“十二五”職業(yè)教育國家規(guī)劃教材（第2版）2025年3月28日項目9架設VPN服務器項目9架設VPN服務器項目情境嶺南信息技術有限公司最近在長沙成立了一家分公司，分公司和總公司之間經(jīng)常會有業(yè)務往來，每天都需要相互傳送大量數(shù)據(jù)，公司管理層為了方便對分公司的管理，提高工作效率，希望分公司的局域網(wǎng)和總公司的局域網(wǎng)能連接起來，就好像總公司和分公司在同一個局域網(wǎng)中。能否實現(xiàn)管理層的這種需求呢？公司的員工經(jīng)常需要出差，由于工作的需要，他們經(jīng)常需要獲得公司的一些資料，是否有一種方式使他們能隨時隨地地訪問公司的局域網(wǎng)獲取所需的資料呢？為了實現(xiàn)管理層的要求和出差員工的需求，必須建立遠程訪問服務器。那么，如何保證這些服務器的安全呢？能否只在上班時間給特定的用戶使用這些遠程訪問服務的權限呢？項目9架設VPN服務器項目分析（1）在總公司建立VPN服務器，利用隧道技術可以使外網(wǎng)用戶安全地訪問內網(wǎng)資源，滿足管理層和出差員工的需求。（2）為了保證VPN服務器的安全，可以通過設置遠程訪問策略的方式加強對VPN服務器的管理，使VPN服務器只為特定的用戶在特定的時間開放連接。項目9架設VPN服務器項目目標（1）理解遠程訪問連接的含義。（2）學會對VPN服務器和客戶端進行配置。項目9架設VPN服務器項目任務任務1VPN服務器配置任務2VPN客戶端配置項目9架設VPN服務器任務1VPN服務器配置1任務1VPN服務器配置任務知識準備1．遠程訪問連接簡介遠程訪問是指通過使用撥號遠程訪問或VPN技術，將遠程用戶的計算機連接到公司內部局域網(wǎng)中，使遠程用戶的計算機能訪問公司內部局域網(wǎng)中的共享資源。利用WindowsServer2008的“路由和遠程訪問”服務可以為用戶提供撥號遠程訪問和虛擬專用網(wǎng)（VPN）兩種不同類型的遠程訪問連接。任務1VPN服務器配置1）撥號遠程訪問通過使用ISP（如PSTN或ISDN）提供的接入服務，遠程客戶端使用非永久的撥號連接到遠程訪問服務器的物理端口上，這時使用的網(wǎng)絡就是撥號網(wǎng)絡。例如，遠程客戶端使用公用電話網(wǎng)撥打遠程訪問服務器某個端口對應的電話號碼以建立連接，如圖9.1所示。圖9.1撥號遠程訪問任務1VPN服務器配置2）虛擬專用網(wǎng)（VPN）VPN是通過專用網(wǎng)絡或公用網(wǎng)絡（如Internet）建立的安全、點對點的連接。VPN客戶端使用隧道協(xié)議，對VPN服務器的虛擬端口進行虛擬呼叫，以建立專用連接。圖9.2VPN訪問任務1VPN服務器配置2．VPN技術特點（1）低成本運行（2）高安全性（3）服務質量保證（QoS）（4）可擴充性和靈活性（5）可管理性任務1VPN服務器配置3．VPN組成一個虛擬專用網(wǎng)由VPN服務器、VPN客戶端、LAN和遠程訪問協(xié)議、隧道協(xié)議等部分構成。VPN組成及常用的配置如圖9.3所示。圖9.3VPN組成任務1VPN服務器配置任務實施

下面將介紹如何在WindowsServer2008服務器上創(chuàng)建VPN服務器，以實現(xiàn)WindowsVPN網(wǎng)絡的應用。任務實施拓撲結構如圖9.4所示。圖9.4架設VPN服務器網(wǎng)絡拓撲圖任務1VPN服務器配置1．添加路由和遠程訪問角色并配置VPN服務器（1）執(zhí)行“開始”→“管理工具”→“服務器管理器”菜單命令，打開“服務器管理器”窗口，如圖9.5所示。圖9.5“服務器管理器”窗口任務1VPN服務器配置（2）單擊“下一步”按鈕，選擇“網(wǎng)絡策略和訪問服務”復選框，如圖9.7所示。（3）單擊“下一步”按鈕，選擇“路由和遠程訪問服務”復選框，如圖9.8所示。（4）單擊“下一步”按鈕，單擊“安裝”按鈕。安裝完畢后，出現(xiàn)如圖9.11所示的“安裝結果”對話框。任務1VPN服務器配置圖9.7“選擇服務器角色”對話框圖9.8“選擇角色服務”對話框任務1VPN服務器配置（5）單擊“關閉”按鈕，返回“服務器管理器”窗口，可以看到“角色”下顯示“網(wǎng)絡策略和訪問服務”已安裝，如圖9.12所示。圖9.12“網(wǎng)絡策略和訪問服務”已安裝任務1VPN服務器配置（6）右擊“路由和遠程訪問”，在出現(xiàn)的菜單中選擇“配置并啟用路由和遠程訪問”命令，如圖9.14所示，打開“路由和遠程訪問服務器安裝向導”對話框。圖9.14配置并啟用路由和遠程訪問

任務1VPN服務器配置（7）在出現(xiàn)的“路由和遠程訪問服務器安裝向導”對話框中單擊“下一步”按鈕，進入“配置”對話框，如圖9.16所示。圖9.16“配置”對話框任務1VPN服務器配置（8）打開如圖9.17所示的對話框，選擇其中一個連接到外網(wǎng)的接口。這里選擇“本地連接”，單擊“下一步”按鈕，在出現(xiàn)的如圖9.18所示的對話框中選擇“來自一個指定的地址范圍”。要求指定相關的IP地址。此處指定的IP地址范圍是作為VPN客戶端通過虛擬專網(wǎng)連接到VPN服務器時所使用的IP地址池。注意：這個地址池的范圍應該與VPN服務器的內部網(wǎng)卡的IP地址是同一個IP網(wǎng)段，以保證VPN的連通。單擊“新建”按鈕，出現(xiàn)“新建IPv4地址范圍”對話框，在起始IP地址文本框中輸入“210.100.100.10”，在“結束IP地址”文本框中輸入“210.100.100.50”，如圖9.19所示。任務1VPN服務器配置圖9.17“VPN連接”對話框圖9.18“IP地址分配”對話框任務1VPN服務器配置圖9.19為客戶端指定IP地址任務1VPN服務器配置（9）單擊“確定”按鈕，可以看到已經(jīng)指定了一段IP地址。單擊“下一步”按鈕，出現(xiàn)“管理多個遠程訪問服務器”對話框。在該對話框中可以指定身份驗證的方法是路由和遠程訪問服務器還是RADIUS服務器。單擊“下一步”按鈕，完成VPN配置在出現(xiàn)的對話框中配置DHCP中繼代理程序，最后單擊“確定”按鈕。任務1VPN服務器配置（10）這時看到“服務器管理器”角色中“路由和遠程訪問”已啟動（顯示為向上的綠色箭頭），如圖9.24所示。至此，即可完成WindowsServerVPN服務器的配置。圖9.24VPN配置完成后的效果任務1VPN服務器配置2．配置允許VPN連接的客戶端賬戶為了保證VPN服務器的安全性，需要對訪問VPN服務器的客戶端賬戶進行配置，只有進行了配置的客戶端用戶才可以正常訪問VPN服務器。下面以允許某一個用戶連接VPN服務器為例進行說明，具體步驟如下（在具體應用中，若需要允許多個用戶連接VPN服務器，則可以“組”中創(chuàng)建允許訪問VPN服務器的組）。任務1VPN服務器配置以管理員身份打開“計算機管理”控制臺，展開“本地用戶和組”，在“用戶”欄的右側界面右鍵單擊，得到如圖9.25所示的界面，選擇“新用戶”，可以得到如圖9.26所示的對話框，新建用戶名為“vpnuser01”的用戶，并設置密碼，選擇“用戶不能更改密碼”復選框。任務1VPN服務器配置圖9.25為客戶端新建賬戶

圖9.26為客戶端設置密碼任務1VPN服務器配置為客戶端新建vpnuser01賬戶后，右鍵單擊該賬戶，在彈出的菜單中選擇“屬性”，如圖9.27所示，打開用戶屬性對話框。圖9.27對客戶端進行設置任務1VPN服務器配置在“vpnuser01屬性”對話框中選擇“撥入”選項卡。在“遠程訪問權限（撥入或VPN）”區(qū)域中選擇“允許訪問”單選按鈕，如圖9.28所示，然后單擊“確定”按鈕。圖9.28設置遠程訪問權限項目9架設VPN服務器任務2VPN客戶端配置2任務2VPN客戶端配置任務知識準備VPN是通過公共網(wǎng)絡建立一個臨時的、安全的連接，是一條穿過混亂的公共網(wǎng)絡的安全、穩(wěn)定的隧道。VPN客戶端在進行IP地址配置時，通常有兩種可能的情況；（1）VPN服務器設置了DHCP功能，此時，客戶端可以采用自動獲取IP地址的方式；（2）VPN服務器未設置DHCP功能。本任務采用第一種方式，即在客戶端設置了IP地址，地址為210.100.100.40；本任務采用和任務1相同的拓撲結構，客戶端分別采用WindowsXP和Windows7進行實驗。任務2VPN客戶端配置任務實施1．在客戶端建立并測試VPN連接VPN客戶端需要連接到VPN服務器上，必須進行相應的配置。下面以Windows7為例，說明配置的具體步驟。任務2VPN客戶端配置（1）依次單擊“開始→控制面板→網(wǎng)絡和Internet→網(wǎng)絡和共享中心”，出現(xiàn)如圖9.39所示的界面。圖9.39設置新的連接或網(wǎng)絡任務2VPN客戶端配置（2）選擇“更改網(wǎng)絡設置”中的“設置新的連接或網(wǎng)絡”，打開如圖9.40所示的“設置連接或網(wǎng)絡”對話框，選擇“連接到工作區(qū)”，打開如圖9.41所示的“連接到工作區(qū)”對話框。圖9.40“設置連接或網(wǎng)絡”對話框

圖9.41“連接到工作區(qū)”對話框任務2VPN客戶端配置（3）在“您想如何連接”選項中選擇“使用我的Internet連接（VPN）”，打開如圖9.42所示的對話框。圖9.42“連接之前”選項

任務2VPN客戶端配置（4）在“連接之前”選項中選擇“我稍后決定”，打開如圖9.43所示的對話框。圖9.43輸入要連接的Internet地址任務2VPN客戶端配置（5）在“Internet地址”欄和“目標名稱”欄中分別輸入相應信息。然后單擊“下一步”按鈕，打開如圖9.44所示的對話框，在“用戶名”和“密碼”欄中輸入VPN服務器所允許的賬戶和密碼，單擊“創(chuàng)建”按鈕，可以看到如圖9.44所示的界面。圖9.44輸入用戶名和密碼

任務2VPN客戶端配置2．驗證VPN連接VPN客戶機在成功連接到VPN服務器后，可以訪問公司內部局域網(wǎng)的共享資源，可以采用以下三種方法進行驗證，具體步驟如下:1）查看VPN客戶機獲取的IP地址以本地管理員賬戶登錄VPN客戶機，打開命令提示符界面，輸入命令“ipconfig/all”，可以查看IP地址信息，如圖9.46所示，可以看到VPN連接獲得的IP地址為210.100.100.11。先后輸入命令“ping192.168.2.2”和“ping192.168.2.102”測試VPN客戶端和VPN服務器以及內網(wǎng)計算機的連通性，如圖9.47，顯示能連通。任務2VPN客戶端配置圖9.46查看獲取的VPN連接客戶端地址圖9.47測試VPN連接任務2VPN客戶端配置2）在VPN服務器上的驗證以本地管理員賬戶登錄到VPN服務器上，在“路由和遠程訪問”控制臺中，展開服務器，如圖9.48所示，可以看到“遠程訪問客戶端（1）”。單擊“端口”，在控制臺右側界面中可以看到其中一個端口的狀態(tài)是“活動”，表面有客戶端連接到VPN服務器，如圖9.49所示。任務2VPN客戶端配置圖9.48查看“遠程訪問客戶端”圖9.49查看端口狀態(tài)任務2VPN客戶端配置3）訪問內部局域網(wǎng)的共享文件夾在內網(wǎng)IP地址為192.168.2.102的計算機上，創(chuàng)建“C:\test”文件夾作為測試目錄，并將該文件夾設置為共享。以本地管理員賬戶登錄到VPN客戶機上，單擊“開始→運行”，輸入內網(wǎng)共享文件夾的UNC路徑\\192.168.2.102。由于已經(jīng)連接到VPN服務器上，因此，可以訪問內網(wǎng)的共享資源，如圖9.52所示。任務2VPN客戶端配置圖9.52在客戶端訪問內網(wǎng)共享文件夾任務2VPN客戶端配置4）斷開VPN以本地管理員賬戶登錄到VPN服務器上，在“路由和遠程訪問”控制臺中依次展開服務器和“遠程訪問客戶端（1）”，在控