要采用 VPN协议加密。如果没有解密密钥，则在公共网络中传输的数据是不 能被读取的，因此可以确保文件发送的安全性。Windows server 2012 支持PPTP、L2TP/IPSec与SSTP（SSL）三种VPN协议。
VPN

VPN允许用户或公司通过公共网络安全地连接到远程服务 器、分支办公室或其它分公司上，其它优点还包括：
1、成本优势。VPN不使用电话线路，需要较少硬件。 2、增强的安全性。敏感的数据相对于未授权的用户隐藏 起来，但是可以被授权的用户正常访问。 3、网络协议安支持。可以远程运行任何基于最常用网络 协议（如：TCP/IP）的应用程序。




4、IP地址安全。由于通过VPN传输的数据被加密，用户 的地址信息也被保护起来，所以通过Internet传输的数据 中只有外部的IP地址才是可见的。

Fra Baidu bibliotek
3、在test属性对话框中，选择“拨入”面板，勾选“允许 访问”。
9.4 任务3：VPN客户端建立VPN连接

1、在VPN客户端打开“网络和共享中心”，单击“设置 新的连接或网络”。
实施过程

2、在设置和连接网络对话框中，单击“连接到工作区”， 单击“下一步”按钮。

3、选择“使用我的Internet连接（VPN）”。

5、在“IP地址分配”对话框中选择如何对远程用户分配 IP地址，本例中选择“来自一个指定的地址范围”。

6、在地址分配范围对话中选择“新建”，输入远程客户 端分配的IP地址范围10.10.0.1-10.10.0.100，单击“确定。

7、在“管理多个远程访问服务器”对话框中选择由谁来 验证远程用户身份。如果由本地服务器验证，选择“否， 使用路由器和远程访问来对连接请求身份验证”，如果由 RADIUS服务器专门验证，则选择“是，设置此服务器与 RADUIUS服务器一起工作”。在本例中我么选择“否”， 单击“完成”按钮。
VPN连接组成
VPN 连接或隧道 隧道协议 隧道中的数据 验证
VPN服务器 穿越的网络
VPN客户端
远程访问VPN架构

有两种不同类型的VPN连接，远程访问VPN和站点间的VPN。公司内 部网络已经连上因特网， VPN客户端在远地通过无线网络、xDSL或 局域网等方式也连上因特网后，就可以通过因特网提供的基础结构来 访问专用网络上的服务器。从用户的角度来看，VPN是计算机（VPN 客户端）与VPN服务器之间的点对点连接，与共享网络或公共网络确 切的基础结构是不相关的，因为VPN是以逻辑形式出现的，彷佛数据 通过专用链路发送的一样，VPN用户感觉上就是在公司内部网络的计 算机上工作。

2、选择“远程访问（拨号或VPN）”，单击“下一步”。

3、在“远程访问”对话框中勾选“VPN”，单击“下一 步”按钮。

4、在“VPN连接”对话框中选择服务器连接Internet的网 卡接口，本例是“外网”。在对话框中如果勾选了“通过” 设置静态数据包筛选器来对选择的接口进行保护”，那么 这台计算机将不能访问Internet，只能接受VPN客户访问， 单击“下一步”。