利用windows2003 路由与远程访问功能可以做一些不错的事.
; x; }; a4 b& E4 |
由于最近加深了解了ISA 2006对于网关到网关的VPN连接功能的应用,就想着如何利用WINODWS 2003系统 实测来做一下试试。我分两个试生产环境中的实测来实现两种不同的VPN服务器的应用。
5 K4 m$ n! ~1 K$ m 由于VPN技术应用较为广泛,相信大家对此都有了相当的了解,尤其是基于硬件的VPN技术的应用,更不必说。这里,我仅就在WINDOWS SERVER 2003企业版实测的步骤和结果与大家分享。
: P* P! \$ C u+ k
实验分两个部分,其为第一个:VPN的远程访问应用。具体的就是远程VPN客户机登陆VPN服务器后,可以与VPN内部网络进行互相通信等。
其二为网关到网关的VPN应用。在下篇文章中与各位探讨。! W$ F/ C& F" t. \8 H3 s( W
实现环境拓朴如下:
, a1 j3 m) q: a# ^1 c# b+ Z
$ M0 E/ e/ |* T3 E D) i5 \' x l+ O' I
试生产环境中的机器网络环境配置:
: o, Z, T6 F4 R0 ]; T: ]" O: |" f1、用虚机(VPC2004SP1)安装的三台windows 2003 sp1机器
: [* k- t2 |( l/ s" r) B3 s" k; f2、其中:远程VPN客户端机器名为:vpnrouter1 2 L! e' g' P/ z9 H6 d7 A& G1 r
Ip:59.64.113.89
9 ?7 w5 I2 ?( d ~- _ Mask:255.255.255.0* `" @6 ~( I; Z9 y5 J7 J# z" d
Gw: 59.64.113.88
5 X' x+ F9 r# o3 b' d) E VPN服务器机器名为:berlin9 b; j- | m3 E L2 o/ A$ X! v, E
外网网卡Ip:59.64.113.88: C ?: L2 E3 x4 I
Mask:255.255.255.0
+ Z. i# l& S- J 内网网卡Ip:10.0.0.1
1 W1 l7 L' I" E7 u Mask:255.255.255.0/ y" T0 J; `9 h0 `, I
置于VPN服务器内网网卡同一网络的内网计算机名:isaclient
0 b% a. L; D; ~/ C Ip:10.0.0.2
7 b, k4 h- I2 j* i( e" \4 s$ H GW:10.0.0.17 W% }+ P2 H2 E
Mask:255.255.255.0$ R K( P5 H' y! L2 p
要说明的:
# a! D' m& i! y0 b1、VPN连接我采用的是IP的方式,如果各位有条件的话,可以采用域名的方式。
' q1 [% Y& X, j+ C; y8 L$ P* b
2、远程VPN客户端连接到VPN服务器时,VPN服务器分配给其IP地址的范围可以与内网的IP同一子网,也可以不同,本例采用后者,即分配IP地址范围为192.168.10.1---192.168.10.6。
并采用添加静态路由的方法,使远程客户端能与其内部局域网(多子网的情况下)通讯(没有多子网络,故此步不做,有待于各位去验证)。/ v& Q0 c9 m( [5 F
3、由于这次采用的VPN与NAT并用的。NAT的功能此时不用多说了吧。
8 o# H1 o# [: p2 y9 O
4、为了验证其与内部局域网的通讯,使用了远程VPN客户端vpnrouter1访问内部机器isaclient上共享的文件功能。
+ c* W) Z5 Q0 V) P5 p
做此实验需要了解的相关知识:
3 \$ U' E a; a) L% @! C. ^$ W1、VPN技术的相关知识(最少要了解些基本的)
" N9 Z" {$ [/ D" l7 O6 y: m2、路由(网关)(如何添加静态路由)
* U# I" H) b* c: H/ o4 S. i, c% {$ {3、文件共享、拨入身份验证
9 c& I; o) [/ x! V* k& R. z% MOK,下面就开始试生产环境中的实操作
! g; ~$ i1 c1 L0 B$ W
1、在BERLIN这台WINDOWS 2003 SP1服务器上,打开“开始---程序---管理工具---路由和远程访问”,如下图,由于没有启用,现在还是停止标识。
: d7 d6 [0 U2 B7 b2 v/ q
l2 a) k$ }5 O/ w$ K# M3 t2、在控制台中,右键单击BERLIN(本地),在弹出的对话框中,选择“配置并启用路由与远程访问”,出现如下几图界面,这里以图说明,不多说,上面的提示应当是够详细的了:
3 q0 H3 Y1 k, ?
6 A. E1 ]# i. ]! U# d. A( p9 o
/ P4 ]( j$ h% M- G
3、在下面的几图中,需要说明下。实际上前面已说过。我在“IP地址指定”这个步骤,选择“来自一个指定的地址范围”将输入一个不同于VPN服务器内部网络的IP地址范围,并创建一个静态路由来达到与内部局域通讯的目的。之后完成VPN服务器端的配置操作。
) B- N0 S, b5 r8 B
# T: s/ e% x m+ J
3 v* G i' x6 c) l; _
4 z) N# s% u3 D; x* @
6 r+ s0 r6 e. J* i
( x# I. X( c2 x
4、下面在远程客户端来测试下在没有拨入VPN服务器前时的网络通讯情况。如下图,显然,此时是PING不通10.0.0.1/10.0.0.2这个IP的。
% W! g, \4 k! ]8 X
/ Y: P" E, Q: _8 a! S1 @$ y) w
5、接下来的操作就是相当重要的,那就是为了使VPN服务器(也称为远程访问服务器)能正常的转发远程VPN客户端与内部局域网机器之间的通讯的数据包。就要添加一个静态路由以充许它们之间通讯。如下几图,在“路由和远程访问”控制面板中,右键单击BERLIN,选择“属性”,在打开的窗口中,考察“常规”项,使其选择和图中的一样。
8 z) t Y6 \/ v
" I. d& l3 w3 n
7 C1 M9 _' C& P6 {1 v$ S- k
& H1 P" ~( X$ A9 k- B o& o
6、启用VPN服务器上的”administrator”远程拨入的权限
, V) G7 p: _1 \8 i) Y6 H0 _8 a/ i
( q' W% J2 O4 u) k: s M* c$ ~( H6、在远程客户端机器vpnrouter1上,建立VPN拨号。并拨入。
- c1 }4 a$ J+ D8 N$ z- P" }
O( c. e2 t5 v! ^' R
+ G' \4 m2 M; H
+ v# U f: m- D" S
$ R A6 C' f) W( k
5 {/ {* j" F& t& X7、下图显示了远程客户端拨入远程服务器(VPN服务器)时所分配的IP情况。并PING下10.0.0.1/10.0.0.2当然是能通的。
& U# `$ J0 h: s0 y, L& J
" @% r9 S6 ]: K8 g: _
' e) v1 K; E6 w
8、下面几图,就是说明的如何在远程客户端访问VPN服务器内部局域网10.0.0.2这台机器共享文件夹的情况
& ]* d) Y4 P# ]; V K
) F3 D3 D I% s( Y
2 m: |( U3 w1 {- E: O$ q
9、此时,在VPN服务器上可以看到远程VPN客户端已拨入的情况。OK,此次实验到此结束。
+ V" ~" R/ l5 r) \2 q- ~
8 [( L' H9 ?; R0 L; ]0 P1 q
$ i$ R' x+ `6 O% E5 M0 B3 M[
本帖最后由 rickyfang 于 2007-2-4 18:43 编辑 ]
