《网络操作系统（Windows Server 2008）》项目11、配置VPN服务器

项目十一

配置VPN服务器1目录配置VPN服务器1配置VPN客户端2配置网络策略和访问服务32前言VPNVPN（VirtualPrivateNetwork）即虚拟专用网络，它通过一个公用网络（如Internet）建立一个临时、安全、模拟的点对点连接。这个连接通道是一条穿越公用网络的信息隧道，数据可以通过这条隧道在公用网络中安全地传输，因此用户也形象的称之为“网络中的网络”。要保证VPN客户端能安全接入VPN服务器，需要使用VPN网络策略和访问服务。3任务一配置VPN服务器【任务引入】虚拟专用网络（VPN）是在公用网络上通过数据加密技术建立的专用网络通道，VPN的适用范围非常广泛，如企业远程用户需要实现远程访问，对通信线路的保密性和可用性要求较高的用户（如证券、保险企业），企业原有专线网络连接的备份等。4任务一配置VPN服务器【任务分析】配置VPN服务器需要一台装有两块网卡的高性能PC机并安装WindowsServer2008操作系统，网络拓扑如图11-1所示。5图11-1VPN网络拓扑图任务一配置VPN服务器【操作步骤】1．安装SMTP服务器（1）选择“开始”菜单的“服务器管理器”，单击“功能”，然后在右边单击“添加功能”，如图10-1所示。（2）进入到“选择功能”对话框，选中“SMTP服务器”复选框，此时将会弹出“添加角色向导→是否添加SMTP服务器所需的角色服务和功能”对话框，单击“添加必需的角色服务”按钮，如图10-2所示。6任务二配置VPN客户端【操作步骤】

1．VPN服务器IP地址配置在配置VPN服务器前先配置VPN服务器的外网IP地址为192.168.1.2/24，内网IP地址为192.168.2.1/24。2．安装“远程和路由服务”（1）打开服务器管理器，如图11-2所示，在左侧窗口单击“角色”项，在右侧窗口单击“添加角色”项，弹出“添加角色向导”窗口，如图11-3所示。7任务二配置VPN客户端8图11-2服务器管理器窗口图11-3添加角色向导窗口任务二配置VPN客户端【操作步骤】

（2）在“添加角色向导”窗口左侧单击“服务器角色”项，在右侧的角色中选择“网络策略和访问服务”角色。两次单击“下一步”按钮后，在右侧的“角色服务”中选择“路由和远程访问服务”及相关组件，如图11-4所示。单击下一步，确认安装的选项，在该窗口列举了前面选择的待安装项，确认所选择的组件是否正确，如图11-5所示。9任务二配置VPN客户端10图11-4添加“路由和远程访问服务”窗口图11-5确认安装组件窗口任务二配置VPN客户端【操作步骤】

（3）确认后单击“安装”按钮，开始安装所选择的路由和远程访问服务组件，安装进度如图11-6所示。安装“路由和远程访问服务”成功的窗口如图11-7所示。11任务二配置VPN客户端12图11-6组件安装进度窗口图11-7安装组件成功窗口任务二配置VPN客户端【操作步骤】

3．打开“路由和远程访问”配置窗口通过“开始”→“管理工具”→“路由和远程访问”的方式打开“路由和远程访问”配置窗口，图11-8所示。13图11-8路由和远程访问窗口任务二配置VPN客户端【操作步骤】

4．VPN服务器配置（1）在左侧窗口右键单击主机名，如WEB（本地），在弹出的菜单中选择“配置并启用路由和远程访问”菜单项，弹出“路由和远程访问服务器安装向导”窗口，如图11-9所示。选择“远程访问(拨号或VPN)”单选按钮，单击“下一步”按钮，弹出“路由和远程访问服务器安装向导”的远程访问方式窗口，如图11-10所示。选择“VPN”复选框，单击“下一步”按钮，弹出“VPN连接”窗口，如图11-11所示。14任务二配置VPN客户端15图11-9路由和远程访问服务器安装向导窗口图11-10“远程访问”方式窗口任务二配置VPN客户端【操作步骤】

（2）在图11-11中选择用来连接因特网的网络接口（图11-11中的外网卡），这里默认会选择最下方的复选框，它会通过静态数据包筛选器让此网络接口只接受与VPN有关的数据包，其他类型的数据包会被封锁，因此可增加安全性，单击“下一步”按钮，弹出“IP地址分配”窗口，用于选择分配IP地址给VPN客户端的方式，如图11-12所示。16任务二配置VPN客户端17图11-11“VPN连接”窗口图11-12IP地址分配方式窗口任务二配置VPN客户端【操作步骤】

（3）如果选择自动，则VPN服务器会先向DHCP服务器租用IP地址，然后将其分配给客户端；若VPN服务器无法从DHCP服务器取得IP地址，则VPN客户端将取得169.254.x.x的IP地址，不过无法通过此IP与内部计算机通信。如果选择来自一个指定的地址范围，单击“下一步”按钮，需要手动设置一个IP地址范围，VPN服务器会从这个范围中挑选IP地址给VPN客户端。本任务中选择此项，单击“下一步”按钮，弹出“编辑IP地址范围”窗口，IP地址配置如图11-13所示。单击“下一步”按钮，弹出“认证方式”窗口，如图11-14所示。18任务二配置VPN客户端19图11-13编辑IP地址范围窗口图11-14“认证方式”窗口任务二配置VPN客户端【操作步骤】

（4）因为本次任务的VPN服务器是独立服务器，可以通过本地用户来验证用户名与密码，故不需要使用RADIUS验证，本次任务选择“否”单选按钮，单击“下一步”按钮，弹出“完成路由和远程访问服务器安装向导”窗口，如图11-15所示，单击“完成”按钮，完成VPN服务器配置。20任务二配置VPN客户端【操作步骤】

5．赋予用户远程访问的权限系统默认情况下所有用户都没有连接VPN服务器的权限，因此必须另行开放，本次任务利用本地用户Administrator来连接VPN服务器，配置方式是：打开“计算机管理”→“本地用户和组”→“用户”，在用中双击Administrator帐号,弹出“Administrator”帐号的属性窗口，如图11-16所示，选择“拨入”选项卡中的“允许访问”单选按钮，,单击确定完成配置。21任务二、配置SMTP服务器22图11-15“完成路由和远程访问服务器安装向导”窗口图11-16“Administrator”帐号的属性窗口任务二配置VPN客户端【任务引入】虚拟专用网络（VPN）是在公用网络上通过数据加密技术建立的专用网络通道，VPN的适用范围非常广泛，如企业远程用户需要实现远程访问，对通信线路的保密性和可用性要求较高的用户（如证券、保险企业），企业原有专线网络连接的备份等。23任务二配置VPN客户端【任务分析】VPN服务器与配置VPN客户机的计算机都必需接入互联网，并能够正常通信，然后在VPN客户端上新建与VPN服务器之间的VPN连接。不过本次任务环境中并不通过因特网，根据图11-1所示直接将VPN客户端与VPN服务器连接在同一个网段上，配置VPN客户机的计算机IP地址配置为192.168.1.3。24任务二配置VPN客户端【操作步骤】（1）在配置VPN客户端的计算机上单击“开始”→“控制面板”→“网络和共享中心”，打开网络和共享中心窗口，如图11-17所示。25图11-17网络和共享中心窗口任务二配置VPN客户端【操作步骤】（2）在“更改网络设置”区域单击“设置新的连接或网络”，弹出设置连接或网络窗口，如图11-18所示。26图11-18设置连接或网络窗口任务二配置VPN客户端【操作步骤】（3）单击“连接到工作区”项，单击“下一步”按钮，弹出连接到工作区窗口，如图11-19所示。27图11-19连接到工作区窗口任务二配置VPN客户端【操作步骤】（4）单击“使用我的Internet连接(VPN)”项,弹出要连接VPN服务器IP地址窗口，如图11-20所示。在连接VPN服务器信息窗口的“Internet地址”栏中输入VPN服务器外网卡的IP地址192.168.1.2；目标名称栏可以随意填写，为创建VPN连接的名称，建议写一个有意义的名称；选择“现在不连接；仅进行设置以便稍后连接”复选框；单击“下一步”按钮，弹出键入VPN服务器的用户名和密码窗口，如图11-21所示。28任务二配置VPN客户端29图11-20要连接VPN服务器IP地址窗口图11-21键入VPN服务器的用户名和密码窗口任务二配置VPN客户端【操作步骤】（5）在图11-21窗口的用户名文本框中输入用来连接VPN服务器的用户名，如Administrator，在密码文本框中输入Administrator用户名的密码，单击“创建”按钮，弹出连接已经可以使用窗口，如图11-22所示，暂时不要连接，单击“关闭”按钮。30任务二配置VPN客户端31图11-22连接已经可以使用窗口任务二配置VPN客户端【操作步骤】（6）在图11-17所示的窗口的左侧单击“更改适配器设置”项，弹出网络连接窗口，如图11-23所示，选中刚才创建的VPN连接，在“VPN连接”上单击右键，选择“连接”菜单项,建立与VPN服务器的连接。32任务二配置VPN客户端33图11-23网络连接窗口任务二配置VPN客户端【操作步骤】（7）连接成功后，在图11-23所示的窗口中双击“VPN连接”，弹出VPN连接状态窗口，如图11-24所示。单击“详细信息”按钮，弹出网络连接详细信息窗口，如图11-25所示。由图可知，该VPN连接的IP地址为VPN服务器的内网地址，即将该VPN客户机映射成为内网主机。34任务二配置VPN客户端35图11-24VPN连接状态窗口图11-25网络连接详细信息窗口任务二配置VPN客户端【操作步骤】（8）在如图11-26所示“cmd.exe”窗口执行ping192.168.2.1命令，测试结果表示连接内网成功。36图11-26访问VPN服务器成功任务三配置网络策略和访问服务【任务引入】为了保障VPN客户端拨入VPN服务器的安全性,VPN账户拨入需要引入网络策略和访问服务,实现VPN客户端账户拨入控制。37任务三配置网络策略和访问服务【任务分析】在VPN客户端正常拨入VPN服务器的情况下,在VPN服务器上搭建网络策略服务器,配置连接请求策略和网络策略。38任务三配置网络策略和访问服务【操作步骤】1．搭建网络策略服务器（1）打开如图11-27所示的服务器管理器窗口，在左侧窗口单击“角色”项，在右侧窗口单击“添加角色服务”项，弹出添加角色服务窗口，单击左侧的“角色服务”项，在右侧的角色服务下面选择网络策略服务器复选框，如图11-28所示。39任务三配置网络策略和访问服务40图11-27服务器管理器窗口图11-28添加角色服务窗口任务三配置网络策略和访问服务【操作步骤】

（2）单击“下一步”按钮，弹出“确认安装选择”窗口，在该窗口列举了前面选择的待安装项，确认所选择的组件是否正确，如图11-29所示。（3）确认无误后单击“安装”按钮，开始安装所添加的网络策略和访问服务组件，安装进度如图11-30所示。41任务三配置网络策略和访问服务42图11-29确认安装选择窗口图11-30网络策略和访问服务安装进度窗口任务三配置网络策略和访问服务【操作步骤】

（4）安装完成后弹出“安装结果”窗口，如图11-31所示。（5）完成安装后可以依次单击“开始”→“管理工具”→“网络策略服务器”菜单项打开网络策略服务器窗口，如图11-32所示。43任务三配置网络策略和访问服务44图11-31网络策略服务器安装完成窗口图11-32网络策略服务器窗口任务三配置网络策略和访问服务【操作步骤】

（6）在任务二中使用了Administrator帐号拨入了VPN服务器，如果该帐号要启用网络策略控制访问，需要修改该帐号的拨入网络访问权限。配置方法为：依次单击“开始”→“管理工具”→“计算机管理”→“本地用户和组”→“用户”，双击Administrator帐号,弹出“Administrator属性”窗口，选择“拨入”选项卡，设置网络访问权限为“通过NPS网络策略控制访问”,如图11-33所示。单击“应用”按钮，使配置生效。45任务三配置网络策略和访问服务46图11-33Administrator属性窗口任务三配置网络策略和访问服务【操作步骤】

2．配置连接请求策略（1）在图11-32所示的窗口左侧的“连接请求策略”项上点右键，弹出菜单如图11-34所示，单击“新建”菜单项，弹出“新建连接请求策略”窗口，如图11-35所示。47任务三配置网络策略和访问服务48图11-34网络策略服务器窗口图11-35新建连接请求策略窗口任务三配置网络策略和访问服务【操作步骤】

（2）在“策略名称”文本框为新建的连接请求策略起个有意义的名称，网络连接方式选择“网络访问服务器的类型”单选按钮，在其下拉列表中选择“远程访问服务器(VPN-Dialup)”。单击“下一步”按钮，弹出“选择条件”窗口，如图11-36所示。49任务三配置网络策略和访问服务50图11-36选择条件窗口任务三配置网络策略和访问服务【操作步骤】

（3）双击“日期和时间限制”项，弹出“时间和日期限制”窗口。如图11-37所示，指定VPN客户端连接VPN服务器的时间条件，比如指定条件星期一（00:00-18：00）到星期日（00:00-18：00）可以连接VPN服务器，其他时间禁止连接VPN服务器。配置完时间后，单击“确认”按钮，弹出“指定条件”窗口，如图11-38所示。51任务三配置网络策略和访问服务52图11-37日期和时间限制窗口图11-38指定条件窗口任务三配置网络策略和访问服务【操作步骤】

（4）确定选择的条件是否符合要求，是否需要另外添加新的条件，确认正确后点击“下一步”按钮，弹出“指定连接请求转发功能”窗口，如图11-38所示。53图11-39指定连接请求转发功能窗口任务三配置网络策略和访问服务【操作步骤】

（5）在“指定连接请求转发功能”窗口中，单击左侧的“身份验证”项，选择右侧的“在此服务器上对请求进行身份验证”。单击“下一步”按钮，弹出“指定身份验证方法”窗口，如图11-40所示，单击“下一步”按钮，此处默认即可，因为稍候还要设置网络策略，在网络策略中设置身份验证，单击“下一步”按钮，弹出完成连接请求策略窗口，如图11-41所示，单击“完成”按钮，完成连接请求策略建立。54任务三配置网络策略和访问服务55图11-40指定身份验证方法窗口图11-41完成连接请求策略窗口任务三配置网络策略和访问服务【操作步骤】

（6）再次打开“网络策略服务器”窗口，单击左侧的“连接请求策略”项，打开连接请求策略，把新建好的策略处理顺序移到合适的位置，如图11-42所示。56图11-42调整VPN连接策略处理顺序任务三配置网络策略和访问服务【操作步骤】

3．配置网络策略

（1）在图11-32所示的窗口左侧的“网络策略”项上点右键，弹出菜单如图11-43所示，单击“新建”菜单项，弹出新建网络策略窗口，如图11-44所示。57任务三配置网络策略和访问服务58图11-43网络策略服务器窗口图11-44新建网络策略窗口任务三配置网络策略和访问服务【操作步骤】

（2）在“策略名称”文本框为新建的网络策略起个有意义的名称，网络连接方式选择“网络访问服务器的类型”单选按钮，在其下拉列表中选择“远程访问服务器(VPN-Dialup)”。单击“下一步”按钮，弹出“网络策略指定条件”窗口，如图11-45所示，单击“添加”按钮，弹出“选择条件”窗口，如图11-46所示，在此窗口，找到“日期和时间限制”项并双击此项，弹出“日期和时间限制”窗口，如图11-47所示。59任务三配置网络策略和访问服务60图11-45网络策略指定条件窗口图11-46网络策略选择条件窗口图11-47日期和时间限制窗口任务三配置网络策略和访问服务【操作步骤】

（3）在“日期和时间限制”窗口指定允许VPN客户端拨入VPN服务器的具体时间。比如允许星期一到星期日的凌晨零点到下午6点之前进行登录VPN服务器。设置允许或限制日期后单击“确认”按钮，弹出“指定条件”窗口，如图11-48所示。61图11-48指定条件窗口任务三配置网络策略和访问服务【操作步骤】

（4）单击“下一步”按钮，弹出“指定访问权限”窗口，