×××的理論知識就不用多講了,本次教程一共五個章節,分別是
PPTP ×××
L2TP ×××
SSPT ×××
基於PPTP的站點到站點×××
基於L2TP的站點到站點×××
首先來做一下最簡單的PPTP×××,如圖環境中bjtmg爲TMG防火牆,未加入域;bjdc.zf.com是域控制器、CA服務器、RADIUS服務器;防火牆的外部是一臺Win7的客戶端
1.定義地址分配
在TMG控制檯左側點擊【遠程訪問策略(×××)】,選擇右側【定義地址分配】,來爲撥入的×××客戶端設置IP地址分配範圍
添加靜態地址池,設置一個IP地址範圍。
注意:此IP地址範圍不要同內網IP地址處在同一個網段
2.指定RADIUS服務器
由於TMG服務器未加入到域中,客戶端在用域賬號進行撥入時只能通過域內的RADIUS服務器來做身份驗證,TMG將客戶端驗證請求提交給RADIUS服務器,RADIUS服務器驗證通過後授權客戶端撥入訪問
切換到 【RADIUS】選項卡,首先勾選【使用RADIUS進行身份驗證】和【使用RADIUS記賬】;然後打開【RADIUS服務器】進行設置
添加RADIUS服務器
指定RADIUS服務器的地址以即共享的機密
共享機密我設置的是1982,稍後在RADIUS服務器也要設置共享機密爲1982
打開TMG控制檯右側【配置×××客戶端訪問】
切換到【常規】選項卡,勾選【啓用×××客戶端訪問】
注意:【允許的最大×××客戶端數量】不要超過分配地址範圍中的數量
切換到【協議】選項卡,勾選【啓用PPTP】
確定後別忘了應用配置使其生效
回到TMG控制檯單擊【監視】項中的【配置】,確定服務器和配置存儲是否爲【已同步】
3.部署與配置RADUIS服務器
部署RADUIS服務器將部署在DC上,在bjdc上打開服務器管理器
添加角色
選擇【網絡策略和訪問服務】
選擇【網絡策略服務器】
點擊【安裝】後開始部署
部署完成後,要對RADIUS服務器進行設置
在【角色】中展開【網絡策略和訪問服務】-【NPS(本地)】-【RADIUS客戶端和服務器】;在【RADIUS】客戶端上右鍵選擇【新建】
來指定一個RADIUS客戶端
設置RADIUS客戶端IP地址,這裏就是bjtmg的IP地址192.168.3.254
共享機密和bjtmg上設置的一樣,爲1982
4.設置用戶撥入權限
在AD用戶和計算機中打開用戶屬性
切換到【撥入】選項卡,選擇【允許訪問】
5.客戶端設置
建立一個新的撥號連接
選擇【連接到工作區】
選擇【使用我的Internet連接(×××)】
指定×××服務器的IP地址和撥號連接的名稱
這裏地址要填bjtmg的外網IP地址222.16.2.2
指定有撥入權限的賬號和密碼
撥號連接創建完畢後,打開屬性,切換到【安全】選項卡,設置×××類型爲【PPTP】
確定後客戶端就可以撥入了
6.測試撥入
打開×××撥號連接,點擊【連接】後開始撥入
撥入後可以用ipconfig命令查看,發現已經分配到×××地址,說明撥入成功
在bjtmg上的【路由和遠程訪問】中也可以看到撥入成功,撥入的×××類型爲PPTP
回到客戶端上ping一下內部DC,發現ping不通,也無法通過網絡訪問DC上的資源,這是因爲TMG默認不允許×××客戶端與內部進行通訊
要讓這兩個網絡實現通訊就需要在TMG上創建一條訪問規則
在TMG控制檯上新建一條訪問規則,允許×××客戶端訪問內部網絡所有的資源
設置規則名稱
選擇【允許】
選擇【所有出站通訊】
訪問源選擇【×××客戶端】
訪問目標選擇【內部】
選擇【所有用戶】
點擊【完成】訪問規則建立完畢
此時再次ping DC服務器已經可以ping通了,也可以訪問到DC上的共享資源