利用windows2003 路由与远程访问功能可以做一些不错的事.
0 s0 k" K* K0 I0 {& I# n 由于最近加深了解了ISA 2006对于网关到网关的VPN连接功能的应用,就想着如何利用WINODWS 2003系统 实测来做一下试试。我分两个试生产环境中的实测来实现两种不同的VPN服务器的应用。
9 `" U# q7 H M
由于VPN技术应用较为广泛,相信大家对此都有了相当的了解,尤其是基于硬件的VPN技术的应用,更不必说。这里,我仅就在WINDOWS SERVER 2003企业版实测的步骤和结果与大家分享。
* y: i/ X' u. [* @6 w$ _9 ?' A# o3 D 实验分两个部分,其为第一个:VPN的远程访问应用。具体的就是远程VPN客户机登陆VPN服务器后,可以与VPN内部网络进行互相通信等。
其二为网关到网关的VPN应用。在下篇文章中与各位探讨。* D, |& d2 u4 W$ Q: C5 X
实现环境拓朴如下:
6 Y' o6 p! ~; {* w5 k2 _" a0 ?5 ~
7 p1 c' ?/ b/ a3 k( A6 v# u
试生产环境中的机器网络环境配置:$ l& L: P8 [" n9 J" e+ u3 y8 `/ ?# g0 [
1、用虚机(VPC2004SP1)安装的三台windows 2003 sp1机器# q/ j6 x3 k- O; R" d }
2、其中:远程VPN客户端机器名为:vpnrouter1 3 t) H4 m1 t8 V1 D( |2 R( V
Ip:59.64.113.89
0 o% ~2 e6 l7 a1 C& G: x7 K Mask:255.255.255.0
2 M7 u5 P( ]( F* n' ?# W Gw: 59.64.113.88
- L9 Z2 f3 E2 c4 O: V) r VPN服务器机器名为:berlin
9 Z1 N! y5 M. s$ F; } 外网网卡Ip:59.64.113.885 V" W! A$ j+ f
Mask:255.255.255.0
5 K! @* \( Q- S& f5 g 内网网卡Ip:10.0.0.15 L% @( ~" ^( C+ _" L' m8 F
Mask:255.255.255.0" X* U# p" Q* |5 }
置于VPN服务器内网网卡同一网络的内网计算机名:isaclient
_& ]. y. ]! ^+ I" l Ip:10.0.0.20 k# {3 f+ G: J9 w* f1 f; b
GW:10.0.0.1
' F; |( I; o- W W% m# r Mask:255.255.255.09 ^, o, T9 z5 m
要说明的:
9 {5 t2 O7 E: F* z1、VPN连接我采用的是IP的方式,如果各位有条件的话,可以采用域名的方式。
, R0 x3 t# e6 ~ n$ Y! D5 H2 s4 v2、远程VPN客户端连接到VPN服务器时,VPN服务器分配给其IP地址的范围可以与内网的IP同一子网,也可以不同,本例采用后者,即分配IP地址范围为192.168.10.1---192.168.10.6。
并采用添加静态路由的方法,使远程客户端能与其内部局域网(多子网的情况下)通讯(没有多子网络,故此步不做,有待于各位去验证)。- H' D7 G5 t, `: Q0 W' H0 `9 S
3、由于这次采用的VPN与NAT并用的。NAT的功能此时不用多说了吧。
$ |, }+ z: K6 [: E4、为了验证其与内部局域网的通讯,使用了远程VPN客户端vpnrouter1访问内部机器isaclient上共享的文件功能。
& Z/ @9 F9 P2 x* l3 l0 K
做此实验需要了解的相关知识:! m4 e# t% t* V' a0 p/ Q' V/ s
1、VPN技术的相关知识(最少要了解些基本的)
7 A2 r# W3 G: T- z4 [( F+ F2、路由(网关)(如何添加静态路由)
0 h" u8 J4 i* j" G3、文件共享、拨入身份验证
0 Z3 r! p+ k7 `4 q( iOK,下面就开始试生产环境中的实操作
8 f- y2 ~7 K8 \ y8 [4 ?" `
1、在BERLIN这台WINDOWS 2003 SP1服务器上,打开“开始---程序---管理工具---路由和远程访问”,如下图,由于没有启用,现在还是停止标识。
0 w X( O7 y! T2 n% Y
# r1 ]1 i3 s# [2 A. i2、在控制台中,右键单击BERLIN(本地),在弹出的对话框中,选择“配置并启用路由与远程访问”,出现如下几图界面,这里以图说明,不多说,上面的提示应当是够详细的了:
7 I1 r! O* t9 \+ @2 E
# h( E; [; t; w0 k8 S
: v/ f2 y2 f9 D G2 X; ~& ~( d3、在下面的几图中,需要说明下。实际上前面已说过。我在“IP地址指定”这个步骤,选择“来自一个指定的地址范围”将输入一个不同于VPN服务器内部网络的IP地址范围,并创建一个静态路由来达到与内部局域通讯的目的。之后完成VPN服务器端的配置操作。
( R, y$ _4 E) g5 x- w
7 j2 Z" D: V1 Q% D3 x- x0 x
3 \1 H" B0 {6 O
% Y# `9 v9 ]' s" t3 ]% R
" f6 y& u! @3 m& G+ v% C" X
2 i2 R# p& l8 L5 |6 f q
4、下面在远程客户端来测试下在没有拨入VPN服务器前时的网络通讯情况。如下图,显然,此时是PING不通10.0.0.1/10.0.0.2这个IP的。
( Q8 I8 O2 t( s: q" G' P$ `
: G: \ L( g) f
5、接下来的操作就是相当重要的,那就是为了使VPN服务器(也称为远程访问服务器)能正常的转发远程VPN客户端与内部局域网机器之间的通讯的数据包。就要添加一个静态路由以充许它们之间通讯。如下几图,在“路由和远程访问”控制面板中,右键单击BERLIN,选择“属性”,在打开的窗口中,考察“常规”项,使其选择和图中的一样。
; |0 L% Z% `! I R7 N: y9 o2 G
; V6 y# d- o5 \' p
: W! b4 v/ P+ d. f l2 [' ^
9 m* x. o* f M. Y( [* j
6、启用VPN服务器上的”administrator”远程拨入的权限
; |7 h2 u' x3 E6 L0 m
) v* ?% X% D4 K9 M, h6、在远程客户端机器vpnrouter1上,建立VPN拨号。并拨入。
, p- z" E* T+ D" A, {! t( ~( H- j1 B8 b
8 \$ M4 K$ J, T( j2 T) U
: t8 Q+ E, h4 M- R( v
# N$ W0 b- I: r5 |
/ I* p6 M* G( ?) q3 [0 x8 P/ d
* r) U7 z) V! o7 j% n- T
7、下图显示了远程客户端拨入远程服务器(VPN服务器)时所分配的IP情况。并PING下10.0.0.1/10.0.0.2当然是能通的。
; h& b" \; f8 o+ v
d, n% \( T7 \
2 b: n+ z" d$ Z8 W3 ?2 S8、下面几图,就是说明的如何在远程客户端访问VPN服务器内部局域网10.0.0.2这台机器共享文件夹的情况
1 Y& Z6 E5 B& f' L
; ~" Q3 K* ^1 I2 `2 d" I
; Y- Z6 R; |% g9 }
9、此时,在VPN服务器上可以看到远程VPN客户端已拨入的情况。OK,此次实验到此结束。
' Y9 c) L3 x; w; O* f( g) u! k) K
! S0 U' c0 l' H$ s4 F0 M4 p# c
) G# y5 V# n0 k% _8 W2 ]4 [[
本帖最后由 rickyfang 于 2007-2-4 18:43 编辑 ]
