“十二五”職業(yè)教育國家規(guī)劃教材（第2版）2025年3月28日項目9架設(shè)VPN服務(wù)器項目9架設(shè)VPN服務(wù)器項目情境嶺南信息技術(shù)有限公司最近在長沙成立了一家分公司，分公司和總公司之間經(jīng)常會有業(yè)務(wù)往來，每天都需要相互傳送大量數(shù)據(jù)，公司管理層為了方便對分公司的管理，提高工作效率，希望分公司的局域網(wǎng)和總公司的局域網(wǎng)能連接起來，就好像總公司和分公司在同一個局域網(wǎng)中。能否實現(xiàn)管理層的這種需求呢？公司的員工經(jīng)常需要出差，由于工作的需要，他們經(jīng)常需要獲得公司的一些資料，是否有一種方式使他們能隨時隨地地訪問公司的局域網(wǎng)獲取所需的資料呢？為了實現(xiàn)管理層的要求和出差員工的需求，必須建立遠程訪問服務(wù)器。那么，如何保證這些服務(wù)器的安全呢？能否只在上班時間給特定的用戶使用這些遠程訪問服務(wù)的權(quán)限呢？項目9架設(shè)VPN服務(wù)器項目分析（1）在總公司建立VPN服務(wù)器，利用隧道技術(shù)可以使外網(wǎng)用戶安全地訪問內(nèi)網(wǎng)資源，滿足管理層和出差員工的需求。（2）為了保證VPN服務(wù)器的安全，可以通過設(shè)置遠程訪問策略的方式加強對VPN服務(wù)器的管理，使VPN服務(wù)器只為特定的用戶在特定的時間開放連接。項目9架設(shè)VPN服務(wù)器項目目標（1）理解遠程訪問連接的含義。（2）學會對VPN服務(wù)器和客戶端進行配置。項目9架設(shè)VPN服務(wù)器項目任務(wù)任務(wù)1VPN服務(wù)器配置任務(wù)2VPN客戶端配置項目9架設(shè)VPN服務(wù)器任務(wù)1VPN服務(wù)器配置1任務(wù)1VPN服務(wù)器配置任務(wù)知識準備1．遠程訪問連接簡介遠程訪問是指通過使用撥號遠程訪問或VPN技術(shù)，將遠程用戶的計算機連接到公司內(nèi)部局域網(wǎng)中，使遠程用戶的計算機能訪問公司內(nèi)部局域網(wǎng)中的共享資源。利用WindowsServer2008的“路由和遠程訪問”服務(wù)可以為用戶提供撥號遠程訪問和虛擬專用網(wǎng)（VPN）兩種不同類型的遠程訪問連接。任務(wù)1VPN服務(wù)器配置1）撥號遠程訪問通過使用ISP（如PSTN或ISDN）提供的接入服務(wù)，遠程客戶端使用非永久的撥號連接到遠程訪問服務(wù)器的物理端口上，這時使用的網(wǎng)絡(luò)就是撥號網(wǎng)絡(luò)。例如，遠程客戶端使用公用電話網(wǎng)撥打遠程訪問服務(wù)器某個端口對應(yīng)的電話號碼以建立連接，如圖9.1所示。圖9.1撥號遠程訪問任務(wù)1VPN服務(wù)器配置2）虛擬專用網(wǎng)（VPN）VPN是通過專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)（如Internet）建立的安全、點對點的連接。VPN客戶端使用隧道協(xié)議，對VPN服務(wù)器的虛擬端口進行虛擬呼叫，以建立專用連接。圖9.2VPN訪問任務(wù)1VPN服務(wù)器配置2．VPN技術(shù)特點（1）低成本運行（2）高安全性（3）服務(wù)質(zhì)量保證（QoS）（4）可擴充性和靈活性（5）可管理性任務(wù)1VPN服務(wù)器配置3．VPN組成一個虛擬專用網(wǎng)由VPN服務(wù)器、VPN客戶端、LAN和遠程訪問協(xié)議、隧道協(xié)議等部分構(gòu)成。VPN組成及常用的配置如圖9.3所示。圖9.3VPN組成任務(wù)1VPN服務(wù)器配置任務(wù)實施

下面將介紹如何在WindowsServer2008服務(wù)器上創(chuàng)建VPN服務(wù)器，以實現(xiàn)WindowsVPN網(wǎng)絡(luò)的應(yīng)用。任務(wù)實施拓撲結(jié)構(gòu)如圖9.4所示。圖9.4架設(shè)VPN服務(wù)器網(wǎng)絡(luò)拓撲圖任務(wù)1VPN服務(wù)器配置1．添加路由和遠程訪問角色并配置VPN服務(wù)器（1）執(zhí)行“開始”→“管理工具”→“服務(wù)器管理器”菜單命令，打開“服務(wù)器管理器”窗口，如圖9.5所示。圖9.5“服務(wù)器管理器”窗口任務(wù)1VPN服務(wù)器配置（2）單擊“下一步”按鈕，選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”復選框，如圖9.7所示。（3）單擊“下一步”按鈕，選擇“路由和遠程訪問服務(wù)”復選框，如圖9.8所示。（4）單擊“下一步”按鈕，單擊“安裝”按鈕。安裝完畢后，出現(xiàn)如圖9.11所示的“安裝結(jié)果”對話框。任務(wù)1VPN服務(wù)器配置圖9.7“選擇服務(wù)器角色”對話框圖9.8“選擇角色服務(wù)”對話框任務(wù)1VPN服務(wù)器配置（5）單擊“關(guān)閉”按鈕，返回“服務(wù)器管理器”窗口，可以看到“角色”下顯示“網(wǎng)絡(luò)策略和訪問服務(wù)”已安裝，如圖9.12所示。圖9.12“網(wǎng)絡(luò)策略和訪問服務(wù)”已安裝任務(wù)1VPN服務(wù)器配置（6）右擊“路由和遠程訪問”，在出現(xiàn)的菜單中選擇“配置并啟用路由和遠程訪問”命令，如圖9.14所示，打開“路由和遠程訪問服務(wù)器安裝向?qū)А睂υ捒颉D9.14配置并啟用路由和遠程訪問

任務(wù)1VPN服務(wù)器配置（7）在出現(xiàn)的“路由和遠程訪問服務(wù)器安裝向?qū)А睂υ捒蛑袉螕簟跋乱徊健卑粹o，進入“配置”對話框，如圖9.16所示。圖9.16“配置”對話框任務(wù)1VPN服務(wù)器配置（8）打開如圖9.17所示的對話框，選擇其中一個連接到外網(wǎng)的接口。這里選擇“本地連接”，單擊“下一步”按鈕，在出現(xiàn)的如圖9.18所示的對話框中選擇“來自一個指定的地址范圍”。要求指定相關(guān)的IP地址。此處指定的IP地址范圍是作為VPN客戶端通過虛擬專網(wǎng)連接到VPN服務(wù)器時所使用的IP地址池。注意：這個地址池的范圍應(yīng)該與VPN服務(wù)器的內(nèi)部網(wǎng)卡的IP地址是同一個IP網(wǎng)段，以保證VPN的連通。單擊“新建”按鈕，出現(xiàn)“新建IPv4地址范圍”對話框，在起始IP地址文本框中輸入“210.100.100.10”，在“結(jié)束IP地址”文本框中輸入“210.100.100.50”，如圖9.19所示。任務(wù)1VPN服務(wù)器配置圖9.17“VPN連接”對話框圖9.18“IP地址分配”對話框任務(wù)1VPN服務(wù)器配置圖9.19為客戶端指定IP地址任務(wù)1VPN服務(wù)器配置（9）單擊“確定”按鈕，可以看到已經(jīng)指定了一段IP地址。單擊“下一步”按鈕，出現(xiàn)“管理多個遠程訪問服務(wù)器”對話框。在該對話框中可以指定身份驗證的方法是路由和遠程訪問服務(wù)器還是RADIUS服務(wù)器。單擊“下一步”按鈕，完成VPN配置在出現(xiàn)的對話框中配置DHCP中繼代理程序，最后單擊“確定”按鈕。任務(wù)1VPN服務(wù)器配置（10）這時看到“服務(wù)器管理器”角色中“路由和遠程訪問”已啟動（顯示為向上的綠色箭頭），如圖9.24所示。至此，即可完成WindowsServerVPN服務(wù)器的配置。圖9.24VPN配置完成后的效果任務(wù)1VPN服務(wù)器配置2．配置允許VPN連接的客戶端賬戶為了保證VPN服務(wù)器的安全性，需要對訪問VPN服務(wù)器的客戶端賬戶進行配置，只有進行了配置的客戶端用戶才可以正常訪問VPN服務(wù)器。下面以允許某一個用戶連接VPN服務(wù)器為例進行說明，具體步驟如下（在具體應(yīng)用中，若需要允許多個用戶連接VPN服務(wù)器，則可以“組”中創(chuàng)建允許訪問VPN服務(wù)器的組）。任務(wù)1VPN服務(wù)器配置以管理員身份打開“計算機管理”控制臺，展開“本地用戶和組”，在“用戶”欄的右側(cè)界面右鍵單擊，得到如圖9.25所示的界面，選擇“新用戶”，可以得到如圖9.26所示的對話框，新建用戶名為“vpnuser01”的用戶，并設(shè)置密碼，選擇“用戶不能更改密碼”復選框。任務(wù)1VPN服務(wù)器配置圖9.25為客戶端新建賬戶

圖9.26為客戶端設(shè)置密碼任務(wù)1VPN服務(wù)器配置為客戶端新建vpnuser01賬戶后，右鍵單擊該賬戶，在彈出的菜單中選擇“屬性”，如圖9.27所示，打開用戶屬性對話框。圖9.27對客戶端進行設(shè)置任務(wù)1VPN服務(wù)器配置在“vpnuser01屬性”對話框中選擇“撥入”選項卡。在“遠程訪問權(quán)限（撥入或VPN）”區(qū)域中選擇“允許訪問”單選按鈕，如圖9.28所示，然后單擊“確定”按鈕。圖9.28設(shè)置遠程訪問權(quán)限項目9架設(shè)VPN服務(wù)器任務(wù)2VPN客戶端配置2任務(wù)2VPN客戶端配置任務(wù)知識準備VPN是通過公共網(wǎng)絡(luò)建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN客戶端在進行IP地址配置時，通常有兩種可能的情況；（1）VPN服務(wù)器設(shè)置了DHCP功能，此時，客戶端可以采用自動獲取IP地址的方式；（2）VPN服務(wù)器未設(shè)置DHCP功能。本任務(wù)采用第一種方式，即在客戶端設(shè)置了IP地址，地址為210.100.100.40；本任務(wù)采用和任務(wù)1相同的拓撲結(jié)構(gòu)，客戶端分別采用WindowsXP和Windows7進行實驗。任務(wù)2VPN客戶端配置任務(wù)實施1．在客戶端建立并測試VPN連接VPN客戶端需要連接到VPN服務(wù)器上，必須進行相應(yīng)的配置。下面以Windows7為例，說明配置的具體步驟。任務(wù)2VPN客戶端配置（1）依次單擊“開始→控制面板→網(wǎng)絡(luò)和Internet→網(wǎng)絡(luò)和共享中心”，出現(xiàn)如圖9.39所示的界面。圖9.39設(shè)置新的連接或網(wǎng)絡(luò)任務(wù)2VPN客戶端配置（2）選擇“更改網(wǎng)絡(luò)設(shè)置”中的“設(shè)置新的連接或網(wǎng)絡(luò)”，打開如圖9.40所示的“設(shè)置連接或網(wǎng)絡(luò)”對話框，選擇“連接到工作區(qū)”，打開如圖9.41所示的“連接到工作區(qū)”對話框。圖9.40“設(shè)置連接或網(wǎng)絡(luò)”對話框

圖9.41“連接到工作區(qū)”對話框任務(wù)2VPN客戶端配置（3）在“您想如何連接”選項中選擇“使用我的Internet連接（VPN）”，打開如圖9.42所示的對話框。圖9.42“連接之前”選項

任務(wù)2VPN客戶端配置（4）在“連接之前”選項中選擇“我稍后決定”，打開如圖9.43所示的對話框。圖9.43輸入要連接的Internet地址任務(wù)2VPN客戶端配置（5）在“Internet地址”欄和“目標名稱”欄中分別輸入相應(yīng)信息。然后單擊“下一步”按鈕，打開如圖9.44所示的對話框，在“用戶名”和“密碼”欄中輸入VPN服務(wù)器所允許的賬戶和密碼，單擊“創(chuàng)建”按鈕，可以看到如圖9.44所示的界面。圖9.44輸入用戶名和密碼

任務(wù)2VPN客戶端配置2．驗證VPN連接VPN客戶機在成功連接到VPN服務(wù)器后，可以訪問公司內(nèi)部局域網(wǎng)的共享資源，可以采用以下三種方法進行驗證，具體步驟如下:1）查看VPN客戶機獲取的IP地址以本地管理員賬戶登錄VPN客戶機，打開命令提示符界面，輸入命令“ipconfig/all”，可以查看IP地址信息，如圖9.46所示，可以看到VPN連接獲得的IP地址為210.100.100.11。先后輸入命令“ping192.168.2.2”和“ping192.168.2.102”測試VPN客戶端和VPN服務(wù)器以及內(nèi)網(wǎng)計算機的連通性，如圖9.47，顯示能連通。任務(wù)2VPN客戶端配置圖9.46查看獲取的VPN連接客戶端地址圖9.47測試VPN連接任務(wù)2VPN客戶端配置2）在VPN服務(wù)器上的驗證以本地管理員賬戶登錄到VPN服務(wù)器上，在“路由和遠程訪問”控制臺中，展開服務(wù)器，如圖9.48所示，可以看到“遠程訪問客戶端（1）”。單擊“端口”，在控制臺右側(cè)界面中可以看到其中一個端口的狀態(tài)是“活動”，表面有客戶端連接到VPN服務(wù)器，如圖9.49所示。任務(wù)2VPN客戶端配置圖9.48查看“遠程訪問客戶端”圖9.49查看端口狀態(tài)任務(wù)2VPN客戶端配置3）訪問內(nèi)部局域網(wǎng)的共享文件夾在內(nèi)網(wǎng)IP地址為192.168.2.102的計算機上，創(chuàng)建“C:\test”文件夾作為測試目錄，并將該文件夾設(shè)置為共享。以本地管理員賬戶登錄到VPN客戶機上，單擊“開始→運行”，輸入內(nèi)網(wǎng)共享文件夾的UNC路徑\\192.168.2.102。由于已經(jīng)連接到VPN服務(wù)器上，因此，可以訪問內(nèi)網(wǎng)的共享資源，如圖9.52所示。任務(wù)2VPN客戶端配置圖9.52在客戶端訪問內(nèi)網(wǎng)共享文件夾任務(wù)2VPN客戶端配置4）斷開VPN以本地管理員賬戶登錄到VPN服務(wù)器上，在“路由和遠程訪問”控制臺中依次展開服務(wù)器和“遠程訪問客戶端（1）”，在控