Windows server 2003 *** 配置實例（Site to Site)

上例部署了遠程訪問***，在下面來部署一個站點到站點的實例：

站點到站點***連接的是兩個網絡。實現兩網絡內的計算機互訪。默認情況下，站點到站點***連接是請求撥號連接，只有當網絡流量必須通過此接口轉發（需要轉發IP數據包到對應的遠程網絡）時才建立連接。此時呼叫路由器（*** 客戶端）初始化這個連接，應答路由器（*** 服務器）偵聽連接請求，接收來自呼叫路由器的連接請求，並根據請求建立連接，並且在空閒一定時間（默認爲5分鐘）後斷開連接。可以配置連接爲永久連接方式，此時，***服務器會保持此連接的連接狀態，如果連接中斷則立即重新初始化連接。

爲了避免呼叫路由器建立不需要的連接，可以按照以下兩種方式來限制呼叫路由器建立請求的站點到站點***連接：

IP請求撥號篩選器。可以使用請求撥號篩選來決定哪種類型的IP流量不能導致請求撥號連接的建立，也可以配置哪種類型的IP流量可以導致連接的建立。配置請求撥號篩選的方法是：在路由和遠程訪問管理單元的節點中網絡接口右擊請求撥號接口，然後點擊請求撥號篩選器，進行設置。

撥出時間。可以使用撥出時間來配置允許或禁止呼叫路由器建立站點到站點***連接的時間段。配置撥出時間的方法是：在路由和遠程訪問管理單元的網絡接口節點中右擊請求撥號接口，然後點擊撥出時間。還可以使用遠程訪問策略來配置允許傳入請求撥號路由連接的時間。

站點到站點***連接可以分爲以下兩種類型：一種是單向初始化連接。在單向初始化連接中，一臺***路由器總是擔任呼叫路由器（***客戶端），而另一臺***路由器總是擔任應答路由器（***服務器）。當單向初始化的站點到站點連接成功創建後，呼叫路由器上將添加到達應答路由器所屬專用網絡的路由，但是應答路由器上不會添加到達呼叫路由器所屬專用網絡的路由，這種情況，應答路由器不能訪問呼叫路由器所屬的專用網絡，因此通常情況下較少使用單向初始化連接。單向初始化的連接需要滿足下列條件：應答路由器被配置爲LAN和請求撥號路由器；

在應答路由器上爲呼叫路由器的身份驗證憑據添加用戶帳戶；在應答路由器上配置了請求撥號接口，並且其名稱與呼叫路由器所使用的用戶帳戶名稱相同。這個請求撥號接口不是用於撥號的，因此它並沒有配置呼叫路由器的主機名或IP地址，也沒有配置有效的撥出用戶身份驗證信息。

如果採用L2TP/IPSec模式的站點到站點***連接，還需要在呼叫路由器上安裝客戶端身份驗證證書，在應答路由器上安裝服務器身份驗證證書；如果不安裝證書，則需要配置預共享的IPSec密鑰。

另一種是雙向初始化連接：

雙向初始化連接可以看做是兩個方向上的單向初始化連接，每個***路由器同時是呼叫路由器和應答路由器，向對方進行連接初始化和接受對方的站點到站點***連接請求。當站點到站點連接成功創建後，每個***路由器上均會添加到達對方路由器所屬專用網絡的路由，從而各自的專用網絡可以訪問遠端網絡。雙向初始化的站點到站點***連接需要滿足下列條件，

兩個路由器都被配置爲LAN和請求撥號路由器；

在每個路由器上爲遠端路由器的身份驗證憑據添加了用戶帳戶，並且配置了名字與呼叫路由器所使用的用戶帳戶名稱相同的請求撥號接口；

如果採用L2TP/IPSec模式的站點到站點***連接，還需要在每個路由器上同時安裝客戶端身份驗證證書和服務器身份驗證證書；如果不安裝證書，則需要配置預共享的IPSec密鑰。

在部署站點到站點***服務之前，你需要配置***服務器提供遠程訪問***服務，因爲本地***服務器會把遠端***服務器發起的站點到站點***連接請求當成是普通***客戶端計算機發起的遠程訪問***連接請求進行處理。遠程訪問客戶端和請求撥號路由器都可以初始化一個***連接，那麼***服務器是如何區分它們呢？

當遠程訪問客戶端和請求撥號路由器向***服務器初始化***連接時，它們所發送的身份驗證信息中包含用於初始化連接的用戶名；如果響應這個連接請求的***服務器（應答路由器）上具有和此用戶名一致的請求撥號接口，那麼這個連接就是請求撥號連接；否則，這個傳入的連接就是遠程訪問連接。

看了一下前言之後，下面來部署：

圖中防火牆就是兩臺要部署***的服務器2003。廣州這個區域是總管理處網絡（192.168.0.0/24）連接到Internet的網關（200.200.0.1/24)。湛江這邊是財務處網絡(172.16.0.0/24)；連接到internet的網關(200.200.0.2/24)。在這裏說明一下INTERNET設在同一個網段內是爲了方便部署。

下面先在廣州這臺計算機上配置：