Win2000基于L2TP/IPSec的VPN连接
环境:Server : IBM Netfinity 5500 双网卡 Windows 2000 Server Client: IBM Netfinity 3000 单网卡 Windows 2000 Server PC 单网卡 Windows 2000 Server 步骤: 基于L2TP/IPSec的VPN连接是路由器道路由器的VPN连接,所以Server端和Client端的操作系统均为Windows 2000 Server 。 实验时,Server端加入DOMAIN域并成为域控制器。 Client端加入DOMAIN域成为额外域控制器。 (可以不加入DOMAIN域,但两服务器必须安装Active Directory服务) Server端配置: 1.置到 Internet 的连接(模拟E-IP: 192.168.3.199)。 2.配置到 intranet 的连接(I-IP:172.16.2.108)。 3.在“Active Directory计算机和用户”中为Server自动申请一张CA证书(必须先有安装过证书服务的服务器在网络上运行) 4.配置企业路由器 需要通过安装“路由和远程访问”服务,来启动企业路由器。详细信息,请参阅启用“路由和远程访问”服务。 可以在“路由和远程访问”中,通过远程访问路由器上的属性来配置企业路由器。要允许多个分支办公室路由器访问企业 intranet,需要配置以下设置: 常规 验证选中了“路由器”和“LAN 和请求拨号路由”复选框。 安全性 身份验证方法 选择企业路由器支持的身份验证方式,来验证拨号客户机的凭据。对于 Windows 2000 请求拨号路由器,可以选择 MS-CHAP 或 EAP-TLS(如果有智能卡或计算机凭据)身份验证方式。 身份验证提供程序 可以通过使用 Windows 2000 安全性或 RADIUS 服务器验证拨号客户机的凭据。如果选择了 RADIUS,则需要为 RADIUS 服务器或 RADIUS 代理配置 RADIUS 服务器设置。 计帐提供程序 通过选择和配置计帐提供程序,可以记录拨号客户机的活动,以用于分析和计帐。 IP 验证已选中“启用 IP 路由”和“允许基于 IP 远程访问和请求拨号连接”复选框。 单击“静态地址池”并配置动态分配到基于 L2TP 的 VPN 客户的 IP 地址范围。 PPP 选中“连接控制协议 (LCP) 扩展”复选框。 选中“软件压缩”复选框。 配置 L2TP 端口 在“路由和远程访问”中的“端口”下,所有 L2TP 端口作为一个独立的装置出现。默认时,Windows 2000 路由器上的所有端口,配置为“请求拨号路由连接(内置式和外置式)”,因此附加配置是不必要的。 有关为请求拨号路由连接配置端口的详细信息,请参阅配置远程访问端口。 在默认情况下,启用了五个 L2TP 端口。如果需要添加其他 L2TP 端口,请参阅添加 PPTP 或 L2TP 端口。 配置请求拨号接口 对于每个分支办公室路由器,可以使用请求拨号向导来创建请求拨号接口.在向导中,配置以下事件: 接口名称 代表到分支办公室连接的接口名称。实验事实用Client 连接类型 单击“使用虚拟专用网络 (VPN) 连接”。 VPN 类型 单击“第二层隧道协议 (L2TP)”。 目标地址 因为企业路由器将不会初始化 VPN 连接,不需要地址。 协议与安全 选择要路由的协议,然后选择“添加用户帐户,以便远程路由器可以拨入”复选框。 拨出凭据 因为企业路由器将不会初始化 VPN 连接,键入任何名称、域和密码。 拨入凭据 键入域和用于验证分支办公室路由器的帐户密码。拨入请求接口向导自动创建帐户并设置它的远程访问权限为“允许访问”。帐户的名称与拨入请求接口的名称相同。例如,对于纽约分支办公室路由器,帐户名称为 Client。 5.配置静态路由 需要添加静态路由以便通过使用适当的请求拨号接口来转发到分支办公室的通信。对于每个分支办公室的每个路由,配置接口、目标、网络掩码和跃点数。对于接口,需要选择与分支办公室通信的请求拨号接口。 例如,与分支办公室通信的路由为:192.168.3.0 子网掩码为 255.255.255.0。使用以下配置,此路由将变成静态路由。 接口:Client 目标位置: 192.168.25.0 网络掩码: 255.255.255.0 跃点数: 1 注意:因为 L2TP 连接是“点对点”连接,网关 IP 地址不可配置。 配置基于 IPSec 的 L2TP 筛选器 要保证企业路由器在 Internet 接口上安全发送或接收,除来自分支办公室路由器的 L2TP over IPSec 以外的任何通信,需要在与 Internet 连接通信的企业路由器的接口上配置基于 IPSec 的 L2TP 输入和输出筛选器。因为 Internet 接口上启用了 IP 路由,所以如果在 Internet 接口上没有配置基于 IPSec 的 L2TP 筛选器,那么 Internet 接口上接收的通信都将被路由,这可能会将不需要的 Internet 通信转发到 Intranet。 设置为,除了以下端口,其余数据均抛弃。 输入筛选器: 目标地址:192.168.3.199 子网掩码:255.255.255.255 使用协议:UDP 端口:500和1701 输出筛选器: 源地址:192.168.3.199 子网掩码:255.255.255.255 使用协议:UDP 端口:500和1701 6.配置远程访问策略 通过使用拨号接口向导,配置分支办公室路由器使用的用户帐户的拨入属性,以允许远程访问。 如果根据组成员资格,来授予到基于 L2TP 分支办公室路由器的远程访问权限,请执行以下操作: 对于非域成员的单机路由器,使用本地用户和组,并对所有用户设置拨入属性为“允许访问”。 对于基于目录服务的路由器,请使用 Active Directory 用户和计算机,并对所有用户将拨入属性设置为“通过远程访问策略控制访问”。 创建 Windows 2000 组,它的成员可以创建与 VPN 服务器的虚拟专用网络连接。例如,VPNUser。 将与分支办公室路由器使用的帐户对应的适当用户帐户添加到 Window 2000 组。 创建带有以下属性的新远程访问策略: 设置“策略名称”为“如果是 VPNUser 的成员,则使用 VPN 访问”(范例)。 将 Windows-Groups 条件设置为 VPNUser。 将 NAS-Port-Type 条件设置为“虚拟 (VPN)”。 Tunnel-Type 条件设置为“第二层隧道协议”。 选择“授予远程访问权限”选项。 如果这台计算机只用于提供“路由器到路由器”的 VPN 连接,需要删除名为“如果启用拨入权限,则允许访问”的默认的远程访问策略。否则,移掉默认的远程访问策略,以便最后一个估计它。 对于加密,默认的设置允许“无加密”,和所有级别的加密强度。要请求加密,清除“无加密”选项,并在呼叫路由器使用的远程访问策略配置文件中,“加密”选项卡上,选择适当的加密强度。 Client端设置: 参照Server端设置 1.配置到 Internet 的连接(E-IP:192.168.3.198)。 2.配置到分支办公室网络的连接。 3.安装计算机凭据。 4.配置请求拨号接口。 5.配置静态路由。 6.配置基于 IPSec 的 L2TP 筛选器。 7.初始化 L2TP 路由器到路由器 VPN 连接 要将分支办公室路由器连接到企业路由器上,在“路由和远程访问”中,右键单击连接到企业办公室的请求拨号接口,然后单击“连接”。 在Server上使用CMAK生成拨号程序,然后再Client上安装,并进行拨号。 实验次数 / 成功次数:2 / 2 实验结果: C2使用PPTP和Server连接,结果与上次实验相同。 Client域Server使用L2TP/IPSec连接 连接之前,Client PING A1/A2 均不可达 连接之后,得到响应。 本文出自 51CTO.COM技术博客 |
wangjiansheng
博客统计信息
热门文章
最新评论
友情链接
