任務(wù)1VPN服務(wù)器的安裝

任務(wù)2配置VPN服務(wù)器的網(wǎng)絡(luò)策略項(xiàng)目背景某公司經(jīng)常要派員工到外面出差，由于公司業(yè)務(wù)的需求，出差在外的員工經(jīng)常需要訪問公司內(nèi)部服務(wù)器的數(shù)據(jù)，為了保證員工出差期間能夠和公司之間實(shí)現(xiàn)安全的數(shù)據(jù)傳輸，請(qǐng)管理員給出一個(gè)合適的解決方案。根據(jù)任務(wù)的需求，網(wǎng)絡(luò)管理員準(zhǔn)備搭建VPN服務(wù)器，基本步驟如下：(1)架設(shè)VPN服務(wù)器。(2)配置VPN服務(wù)器的網(wǎng)絡(luò)策略。任務(wù)1VPN服務(wù)器的安裝公司要實(shí)現(xiàn)企業(yè)員工在外地或在家也能夠訪問企業(yè)內(nèi)部服務(wù)器資源時(shí)，就需要安裝VPN服務(wù)器。隨著企業(yè)網(wǎng)應(yīng)用的不斷增加，企業(yè)網(wǎng)的覆蓋范圍也不斷擴(kuò)大，如從一個(gè)本地網(wǎng)絡(luò)到一個(gè)跨地區(qū)、跨城市甚至是跨國的網(wǎng)絡(luò)。如果采用傳統(tǒng)的廣域網(wǎng)方式建立企業(yè)專網(wǎng)，則往往需要租用昂貴的跨地區(qū)數(shù)字專線網(wǎng)絡(luò)。如果利用公共網(wǎng)絡(luò)，則信息安全又得不到保證。虛擬專用網(wǎng)絡(luò)(virtualprivatenetwork，VPN)是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的延伸，它可以提供與專用網(wǎng)絡(luò)一樣的安全性、可管理性和傳輸性能，而建設(shè)、運(yùn)轉(zhuǎn)和維護(hù)網(wǎng)絡(luò)的工作也從企業(yè)內(nèi)部的IT部門剝離出去，交由運(yùn)營商來負(fù)責(zé)。一、VPN技術(shù)概述VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公共網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。例如，某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，進(jìn)行遠(yuǎn)程訪問需要租用數(shù)字?jǐn)?shù)據(jù)網(wǎng)專線或幀中繼，這樣的通信方案必然導(dǎo)致高昂的網(wǎng)絡(luò)通信和維護(hù)費(fèi)用。對(duì)于移動(dòng)用戶(移動(dòng)辦公人員)與遠(yuǎn)端個(gè)人用戶而言，一般會(huì)通過撥號(hào)線路進(jìn)入企業(yè)的局域網(wǎng)，但這樣的做法必然會(huì)帶來安全隱患。讓身處外地的員工能訪問內(nèi)網(wǎng)資源，利用VPN的解決方法就是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN服務(wù)器。身處外地的員工在連接上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)連接VPN服務(wù)器，并通過VPN服務(wù)器進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶端之間的通信數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣，但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，VPN的實(shí)質(zhì)是利用加密技術(shù)在公共網(wǎng)絡(luò)上封裝出一條數(shù)據(jù)通信隧道。有了VPN技術(shù)，用戶無論是在外地出差還是在家辦公，只要能連接上互聯(lián)網(wǎng)，就能利用VPN訪問內(nèi)網(wǎng)資源。1.?VPN的定義VPN是指通過綜合利用訪問控制技術(shù)和加密技術(shù)，并通過一定的密鑰管理機(jī)制，在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)，保證數(shù)據(jù)在“加密管道”中進(jìn)行安全傳輸?shù)募夹g(shù)。VPN可以利用公共網(wǎng)絡(luò)來發(fā)送專用信息，形成邏輯上的專用網(wǎng)絡(luò)，其目標(biāo)是在不安全的公共網(wǎng)絡(luò)上建立一個(gè)安全的專用通信網(wǎng)絡(luò)。VPN利用公共網(wǎng)絡(luò)來構(gòu)建專用網(wǎng)絡(luò)，它是使特殊設(shè)計(jì)的硬件和軟件直接通過共享的IP網(wǎng)絡(luò)所建立的隧道來實(shí)現(xiàn)的。通常將VPN當(dāng)作廣域網(wǎng)解決方案，但它也可以簡單地應(yīng)用于局域網(wǎng)中。VPN類似于點(diǎn)到點(diǎn)直接撥號(hào)連接或租用線路連接，盡管它是以交換和路由的方式工作的。2.?VPN的主要特點(diǎn)VPN是平衡Internet適用性和價(jià)格的通信手段之一。利用共享的IP網(wǎng)絡(luò)建立VPN連接，可以降低企業(yè)對(duì)昂貴租用線路和復(fù)雜遠(yuǎn)程訪問方案的依賴性。VPN具有以下幾個(gè)方面的特點(diǎn)。1)安全性VPN用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者使用，從而保證了數(shù)據(jù)的私有性和安全性。2)專用性VPN會(huì)在非面向連接的公共IP網(wǎng)絡(luò)中建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱為建立一個(gè)隧道。使用隧道的雙方進(jìn)行數(shù)據(jù)的加密傳輸，就好像真正的專用網(wǎng)絡(luò)中一樣。3)經(jīng)濟(jì)性VPN可以使移動(dòng)用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少，不僅可以大幅度減少傳輸數(shù)據(jù)的開銷，還可以減少傳輸語音的開銷。4)擴(kuò)展性和靈活性VPN能夠支持通過Internet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)；VPN支持多種類型的傳輸介質(zhì)，可以同時(shí)滿足語音、圖像、數(shù)據(jù)等的高質(zhì)量傳輸，以及帶寬增加的需求。三、VPN的構(gòu)成1.?VPN服務(wù)器遠(yuǎn)程訪問VPN服務(wù)器用于接收并響應(yīng)VPN客戶端的連接請(qǐng)求，并建立VPN連接。它可以是專用的VPN服務(wù)器設(shè)備，也可以是運(yùn)行VPN服務(wù)的主機(jī)。2.?VPN客戶端VPN客戶端用于發(fā)起連接VPN的請(qǐng)求，通常為VPN連接組件的主機(jī)。3.隧道協(xié)議VPN的實(shí)現(xiàn)依賴于隧道協(xié)議，通過隧道協(xié)議，它可以將一種協(xié)議用另一種協(xié)議或相同協(xié)議的形式封裝，同時(shí)可以提供加密、認(rèn)證等安全服務(wù)。VPN服務(wù)器和客戶端必須支持相同的隧道協(xié)議，以便建立VPN連接。目前常用的隧道協(xié)議有點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)。(1)點(diǎn)對(duì)點(diǎn)隧道協(xié)議。點(diǎn)對(duì)點(diǎn)隧道協(xié)議)是點(diǎn)對(duì)點(diǎn)協(xié)議的擴(kuò)展，并協(xié)調(diào)使用PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP客戶機(jī)支持內(nèi)置于WindowsXP操作系統(tǒng)的遠(yuǎn)程訪問客戶機(jī)。只有IP網(wǎng)絡(luò)才可以建立PPTP的VPN。若兩個(gè)局域網(wǎng)之間通過PPTP來連接，則兩端直接連接到Internet的VPN服務(wù)器必須要執(zhí)行TCP/IP，但網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不一定需要支持TCP/IP，它們可執(zhí)行TCP/IP、IPX或NetBEUI通信協(xié)議，因?yàn)楫?dāng)它們通過VPN服務(wù)器與遠(yuǎn)程計(jì)算機(jī)通信時(shí)，這些不同通信協(xié)議的數(shù)據(jù)包會(huì)被封裝到PPP的數(shù)據(jù)包中，并經(jīng)過Internet傳送。信息到達(dá)目的地后，再由遠(yuǎn)程的VPN服務(wù)器將其還原為TCP/IP、IPX或NetBEUI的數(shù)據(jù)包。PPTP是利用微軟點(diǎn)對(duì)點(diǎn)加密技術(shù)來實(shí)現(xiàn)信息加密的。PPTP的VPN服務(wù)器支持內(nèi)置于WindowsServer2003家族的成員。PPTP與TCP/IP一同安裝，根據(jù)運(yùn)行“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А睍r(shí)所做的選擇，PPTP可以配置為5個(gè)或128個(gè)PPTP端口。(2)第二層隧道協(xié)議是基于RFC的隧道協(xié)議，該協(xié)議是一種業(yè)內(nèi)標(biāo)準(zhǔn)。L2TP同時(shí)具有身份驗(yàn)證、加密與數(shù)據(jù)壓縮的功能。L2TP的驗(yàn)證與加密方法都是采用互聯(lián)網(wǎng)安全協(xié)議。與PPTP類似，L2TP也可以將IP、IPX或NetBEUI的數(shù)據(jù)包封裝到PPP的數(shù)據(jù)包中。與PPTP不同的是，運(yùn)行在WindowsServer2019服務(wù)器上的L2TP不利用MPPE來加密PPP數(shù)據(jù)包。L2TP依賴于加密服務(wù)的IPSec。L2TP和IPSec的組合被稱為L2TP/IPSec，L2TP/IPSec提供專用數(shù)據(jù)的封裝和加密的主要VPN服務(wù)。VPN客戶端和VPN服務(wù)器必須支持L2TP和IPSec。在VPN客戶端方面，L2TP支持Windows8/10操作系統(tǒng)的遠(yuǎn)程訪問客戶端。在VPN服務(wù)器方面，L2IP支持WindowsServer家族的成員。L2IP與TCP/IP一同安裝，根據(jù)運(yùn)行“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А睍r(shí)所做的選擇，L2IP可以配置為5個(gè)或128個(gè)L2TP端口。4.?Internet連接VPN服務(wù)器和客戶端必須都接入Internet，并且能夠通過Internet進(jìn)行正常的通信。四、VPN應(yīng)用場(chǎng)合VPN的實(shí)現(xiàn)可以分為軟件和硬件兩種方式。Windows服務(wù)器版的操作系統(tǒng)以完全基于軟件的方式實(shí)現(xiàn)VPN，成本低廉。無論身處何地，只要能連接到Internet，就可以與企業(yè)網(wǎng)在Internet上的VPN相關(guān)聯(lián)，登錄到內(nèi)部網(wǎng)絡(luò)瀏覽或交換信息。VPN常被使用在以下兩種場(chǎng)合中。(1)遠(yuǎn)程客戶端通過VPN連接到局域網(wǎng)。總公司(局域網(wǎng))的網(wǎng)絡(luò)已經(jīng)連接到Internet，而用戶通過遠(yuǎn)程撥號(hào)連接ISP接入Internet后，就可以通過Internet來與總公司(局域網(wǎng))的VPN服務(wù)器建立PPTP或L2TP的VPN，并通過VPN來安全地傳送信息。(2)兩個(gè)局域網(wǎng)通過VPN互聯(lián)。兩個(gè)局域網(wǎng)的VPN服務(wù)器都連接到Internet，并通過Internet建立PPTP或L2TP的VPN，它可以讓兩個(gè)網(wǎng)絡(luò)之間安全地傳送信息，不用擔(dān)心在Internet上傳送信息時(shí)泄密。除了使用軟件方式實(shí)現(xiàn)外，VPN的實(shí)現(xiàn)需要建立在交換機(jī)、路由器等硬件設(shè)備的基礎(chǔ)上。目前，在VPN技術(shù)和產(chǎn)品方面，較具有代表性的公司當(dāng)屬華為和銳捷。在部署VPN服務(wù)器之前，我們需要了解企業(yè)部署VPN的項(xiàng)目規(guī)劃需求和實(shí)訓(xùn)環(huán)境，本書使用VMwareWorkstation構(gòu)建虛擬環(huán)境。一、項(xiàng)目規(guī)劃部署VPN服務(wù)器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖11-1所示。二、部署需求(1)設(shè)置VPN服務(wù)器的TCP/IP屬性，手工指定IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器IP地址等。(2)部署域環(huán)境，設(shè)置域名為。三、部署環(huán)境架設(shè)VPN服務(wù)器之前，VPN服務(wù)器至少要有兩個(gè)網(wǎng)絡(luò)連接，其中VPN服務(wù)器必須與內(nèi)部網(wǎng)絡(luò)相連，需要配置與內(nèi)部網(wǎng)絡(luò)連接所需要的TCP/IP參數(shù)(私有IP地址)，該參數(shù)可以手動(dòng)指定，也可以通過內(nèi)部網(wǎng)絡(luò)中的DHCP服務(wù)器自動(dòng)分配。本項(xiàng)目中IP地址為28，子網(wǎng)掩碼為，DNS服務(wù)器為。VPN服務(wù)器必須同時(shí)與Internet相連，因此需要建立和配置與Internet的連接。VPN服務(wù)器與Internet的連接通常采用較快的連接方式，如專線連接。本項(xiàng)目中IP地址為32，子網(wǎng)掩碼為，默認(rèn)網(wǎng)關(guān)與DNS服務(wù)器為。合理規(guī)劃分配給VPN客戶端的IP地址。VPN客戶端在請(qǐng)求建立VPN連接時(shí)，VPN服務(wù)器需要為其分配內(nèi)部網(wǎng)絡(luò)的IP地址。配置的IP地址必須是內(nèi)部網(wǎng)絡(luò)中不使用的IP地址，IP地址的數(shù)量要根據(jù)同時(shí)建立VPN連接的客戶端數(shù)量來確定。在本項(xiàng)目中部署遠(yuǎn)程訪問VPN服務(wù)時(shí)，使用靜態(tài)IP地址池為遠(yuǎn)程訪問客戶端分配IP地址，IP地址范圍為51/24～80/24。VPN客戶端在請(qǐng)求VPN連接時(shí)，VPN服務(wù)器要對(duì)其進(jìn)行身份驗(yàn)證，因此應(yīng)合理規(guī)劃需要建立VPN連接的用戶賬戶。一、為VPN服務(wù)器添加第二塊網(wǎng)卡(1)在VMWorkstation中，用鼠標(biāo)右鍵點(diǎn)擊目標(biāo)虛擬機(jī)(本任務(wù)中為WIN2019-1)，選擇“設(shè)置”選項(xiàng)，打開“虛擬機(jī)設(shè)置”對(duì)話框。(2)選擇“添加”→“網(wǎng)絡(luò)適配器”選項(xiàng)，點(diǎn)擊“完成”按鈕，選擇網(wǎng)絡(luò)連接方式為“自定義：VMnet8”，最后點(diǎn)擊“確定”按鈕完成第二塊網(wǎng)卡的添加，如圖11-2所示。(3)啟動(dòng)WIN2019-1，用鼠標(biāo)右擊“開始”菜單，在彈出的快捷菜單中選擇“網(wǎng)絡(luò)連接”選項(xiàng)，更改兩塊網(wǎng)卡的網(wǎng)絡(luò)連接的名稱分別為“局域網(wǎng)連接”和“Internet連接”，并分別設(shè)置兩個(gè)網(wǎng)絡(luò)連接的網(wǎng)絡(luò)參數(shù)，如圖11-3所示。(或者用鼠標(biāo)右鍵單擊右下方的“網(wǎng)絡(luò)連接”圖標(biāo)，選擇打開“網(wǎng)絡(luò)和Internet”設(shè)置→“更改適配器選項(xiàng)”命令)。特別注意：設(shè)置WIN2019-2的網(wǎng)絡(luò)連接方式為VMnet1(與WIN2019-1的局域網(wǎng)連接一致)，設(shè)置WIN2019-3的網(wǎng)絡(luò)連接方式為VMnet8(與WIN2019-1的Internet連接一致)。如果設(shè)置不當(dāng)，本項(xiàng)目將會(huì)失敗。(4)同理啟動(dòng)WIN2019-2和WIN2019-3，并設(shè)置這兩臺(tái)服務(wù)器的IP地址等信息。設(shè)置完成后利用ping命令測(cè)試這3臺(tái)虛擬機(jī)的連通情況，為后面實(shí)訓(xùn)做準(zhǔn)備。二、安裝“路由和遠(yuǎn)程訪問服務(wù)”角色要配置VPN服務(wù)器，必須安裝“路由和遠(yuǎn)程訪問”服務(wù)角色。WindowsServer2019中的路由和遠(yuǎn)程訪問是包括在“網(wǎng)絡(luò)策略和訪問服務(wù)”角色中的，常規(guī)默認(rèn)是沒有安裝的。用戶可以根據(jù)自己的需要選擇同時(shí)安裝網(wǎng)絡(luò)策略和訪問服務(wù)中的所有服務(wù)組件或者只安裝路由和遠(yuǎn)程訪問服務(wù)。路由和遠(yuǎn)程訪問服務(wù)角色的安裝步驟如下：(1)以域管理員身份登錄VPN服務(wù)器“WIN2019-1”，點(diǎn)擊“服務(wù)器管理器”→“儀表板”→“添加角色和功能”鏈接，打開如圖11-4所示的“選擇服務(wù)器角色”窗口，“網(wǎng)絡(luò)策略和訪問服務(wù)”和“遠(yuǎn)程訪問”復(fù)選框。(2)持續(xù)點(diǎn)擊“下一步”按鈕，直至進(jìn)入“網(wǎng)絡(luò)策略和訪問服務(wù)”界面，網(wǎng)絡(luò)策略和訪問服務(wù)中包括“網(wǎng)絡(luò)策略服務(wù)器”“健康注冊(cè)機(jī)構(gòu)”“主機(jī)憑據(jù)授權(quán)協(xié)議”角色服務(wù)，勾選“網(wǎng)絡(luò)策略服務(wù)器”復(fù)選框。(3)點(diǎn)擊“下一步”按鈕，顯示“遠(yuǎn)程訪問”的“角色服務(wù)”列表框。勾選全部復(fù)選框，如圖11-5所示。(4)最后單擊“安裝”按鈕即可開始安裝，安裝完成后務(wù)必重啟計(jì)算機(jī)。三、配置并啟用路由和遠(yuǎn)程訪問在已經(jīng)安裝“路由和遠(yuǎn)程訪問”服務(wù)角色的計(jì)算機(jī)“WIN2019-1”上通過“路由和遠(yuǎn)程訪問”控制臺(tái)配置并啟用路由和遠(yuǎn)程訪問，具體步驟如下：(1)打開“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А表撁妗＂?/p>

以域管理員賬戶登錄到需要配置VPN服務(wù)的計(jì)算機(jī)WIN2019-1上，點(diǎn)擊“開始”→“Windows管理工具”→“路由和遠(yuǎn)程訪問”，打開如圖11-6所示的“路由和遠(yuǎn)程訪問”控制臺(tái)。②

在該控制臺(tái)目錄樹上用鼠標(biāo)右鍵單擊服務(wù)器“WIN2019-1(本地)”，在彈出的菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А睂?duì)話框。(2)選擇VPN連接。①

點(diǎn)擊“下一步”按鈕，出現(xiàn)“配置”對(duì)話框，在該對(duì)話框中可以配置NAT、VPN以及路由服務(wù)，在此選擇“遠(yuǎn)程訪問(撥號(hào)或VPN)”復(fù)選框，如圖11-7所示。②

點(diǎn)擊“下一步”按鈕，出現(xiàn)“遠(yuǎn)程訪問”對(duì)話框，在該對(duì)話框中可以選擇創(chuàng)建撥號(hào)或VPN遠(yuǎn)程訪問連接，在此選擇“VPN”復(fù)選框，如圖11-8所示。(3)選擇連接到Internet的網(wǎng)絡(luò)接口。點(diǎn)擊“下一步”按鈕，出現(xiàn)“VPN連接”對(duì)話框，在該對(duì)話框中選擇連接到Internet的網(wǎng)絡(luò)接口，在此選擇“Internet連接”接口，如圖11-9所示。(4)設(shè)置IP地址分配。①

點(diǎn)擊“下一步”按鈕，出現(xiàn)“IP地址分配”對(duì)話框，在該對(duì)話框中可以設(shè)置分配給VPN客戶端計(jì)算機(jī)的IP地址從DHCP服務(wù)器獲取或是指定一個(gè)范圍，此處選擇“來自一個(gè)指定的地址范圍”選項(xiàng)，如圖11-10所示。②

點(diǎn)擊“下一步”按鈕，出現(xiàn)“地址范圍分配”對(duì)話框，在該對(duì)話框中指定VPN客戶端計(jì)算機(jī)的IP地址范圍。③

點(diǎn)擊“新建”按鈕，出現(xiàn)“新建IPv4地址范圍”對(duì)話框，在“起始IP地址”文本框中輸入“51”，在“結(jié)束IP地址”文本框中輸入“80”，如圖11-11所示，然后點(diǎn)擊“確定”按鈕即可。④

返回到“地址范圍分配”對(duì)話框，可以看到已經(jīng)指定了一段IP地址范圍。(5)結(jié)束VPN配置。①

點(diǎn)擊“下一步”按鈕，出現(xiàn)“管理多個(gè)遠(yuǎn)程訪問服務(wù)器”對(duì)話框。在該對(duì)話框中可以指定身份驗(yàn)證的方法是路由和遠(yuǎn)程訪問服務(wù)器還是RADIUS服務(wù)器，此處選擇“否，使用路由和遠(yuǎn)程訪問來對(duì)連接請(qǐng)求進(jìn)行身份驗(yàn)證”單選框，如圖11-12所示。②

點(diǎn)擊“下一步”按鈕，出現(xiàn)“摘要”對(duì)話框，在該對(duì)話框中顯示了之前步驟所設(shè)置的信息。③

點(diǎn)擊“完成”按鈕，出現(xiàn)如圖11-13所示對(duì)話框，表示需要配置DHCP中繼代理程序，最后點(diǎn)擊“確定”按鈕即可。。(6)查看VPN服務(wù)器狀態(tài)①

完成VPN服務(wù)器的創(chuàng)建，返回到“路由和遠(yuǎn)程訪問”控制臺(tái)。由于目前已經(jīng)啟用了VPN服務(wù)，所以服務(wù)器圖標(biāo)顯示綠色向上的標(biāo)識(shí)箭頭，如圖11-14所示。②

在“路由和遠(yuǎn)程訪問”控制臺(tái)樹中，展開服務(wù)器，點(diǎn)擊“端口”，在控制臺(tái)右側(cè)界面中顯示所有端口的狀態(tài)為“不活動(dòng)”，如圖11-15所示。③

在“路由和遠(yuǎn)程訪問”控制臺(tái)樹中，展開服務(wù)器，單擊“網(wǎng)絡(luò)接口”，在控制臺(tái)右側(cè)界面中顯示VPN服務(wù)器上的所有網(wǎng)絡(luò)接口，如圖11-16所示。四、停止和啟動(dòng)VPN服務(wù)要啟動(dòng)或停止VPN服務(wù)，可以使用net命令、“路由和遠(yuǎn)程訪問”控制臺(tái)或“服務(wù)”控制臺(tái)，具體步驟如下：(1)使用net命令。以域管理員賬戶登錄到VPN服務(wù)器WIN2019-1上，在命令行提示符界面中，輸入命令“netstopremoteaccess”停止VPN服務(wù)，輸入命令“netstartremoteaccess”后啟動(dòng)VPN服務(wù)。(2)使用“路由和遠(yuǎn)程訪問”控制臺(tái)。在“路由和遠(yuǎn)程訪問”控制臺(tái)目錄樹中，用鼠標(biāo)右鍵單擊服務(wù)器，在彈出的快捷菜單中選擇“所有任務(wù)”→“停止”或“啟動(dòng)”命令即可停止或啟動(dòng)VPN服務(wù)。VPN服務(wù)停止以后，“路由和遠(yuǎn)程訪問”控制臺(tái)如圖11-17所示顯示紅色向下標(biāo)識(shí)箭頭。(3)使用“服務(wù)”控制臺(tái)。點(diǎn)擊“開始”→“Windows管理工具”→“服務(wù)”，打開“服務(wù)”控制臺(tái)。找到服務(wù)“RoutingandRemoteAccess”，點(diǎn)擊“啟動(dòng)”或“停止”即可啟動(dòng)或停止VPN服務(wù)，如圖11-18所示。五、配置域用戶賬戶允許VPN連接在域控制器WIN2019-1上設(shè)置允許用戶“ABC\Administrator”使用VPN連接到VPN服務(wù)器的具體步驟如下：(1)以域管理員賬戶登錄到域控制器上WIN2019-1，打開“ActiveDirectory用戶和計(jì)算機(jī)”控制臺(tái)。依次打開“”和“Users”節(jié)點(diǎn)，右鍵單擊用戶“Administrator”，在彈出菜單中選擇“屬性”打開“Administrator屬性”對(duì)話框。(2)在“Administrator屬性”對(duì)話框中選擇“撥入”選項(xiàng)卡。在“網(wǎng)絡(luò)訪問權(quán)限”選項(xiàng)區(qū)域中選擇“允許訪問”單選框，如圖11-19所示，最后點(diǎn)擊“確定”按鈕即可。六、在VPN客戶機(jī)上建立并測(cè)試VPN連接在VPN客戶機(jī)WIN2019-3上建立VPN連接并連接到VPN服務(wù)器上，具體步驟如下：(1)?VPN在客戶機(jī)上新建VPN連接。①

以域管理員賬戶登錄到VPN客戶機(jī)WIN2019-3上，單擊“開始”→“控制面板”→“網(wǎng)絡(luò)和Internet”→“網(wǎng)絡(luò)和共享中心”，打開如圖11-20所示的“網(wǎng)絡(luò)和共享中心”界面。②

點(diǎn)擊“設(shè)置新的連接或網(wǎng)絡(luò)”按鈕，打開“設(shè)置連接或網(wǎng)絡(luò)”對(duì)話框，通過該對(duì)話框可以建立連接以連接到Internet或?qū)Ｓ镁W(wǎng)絡(luò)，在此選擇“連接到工作區(qū)”選項(xiàng)，如圖11-21所示。③

點(diǎn)擊“下一步”按鈕，出現(xiàn)“連接到工作區(qū)-你希望如何連接”對(duì)話框，在該對(duì)話框中指定使用Internet還是撥號(hào)方式連接到VPN服務(wù)器，在此點(diǎn)擊“使用我的Internet連接(VPN)(I)”選項(xiàng)，如圖11-22所示。④

出現(xiàn)“連接到工作區(qū)-你想在繼續(xù)之前設(shè)置Internet連接嗎？”對(duì)話框，在該對(duì)話框中設(shè)置Internet連接，由于本實(shí)例VPN服務(wù)器和VPN客戶機(jī)是物理直接連接在一起的，所以點(diǎn)擊“我將稍后設(shè)置Internet連接(I)”，如圖11-23所示。⑤

出現(xiàn)如圖11-24所示的“連接到工作區(qū)-鍵入要連接的Internet地址”對(duì)話框，在“Internet地址”文本框中輸入VPN服務(wù)器的外網(wǎng)網(wǎng)卡IP地址為“32”，并設(shè)置目標(biāo)名稱為“VPN連接”，點(diǎn)擊創(chuàng)建按鈕，VPN連接創(chuàng)建完成。(2)連接到VPN服務(wù)器。①

選擇“開始”菜單并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“網(wǎng)絡(luò)連接”選項(xiàng)，打開“設(shè)置”窗口，選擇“VPN”選項(xiàng)，點(diǎn)擊“VPN連接”→“連接”按鈕，如圖11-25所示。在圖11-26所示的“Windows安全中心”對(duì)話框中輸入允許VPN連接的賬戶和密碼，點(diǎn)擊“確定”按鈕，在此使用賬戶“ABC\Administrator”建立連接。②

點(diǎn)擊“確定”按鈕，經(jīng)過身份驗(yàn)證后即可連接到VPN服務(wù)器，在如圖11-27所示的“網(wǎng)絡(luò)連接”界面中可以看到“VPN連接”的狀態(tài)是連接的。七、驗(yàn)證VPN連接當(dāng)VPN客戶端計(jì)算機(jī)WIN2019-3連接到VPN服務(wù)器WIN2019-1上之后，可以訪問公司內(nèi)部局域網(wǎng)絡(luò)中的共享資源，具體步驟如下所述。(1)查看VPN客戶端獲取到的IP地址。①

在VPN客戶端計(jì)算機(jī)WIN2019-3上，打開命令提示符界面，使用命令“ipconfig/all”查看IP地址信息，如圖11-28所示，可以看到VPN連接獲得的IP地址為“52”。②

先后輸入命令“ping28”和“ping32”，可以測(cè)試VPN客戶端計(jì)算機(jī)和VPN服務(wù)器以及內(nèi)網(wǎng)計(jì)算機(jī)的連通性，如圖11-29所示，顯示能連通。(2)在VPN服務(wù)器上的驗(yàn)證。①

以域管理員賬戶登錄到VPN服務(wù)器上，在“路由和遠(yuǎn)程訪問”控制臺(tái)樹中，展開服務(wù)器節(jié)點(diǎn)，點(diǎn)擊“遠(yuǎn)程訪問客戶端(I)”，在控制臺(tái)右側(cè)界面中顯示持續(xù)連接時(shí)間以及連接的賬戶，這表明已經(jīng)有一個(gè)客戶端建立了VPN連接，如圖11-30所示。②

選擇“端口”選項(xiàng)，在右側(cè)窗格中可以看到其中一個(gè)端口的狀態(tài)是“活動(dòng)”，表明有客戶端連接到VPN服務(wù)器。③

用鼠標(biāo)雙擊該活動(dòng)端口，彈出“端口狀態(tài)”對(duì)話框。該對(duì)話框中顯示了持續(xù)連接時(shí)間、用戶以及分配給VPN客戶端計(jì)算機(jī)的IP地址，如圖11-31所示。(3)訪問內(nèi)部局域網(wǎng)的共享文件。①

以域管理員賬戶登錄到內(nèi)部網(wǎng)服務(wù)器WIN2019-2上，在“計(jì)算機(jī)”管理器中創(chuàng)建文件夾“C:\share”作為測(cè)試目錄，在該文件夾內(nèi)存入一些文件，并將該文件夾設(shè)置為共享。②

以域管理員賬戶登錄到VPN客戶端計(jì)算機(jī)WIN2019-3上，點(diǎn)擊“開始”→“運(yùn)行”，輸入內(nèi)部網(wǎng)服務(wù)器WIN2019-2上共享文件夾的UNC路徑為“\\32”，點(diǎn)擊“確定”按鈕。③

由于已經(jīng)連接到VPN服務(wù)器上，所以可以訪問內(nèi)部局域網(wǎng)絡(luò)中的共享資源，但需要輸入網(wǎng)絡(luò)憑據(jù)。在“輸入網(wǎng)絡(luò)憑據(jù)”界面中，點(diǎn)擊“使用其他賬戶”按鈕，并輸入用戶名和密碼，點(diǎn)擊“確定”按鈕后即可訪問WIN2019-2中的共享資源，如圖11-32所示。(4)斷開VPN連接。以域管理員賬戶登錄到VPN服務(wù)器上，在“路由和遠(yuǎn)程訪問”控制臺(tái)樹中依次展開服務(wù)器和“遠(yuǎn)程訪問客戶端(1)”節(jié)點(diǎn)，在控制臺(tái)右側(cè)界面中右鍵單擊連接的遠(yuǎn)程客戶端，在彈出菜單中選擇“斷開”命令即可斷開客戶端計(jì)算機(jī)的VPN連接。任務(wù)2配置VPN服務(wù)器的網(wǎng)絡(luò)策略在VPN服務(wù)器WIN2019-1上創(chuàng)建網(wǎng)絡(luò)策略“VPN網(wǎng)絡(luò)策略”，使得用戶在進(jìn)行VPN連接時(shí)使用該網(wǎng)絡(luò)策略。一、什么是網(wǎng)絡(luò)策略在部署網(wǎng)絡(luò)訪問保護(hù)時(shí)，將向網(wǎng)絡(luò)策略配置中添加健康策略，以便在授權(quán)的過程中使用網(wǎng)絡(luò)策略服務(wù)器對(duì)客戶端進(jìn)行健康檢查。當(dāng)處理作為RADIUS服務(wù)器的連接請(qǐng)求時(shí)，網(wǎng)絡(luò)策略服務(wù)器對(duì)此連接請(qǐng)求既執(zhí)行身份驗(yàn)證，又執(zhí)行授權(quán)。在身份驗(yàn)證過程中，NPS驗(yàn)證連接到網(wǎng)絡(luò)的用戶或計(jì)算機(jī)的身份。在授權(quán)過程中，NPS決定是否允許用戶或計(jì)算機(jī)訪問網(wǎng)絡(luò)。若允許，則NPS使用在NPS微軟管理控制臺(tái)管理單元中配置的網(wǎng)絡(luò)策略。NPS還會(huì)檢查ActiveDirectory域服務(wù)中賬戶的撥入屬性以執(zhí)行授權(quán)。可以將網(wǎng)絡(luò)策略視為規(guī)則。每個(gè)規(guī)則都具有一組條件和設(shè)置。NPS將規(guī)則的條件與連接請(qǐng)求的屬性進(jìn)行對(duì)比。如果規(guī)則和連接請(qǐng)求之間能夠匹配，則規(guī)則中定義的設(shè)置會(huì)應(yīng)用于連接。當(dāng)在NPS中配置了多個(gè)網(wǎng)絡(luò)策略時(shí)，它們是一組有序的規(guī)則。NPS根據(jù)列表中的第一個(gè)規(guī)則檢查每個(gè)連接請(qǐng)求，然后根據(jù)第二個(gè)規(guī)則進(jìn)行同樣的檢查，以此類推，直到找到匹配項(xiàng)為止。每個(gè)網(wǎng)絡(luò)策略都有“前略狀態(tài)”設(shè)置，使用該設(shè)置可以啟用或禁用策略。如果禁用網(wǎng)絡(luò)策略，則授權(quán)連接請(qǐng)求時(shí)，NPS不評(píng)估策略。二、網(wǎng)絡(luò)策略屬性每個(gè)網(wǎng)絡(luò)策略中都有以下4種類別的屬性。1.概述使用概述屬性可以指定是否啟用策略、是允許還是拒絕訪問策略，以及連接請(qǐng)求是需要特定的網(wǎng)絡(luò)連接方法還是需要網(wǎng)絡(luò)訪問服務(wù)器類型。使用概述屬性還可以指定是否忽略ActiveDirectory域服務(wù)中的用戶賬戶的撥入屬性。如果選擇忽略，則NPS只能使用網(wǎng)絡(luò)策略中的設(shè)置來確定是否授權(quán)連接。2.條件使用條件屬性可以指定為了匹配網(wǎng)絡(luò)策略，連接請(qǐng)求所必須具有的條件；如果策略中配置的條件與連接請(qǐng)求匹配，則NPS將把網(wǎng)絡(luò)策略中指定的設(shè)置應(yīng)用于連接。例如，如果將網(wǎng)絡(luò)訪問服務(wù)器IPv4地址(NASIPv4地址)指定為網(wǎng)絡(luò)策略的條件，并且NPS從具有指定IP地址的NAS接收連接請(qǐng)求，則策略中的條件與連接請(qǐng)求相匹配。3.約束約束是匹配連接請(qǐng)求所需的網(wǎng)絡(luò)策略的附加參數(shù)。如果連接請(qǐng)求與約束不匹配，則NPS自動(dòng)拒絕該請(qǐng)求。與NPS對(duì)網(wǎng)絡(luò)策略中不匹配條件的響應(yīng)不同，如果約束不匹配，則NPS不評(píng)估附加網(wǎng)絡(luò)策略，只拒絕連接請(qǐng)求。4.設(shè)置使用設(shè)置屬性可以指定在策略的所有網(wǎng)絡(luò)策略條件都匹配時(shí)，NPS應(yīng)用于連接請(qǐng)求的設(shè)置。在VPN服務(wù)器WIN2019-1上創(chuàng)建網(wǎng)絡(luò)策略“VPN網(wǎng)絡(luò)策略”，使得用戶在進(jìn)行VPN連接時(shí)使用該網(wǎng)絡(luò)策略。具體步驟如下所述。一、新建網(wǎng)絡(luò)策略(1)以域管理員賬戶登錄到VPN服務(wù)器WIN2019-1上，選擇“開始”→“Windows管理工具”→“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)，打開如圖11-33所示的“網(wǎng)絡(luò)策略服務(wù)器”控制臺(tái)。(2)用鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)策略”，在彈出的快捷菜單中選擇“新建”命令，打開“新建網(wǎng)絡(luò)策略”對(duì)話框，在“指定網(wǎng)絡(luò)策略名稱和連接類型”窗口中指定網(wǎng)絡(luò)策略的名稱為“VPN策略”，指定“網(wǎng)絡(luò)訪問服務(wù)器的類型”為“遠(yuǎn)程訪問服務(wù)器(VPN撥號(hào))”，如圖11-34所示。二、指定網(wǎng)絡(luò)策略條件——日期和時(shí)間限制(1)點(diǎn)擊“下一步”按鈕，出現(xiàn)“指定條件”窗口，在該窗口中設(shè)置網(wǎng)絡(luò)策略的條件，如日期和時(shí)間、用戶組等。(2)點(diǎn)擊“添加”按鈕，出現(xiàn)“選擇條件”