笔者在前几篇博文中介绍了如何使用思科的路由器来架构PPTP、L2TP这类传统的***技术。但其实在实际工作中,在***设备的选择上会有两类:一种是使用硬件专用***设备,例如思科的ISR路由器、ASA防火墙、Juniper、CheckPoint、华为、深信服等硬件设备,它们的特点是操作简单,***功能强大,有自己的客户端软件,但价格往往很贵。一般都是按在线用户数来收费,例如思科的Anyconnect ***,一个用户的许可就要几百元;另一种就是使用软件***服务器,例如在Windows 架设 PPTP、L2TP、SSTP等服务器,这样一台服务器的性能取决于它的硬件,只有硬件够用,增加用户数并不会增加支出。通常PPTP等***是不会使用思科路由器来做为服务器的,且整机量也不如服务器高。下面讲解最基本的在windows Server 2003上架设***。
一般的企业会在网络出口放置一台防火墙或路由器,然后下连核心交换机,而服务器放在内网服务器区域DMZ区域。下面给出一个架构图供大家参考:
企业使用一台防火墙做为互联网接入和外部服务器发布,防火墙把网络分为三个区域,Trust区域(一般就是内网区域),Untrust区域(一般是外网)和DMZ区域(一个在Trust和Untrust之间的区域)。***服务器建议放在DMZ区域中,使用策略进行管理,可以只放行相应的流量。
以下是今天的实验的网络拓扑图:
路由器配置如下:
Internet(config)#int f0/0 Internet(config-if)#ip add 12.1.1.2 255.255.255.0 Internet(config-if)#no shut Internet(config-if)#int f1/0 Internet(config-if)#ip add 23.1.1.2 255.255.255.0 Internet(config-if)#no shut
R1(config)#int f0/0 R1(config-if)#ip add 12.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#int f2/0 R1(config-if)#ip add 10.0.2.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#int lo 0 R1(config-if)#ip add 10.0.1.1 255.255.255.0 R1(config-if)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
R1(config)#int f0/0 R1(config-if)#ip nat outside R1(config-if)#int f1/0 R1(config-if)#ip nat inside R1(config-if)#int lo 0 R1(config-if)#ip nat inside R1(config-if)#access-list 100 permit ip 10.0.0.0 0.255.255.255 any R1(config)#ip nat inside source list 100 interface f0/0 overload R1(config)#ip nat inside source static 10.0.2.10 12.1.1.10
Windows Server2003配置如下:
配置完服务器,使用XP拨号进行测试,可以拨通,测试如下:
关于客户端的配置,见我的另一篇博文:http://senyang.blog.51cto.com/3427514/1652654