目录
[11.1 项目背景](#11.1 项目背景)
[11.2 相关知识](#11.2 相关知识)
[1. 虚拟专用网络概述](#1. 虚拟专用网络概述)
[2. 虚拟专用网络的部署场合](#2. 虚拟专用网络的部署场合)
[11.3 项目过程](#11.3 项目过程)
[11.3.1 任务 1 项目环境设置](#11.3.1 任务 1 项目环境设置)
[11.3.2 任务 2 安装虚拟专用网络服务器](#11.3.2 任务 2 安装虚拟专用网络服务器)
[11.3.3 任务 3 配置并启用路由和远程访问服务](#11.3.3 任务 3 配置并启用路由和远程访问服务)
[11.3.4 任务 4 创建具有远程访问权限的用户](#11.3.4 任务 4 创建具有远程访问权限的用户)
[11.3.5 任务 5 在客户端上建立虚拟专用网络连接并登录](#11.3.5 任务 5 在客户端上建立虚拟专用网络连接并登录)
11.1 项目背景
铁道学院的教师去外地出差,在当地连上 Internet 后,想访问铁道学院内网的服务器资源。为了使出差的教职员工能够安全地访问铁道学院内网的服务器资源,需要在学院部署一台 VPN 服务器。
11.2 相关知识
1. 虚拟专用网络概述
虚拟专用网络(virtual private network, VPN)是一种在公用网络上建立专用网络的技术。VPN 之所以称为虚拟网,是因为整个 VPN 网络的任意两个节点之间的连接并没有传统专网所需要的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台上,如 Internet,ATM(异步传输模式),Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输,如图 11-1 所示。
虚拟专用网络具有以下特点:
(1)使用虚拟专用网络可降低成本。通过公用网来建立 VPN,可以节省大量的通信费用,不必投入大量的人力和物力去安装和维护 WAN(广域网)设备和远程访问设备。
(2)传输数据安全可靠。虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
(3)连接方便灵活。用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需要双方配置安全连接信息即可。
(4)支持最常用的网络协议。VPN 支持最常用的网络协议,如以太网、TCP/IP 和 IPX 等网络上的用户均可使用 VPN。不仅如此,VPN 也支持任何支持远程访问的网络协议,这意味着可以远程运行依赖于特殊网络协议的程序。
(5)完全控制。虚拟专用网使用户完全掌握自己网络控制权的同时,又可以利用 ISP 的设施和服务。用户只利用 ISP 提供的网络资源,对于其他的安全设置、网络管理变化可由自己掌控。
(6)管理方便灵活。架构 VPN 只需要较少的网络设备及物理线路,使网络的管理变得较为轻松;不论是分公司还是远程访问用户,均只需要通过一个公用网络端口或 Internet 的路径即可进入企业网络,公用网络承担了网络管理的重要工作,关键任务可获得所必须的带宽。
2. 虚拟专用网络的部署场合
通常来说,部署 VPN 的场合有以下两种:
(1)**远程访问 VPN(remote access VPN connection)**如图 11-2 所示,公司内部网络的 VPN 服务器已经连接到 Internet,而 VPN 客户端在外地利用无线网络、局域网等方式也连接到 Internet 后,就可以通过 Internet 来与公司 VPN 服务器创建 VPN,并通过 VPN 来与公司内部计算机安全通信。VPN 客户端就好像在公司内部网络中一样。
(2)**站点对站点 VPN 连接(site-to-site VPN connection)**如图 11-3 所示,站点对站点 VPN 连接又称路由器对路由器 VPN 连接(router-to-router VPN connection),图中两个局域网的 VPN 服务器都连接到 Internet,并且通过 Internet 创建 VPN,它让两个网络内的计算机相互之间可以通过 VPN 来安全通信,两地的计算机就好像是处在同一个网络中。
11.3 项目过程
项目过程可分为以下几个任务执行:
(1)设置项目环境。
(2)安装 VPN 服务器。
(3)配置并启用路由和远程访问服务。
(4)创建具有远程访问权限的用户。
(5)在客户端上建立 VPN 连接并登录。
11.3.1 任务 1 项目环境设置
开启 3 台虚拟机,一台运行 Windows Server 2022 操作系统;其余两台运行 Windows 10 操作系统,一台命名为 "Win101",另一台命名为 "Win102"。3 台虚拟机在本项目中的角色如下:
(1)运行 Windows Server 2022 操作系统的虚拟机作为 VPN 服务器。在 VPN 服务器上添加一块网卡,两块网卡的配置如下:
- ① Ethernet0(网络适配器 1):连接内网,设置 IP 地址为 "192.168.50.10/24",网络适配器设置为 "LAN 区段 1"。
- ② Ethernet1(网络适配器 2):连接外网,设置 IP 地址为 "192.168.150.10/24",网络适配器设置为 "LAN 区段 2"。
(2)虚拟机 Win101 作为内网中某台计算机,IP 地址设置为 "192.168.50.20/24",网络适配器设置为 "LAN 区段 1",创建一个文件夹 "mqwin101" 并共享。
(3)虚拟机 Win102 作为外网中 VPN 客户端,IP 地址设置为 "192.168.150.20/24",网络适配器设置为 "LAN 区段 2"。
提示:本项目并未真正连接到 Internet,而是用两个网段进行模拟,LAN 区段 1 模拟内网,LAN 区段 2 模拟外网。
11.3.2 任务 2 安装虚拟专用网络服务器
在 Windows Server 2022 操作系统中安装 VPN 服务器的具体操作步骤如下。
步骤 1 单击 "开始" 按钮,在打开的 "开始" 菜单中选择 "服务器管理器" 选项,打开 "服务器管理器" 窗口,选择 "添加角色和功能" 选项,打开 "添加角色和功能向导" 窗口,单击 "下一步" 按钮。
步骤 2 显示 "选择安装类型" 界面,保持选择 "基于角色或基于功能的安装" 单选按钮,单击 "下一步" 按钮。
步骤 3 显示 "选择目标服务器" 界面,选择 "从服务器池中选择服务器" 单选按钮,安装程序自动检测到服务器的网络连接,确认 VPN 服务器上两个网卡的 IP 地址无误后(如果 IP 地址异常,关闭 "添加角色和功能向导",然后从步骤 1 开始重新操作),单击 "下一步" 按钮,如图 11-4 所示。
步骤 4 显示 "选择服务器角色" 界面,勾选 "远程访问" 复选框,单击 "下一步" 按钮,如图 11-5 所示。
步骤 5 显示 "选择功能" 界面,保持默认设置,单击 "下一步" 按钮。
步骤 6 显示 "远程访问" 界面,查看远程访问简介,单击 "下一步" 按钮。
步骤 7 显示 "选择角色服务" 界面,勾选 "DirectAccess 和 VPN(RAS)" 复选框,弹出 "添加角色和功能向导" 对话框,单击 "添加功能" 按钮,返回 "选择角色服务" 界面,单击 "下一步" 按钮,如图 11-6 所示。
步骤 8 显示 "确认安装所选内容" 界面,单击 "安装" 按钮开始安装 VPN 服务器。
步骤 9 显示 "安装进度" 界面,待 VPN 服务器安装完成,单击 "关闭" 按钮,关闭 "添加角色和功能向导" 窗口,如图 11-7 所示。
11.3.3 任务 3 配置并启用路由和远程访问服务
默认情况下,VPN 服务器没有启用路由和远程访问服务,要启用该服务,可执行如下操作步骤。
步骤 1 在 "服务器管理器" 窗口中,选择 "工具"→"路由和远程访问" 选项,打开 "路由和远程访问" 窗口,右击服务器名称,在弹出的快捷菜单中选择 "配置并启用路由和远程访问服务" 选项,如图 11-8 所示。
步骤 2 弹出 "路由和远程访问服务器安装向导" 对话框,单击 "下一步" 按钮,如图 11-9 所示。
步骤 3 显示 "配置" 界面,选择 "远程访问(拨号或 VPN)" 单选按钮,单击 "下一步" 按钮,如图 11-10 所示。
步骤 4 显示 "远程访问" 界面,勾选 "VPN" 复选框,单击 "下一步" 按钮,如图 11-11 所示。
步骤 5 显示 "VPN 连接" 界面,网络接口选择 "Ethernet1",单击 "下一步" 按钮,如图 11-12 所示。
步骤 6 显示 "IP 地址分配" 界面,选择 "来自一个指定的地址范围" 单选按钮(如果企业内部网络中有 DHCP 服务器可以自动给 VPN 客户端分配 IP 地址,可选择 "自动" 单选按钮),单击 "下一步" 按钮,如图 11-13 所示。
步骤 9 显示 "正在完成路由和远程访问服务器安装向导" 界面,单击 "完成" 按钮,完成路由和远程访问服务器的安装,如图 11-16 所示。
11.3.4 任务 4 创建具有远程访问权限的用户
客户端远程访问 VPN 服务器时,必须验证用户的用户名和密码。客户端身份验证通过后,就可以访问 VPN 服务器中指定的资源。创建具有远程访问权限的用户的具体操作步骤如下。
步骤 1 在 VPN 服务器的 "服务器管理器" 窗口中,选择 "工具"→"计算机管理" 选项,打开 "计算机管理" 窗口,新建用户 "vpn1",如图 11-17 所示。
步骤 2 右击 "vpn1" 用户,在弹出的快捷菜单中选择 "属性" 选项,弹出 "vpn1 属性" 对话框,切换到 "拨入" 选项卡,网络访问权限选择 "允许访问" 单选按钮,单击 "确定" 按钮,保存设置,如图 11-18 所示。
11.3.5 任务 5 在客户端上建立虚拟专用网络连接并登录
在 VPN 客户端上建立 VPN 连接并登录的具体操作步骤如下。
步骤 1 在客户端 Win102 中,右击桌面上的 "网络" 图标,在弹出的快捷菜单中选择 "属性" 选项,打开 "网络和共享中心" 窗口,选择 "设置新的连接或网络" 选项,如图 11-19 所示。
步骤 2 弹出 "设置连接或网络" 对话框,选择 "连接到工作区" 选项,单击 "下一步" 按钮,如图 11-20 所示。
步骤 3 显示 "你希望如何连接" 界面,选择 "使用我的 Internet 连接(VPN)" 选项,如图 11-21 所示。
步骤 4 显示 "你想在继续之前设置 Internet 连接吗" 界面,选择 "我将稍后设置 Internet 连接" 选项,如图 11-22 所示。
步骤 5 显示 "键入要连接的 Internet 地址" 界面,在 "Internet 地址" 文本框中输入 VPN 服务器外网接口的 IP 地址 "192.168.150.10",单击 "创建" 按钮,完成 VPN 连接的创建,如图 11-23 所示。
步骤 6 在 "网络和共享中心" 窗口中,双击 "VPN 连接设置" 选项,打开 "网络连接" 窗口,如图 11-24 所示。
步骤 7 打开 "设置" 窗口,选择 "VPN 连接 Internet" 选项,单击 "连接" 按钮,如图 11-25 所示。
步骤 8 弹出用户登录对话框,输入具有远程访问权限的用户名和密码,单击 "确定" 按钮,如图 11-26 所示。
步骤 9 VPN 连接成功后,在 "网络连接" 窗口中,显示 VPN 连接,右击 "VPN 连接" 图标,在弹出的快捷菜单中选择 "状态" 选项,如图 11-27 所示。
步骤 10 弹出 "VPN 连接状态" 对话框,单击 "详细信息" 按钮,弹出 "网络连接详细信息" 对话框,在 "网络连接详细信息" 对话框中,查看 VPN 连接信息,其中客户端 "IPv4 地址" 是外网的远程客户端被分配为内网的 IP 地址 "192.168.50.51",如客户终端可以 ping 通,如图 11-28 所示。
步骤 11 在客户端上打开 "命令提示符" 窗口,ping 内网 VPN 服务器和 Win101 计算机的 IP 地址,可以 ping 通,如图 11-29 所示。
提示:此时 VPN 客户端再去 ping VPN 服务器外网接口地址不能 ping 通,在 VPN 配置之前可以 ping 通。
