VPN让客户端可以访问服务器内网,内网不能访问接入的客户机.docx

《VPN让客户端可以访问服务器内网,内网不能访问接入的客户机.docx》由会员分享，可在线阅读，更多相关《VPN让客户端可以访问服务器内网,内网不能访问接入的客户机.docx（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows server 2003 VPN 配置实例让客户端可以访问效劳器内网，内网不能访问接入的客户机主要就是安排内网 IP 给客户机搞定 :/ming228.blog.51cto /421298/96573先来了解一下VPN，VPNVirtual private Network,虚拟专用网是穿越专用网络或公用网络的、安全的、点对点连接的网络。VPN 客户端使用特定的隧道协议，与VPN 效劳器建立虚拟连接。VPN 最正确范例就是：VPN 客户端使用VPN 连接到与Intenet 相连的VPN 效劳器上。它的工作是VPN 效劳器应答验证VPN 客户端的身份，假设验证通过，内部网络与VPN

2、客户端传送数据。VPN 既然是虚拟的专用网，那么在VPN 效劳器与客户端之间建立的是一种规律，非直接的连接，可以跟拨号网络比较来理解。VPN 一般都要保证数据的安全性，必需对连接进展加密。概括一下：目前常见的VPN 应用包括站点到站点Site to Site)VPN 和远程访问Remote Access)VPN 两种。前者主要用于一个组织的总部网络与分支机构网络之间的连接或者一个组织的网络与其它可信的合作伙伴的网络之间的连接。后者主要用于远程或移动用户的远程访问连接。下面来看下远程访问VPN 的构成：先来看看各个角色的功能：（1） VPN 效劳器：这个固然就是用于接收并响应VPN 客户端的连接

3、恳求，并建立连接。它可以是专用的 VPN 效劳器设备，也可以是运行VPN 效劳的主机。在这里固然是属于后一种了。（2） VPN 客户端：VPN 客户端用于发起连接VPN 效劳器的恳求，通常为VPN 连接组件的主机，这个组件固然就是拨号的组件，要支持VPN 协议。（3） 隧道协议。VPN 有它自己的特别协议，它的实现必需依靠于隧道协议。通过隧道协议进展特别的封装，还可以供给加密，认证等等的安全效劳。固然效劳器和客户端都必需支持一样的协议。目前最常用的就是PPTP、L2TP 和 IPSEC。PPTP：point-to-point tunneling protocol 点对点隧道协议是PPP 的扩展

4、。协调使用PPP 的身份认证、压缩和加密机制，它支持在IP 网络上建立多协议的VPN 连接，可以为使用PSTN 和 ISDN 的用户供给VPN 支持。PPTP 一般是通过MS-CHAP，MS-CHAPv2 或EAP-TLS 身份认证过程中生成的密钥，对信息进展加密。加密承受 MPPE(Microsoft Point-to-Point Encryption,Microsoft 点对点加密算法，密钥长度可以选用较弱的40 位或强度较大的 128 位。L2TP：Layet 2 Tunneling Protocol,其次层隧道协议是基于 RFC 的标准隧道协议。但它与 PPTP 不同，L2TP 不利用

5、MPPE 进展加密，而是依靠于 IPSec。L2TP 和IPSec 的组合为L2TP/IPSec。通过 IPSec 在 IKE 协商进程中生成的加密密钥，L2TP 可使用DES 或 3DES 对信息进展加密。IPSec:(IP Security,IP 安全协议是IETF 开发的IP 网络安全标准。它包括IKE、AH 和 ESP 等等协议。（4） Intenet 连接：VPN 效劳器和客户端都必需接入Internet，并且能够通过Internet 进展正常通信。好，看了原理后就来部署一个实例： 登录上要配置VPN 效劳的效劳器。打于路由与远程访问窗口点主机右键。选“配置并启用路由和远程访问”便消

6、灭安装向导，然后点下一步。这里选第一个，然后点下一步。选 VPN。然后点下一步。可以看到这里有两个网络接口，这例子是建立双网卡的 VPN。所以消灭两个，其中 Internet 是连接外部网络，LAN 是连接内部网络，在图中也可以清楚地看到。但这里不选“通过设置静态数据包筛选器来对选择接口进展保护”为什么呢？假设选中它是通过设置数据包筛选器来限制与INTERNET 接吕的通信，阻挡不需要的连接。但这里的例子远程访问VPN 客户端的位置相对不固定，而数据包筛选器是静态的，会给VPN 的实现带来不便。这里选“来自一个指定的地址范围”。静态安排点击建。点确定。可以看到已经添加进去了。这里点否。可以看到

7、两个接口的作用，点完成。点击确定。是不是这样就可以了呢？不是，还要看下面配置。点端口右键。选属性。都打上勾。VPN 建立好了，由于本效劳器不是AD，所以要在计算机治理建立一个用户来作例子。在本地用户和组，用户下面建立一个WIN2003 的用户，虽然名字没取好，但都一样，呵呵。点 WIN2003 属性。这里确定要勾选允许访问。看图勾选。这里安排一个静态IP 地址下面来转向XP 客户端，在这里要配置VPN 连接。翻开网络连接，点建连接向导。上面那个连接是接入INTERNET，要建的是连接VPN 效劳器。点下一步。在这里选其次个。选虚拟专用网络连接，然后点下一步。刚建立好的VPN 效劳器名是“yan

8、gming“输入 VPN 效劳器接入INTERNET 的网卡地址。这里点只是我使用。点完成。然后就是登录。这里输入效劳器上添加的用户名和密码。可以看到连接上去了。可观察右下角有个连接的图标，单击它。这里说明一下效劳器IP 地址，为什么它不是 192.168.0.50.也就是LAN 内部网卡地址？而是在配置安排地址范围中的第一个IP 地址。VPN 是一个虚拟的网络，要区分实际的网卡地址。客户端的IP 地址也就是上面配置好的静态安排的地址。看一下它的属性。目的IP 是效劳器连接外部的地址。再看下面。可以看到这里的协议是PPTP。现在连接上去了，下面来测试一下： 先看客户端：一个是实际网卡的地址，一个是PPP ADAPTER 的地址。这可以看到是对的。这是 VPN 效劳器的地址，其中两个是实际网卡地址，一个是PPP ADAPTER 地址，可以看到它的地址是 192.168.0.60。这是在客户端测试连接内部的效劳器，可见可以连通了。再来看一下断掉VPN 连接能不能PING 通。可以看到，在客户端断掉了就连不通内部效劳器了。最终来看一下VPN 效劳器中的连接状态：可看到内部IP 是 192。168。0。60。根本完成。