使用Windows Server 2003架设***服务器(PPTP)

笔者在前几篇博文中介绍了如何使用思科的路由器来架构PPTP、L2TP这类传统的***技术。但其实在实际工作中，在***设备的选择上会有两类：一种是使用硬件专用***设备，例如思科的ISR路由器、ASA防火墙、Juniper、CheckPoint、华为、深信服等硬件设备，它们的特点是操作简单，***功能强大，有自己的客户端软件，但价格往往很贵。一般都是按在线用户数来收费，例如思科的Anyconnect ***,一个用户的许可就要几百元；另一种就是使用软件***服务器，例如在Windows 架设 PPTP、L2TP、SSTP等服务器，这样一台服务器的性能取决于它的硬件，只有硬件够用，增加用户数并不会增加支出。通常PPTP等***是不会使用思科路由器来做为服务器的，且整机量也不如服务器高。下面讲解最基本的在windows Server 2003上架设***。

一般的企业会在网络出口放置一台防火墙或路由器，然后下连核心交换机，而服务器放在内网服务器区域DMZ区域。下面给出一个架构图供大家参考：

企业使用一台防火墙做为互联网接入和外部服务器发布，防火墙把网络分为三个区域，Trust区域（一般就是内网区域），Untrust区域（一般是外网）和DMZ区域(一个在Trust和Untrust之间的区域）。***服务器建议放在DMZ区域中，使用策略进行管理，可以只放行相应的流量。

以下是今天的实验的网络拓扑图：

路由器配置如下：

Internet(config)#int f0/0
Internet(config-if)#ip add 12.1.1.2 255.255.255.0
Internet(config-if)#no shut
Internet(config-if)#int f1/0
Internet(config-if)#ip add 23.1.1.2 255.255.255.0
Internet(config-if)#no shut

R1(config)#int f0/0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int f2/0
R1(config-if)#ip add 10.0.2.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int lo 0
R1(config-if)#ip add 10.0.1.1 255.255.255.0
R1(config-if)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#int lo 0
R1(config-if)#ip nat inside
R1(config-if)#access-list 100 permit ip 10.0.0.0 0.255.255.255 any 
R1(config)#ip nat inside source list 100 interface f0/0 overload
R1(config)#ip nat inside source static 10.0.2.10 12.1.1.10

Windows Server2003配置如下：

配置完服务器，使用XP拨号进行测试，可以拨通，测试如下：

关于客户端的配置，见我的另一篇博文：http://senyang.blog.51cto.com/3427514/1652654