部署Windows Server 2003中的站點到站點×××連接
站點到站點×××連接是一種請求撥號連接,它使用×××隧道協議(PPTP或L2TP/IPSec)來連接不同的專用網絡,連接兩端的每個×××服務器都提供一個到達自己所屬本地專用網絡的路由連接。和遠程訪問×××將一臺單獨的計算機連接到網絡中不同,站點到站點×××連接連接整個網絡。當兩臺×××服務器創建站點到站點×××連接後,連接兩端的×××所屬的專用網絡均可以訪問另一端的遠程網絡,就像訪問本地網絡一樣。 0 W% k1 @; Y; G6 f0 o8 u" ~( \
默認情況下,站點到站點×××連接是請求撥號連接,只有當網絡流量必須通過此接口轉發(需要轉發IP數據包到對應的遠程網絡)時才建立連接。此時呼叫路由器(××× 客戶端)初始化這個連接,應答路由器(××× 服務器)偵聽連接請求,接收來自呼叫路由器的連接請求,並根據請求建立連接,並且在空閒一定時間(默認爲5分鐘)後斷開連接。你可以配置連接爲永久連接方式,此時,×××服務器會保持此連接的連接狀態,如果連接中斷則立即重新初始化連接。
爲了避免呼叫路由器建立不需要的連接,您可以按照以下兩種方式來限制呼叫路由器建立請求的站點到站點×××連接: 3 v& Y* S- U% r
3 \5 F' w3 T1 I" N9 D7 ~- g
IP請求撥號篩選器。你可以使用請求撥號篩選來決定哪種類型的IP流量不能導致請求撥號連接的建立,也可以配置哪種類型的IP流量可以導致連接的建立。配置請求撥號篩選的方法是:在路由和遠程訪問管理單元的網絡接口節點中右擊請求撥號接口,然後點擊設置IP請求撥號篩選器。關於IP請求撥號篩選器更詳細的信息,請參見深入理解路由和遠程訪問服務中的篩選器和基本防火牆一文。 4 q) W8 |: Z6 `+ j) x/ _
撥出時間。你可以使用撥出時間來配置允許或禁止呼叫路由器建立站點到站點×××連接的時間段。配置撥出時間的方法是:在路由和遠程訪問管理單元的網絡接口節點中右擊請求撥號接口,然後點擊撥出時間。你還可以使用遠程訪問策略來配置允許傳入請求撥號路由連接的時間。
' G) q$ F8 H. C7 I0 R
根據初始化的方向,站點到站點×××連接可以分爲以下兩種類型: ! V/ {9 h# {. Y8 W
單向初始化連接 4 i( S7 |. L( Y* a
在單向初始化連接中,一臺×××路由器總是擔任呼叫路由器(×××客戶端),而另一臺×××路由器總是擔任應答路由器(×××服務器)。當單向初始化的站點到站點連接成功創建後,呼叫路由器上將添加到達應答路由器所屬專用網絡的路由,但是應答路由器上不會添加到達呼叫路由器所屬專用網絡的路由,這種情況,應答路由器不能訪問呼叫路由器所屬的專用網絡,因此通常情況下較少使用單向初始化連接。單向初始化的連接需要滿足下列條件: / Q% c! V9 V5 N; N0 l- p
應答路由器被配置爲LAN和請求撥號路由器;
在應答路由器上爲呼叫路由器的身份驗證憑據添加用戶帳戶;在應答路由器上配置了請求撥號接口,並且其名稱與呼叫路由器所使用的用戶帳戶名稱相同。這個請求撥號接口不是用於撥號的,因此它並沒有配置呼叫路由器的主機名或IP地址,也沒有配置有效的撥出用戶身份驗證信息。 + o, b0 `% r& v% [; I7 J8 D
6 b! f# [+ g; d5 K
如果採用L2TP/IPSec模式的站點到站點×××連接,還需要在呼叫路由器上安裝客戶端身份驗證證書,在應答路由器上安裝服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。 & X$ g8 i) K4 j( \
8 b0 {0 p8 |' v1 S5 J& l2 R6 x7 R
雙向初始化連接 ' p+ ^" ]. `) m0 e& u+ v0 }
雙向初始化連接可以看做是兩個方向上的單向初始化連接,每個×××路由器同時是呼叫路由器和應答路由器,向對方進行連接初始化和接受對方的站點到站點×××連接請求。當站點到站點連接成功創建後,每個×××路由器上均會添加到達對方路由器所屬專用網絡的路由,從而各自的專用網絡可以訪問遠端網絡。雙向初始化的站點到站點×××連接需要滿足下列條件:
}4 x1 k& U3 K; V
兩個路由器都被配置爲LAN和請求撥號路由器; # N9 J% J3 O$ H w$ q4 @! _
0 b8 q# }1 s" Z
在每個路由器上爲遠端路由器的身份驗證憑據添加了用戶帳戶,並且配置了名字與呼叫路由器所使用的用戶帳戶名稱相同的請求撥號接口; . j/ D/ C# t- [: S
6 u \ C1 H7 M4 m, o4 ^/ k5 }
如果採用L2TP/IPSec模式的站點到站點×××連接,還需要在每個路由器上同時安裝客戶端身份驗證證書和服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。
在部署站點到站點×××服務之前,你需要配置×××服務器提供遠程訪問×××服務,因爲本地×××服務器會把遠端×××服務器發起的站點到站點×××連接請求當成是普通×××客戶端計算機發起的遠程訪問×××連接請求進行處理。遠程訪問客戶端和請求撥號路由器都可以初始化一個×××連接,那麼×××服務器是如何區分它們呢?
當遠程訪問客戶端和請求撥號路由器向×××服務器初始化×××連接時,它們所發送的身份驗證信息中包含用於初始化連接的用戶名;如果響應這個連接請求的×××服務器(應答路由器)上具有和此用戶名一致的請求撥號接口,那麼這個連接就是請求撥號連接;否則,這個傳入的連接就是遠程訪問連接。
本文中的試驗在How to :部署Windows Server 2003中的遠程訪問×××服務一文的基礎上進行,試驗網絡結構如下圖所示,
![]()
: I, b3 m4 W6 ^3 W/ [
Munich是總部網絡(10.1.1.0/24)連接到Internet的網關,而Perth是分部網絡(172.16.1.0/24)連接到Internet的網關。它們的操作系統均爲Windows Server 2003 SP1,IP地址設置如下: , M/ K' l/ T, }: G/ }3 T
Munich:
Internet:61.139.0.1/24 " `8 k! y. A+ C' o. k5 {: T2 ^
: x4 C9 @$ @' W1 z8 o, `9 B; a3 _
HQ LAN:10.1.1.1/24
Perth: 2 T; s7 a# k& b+ i; m) m; P
u! t/ o4 j( ^1 I$ c& S9 g4 {
Internet:61.139.0.8/24
u
Branch LAN:172.16.1.1/24 ! F/ `- I% y, m- H) k; n
在這篇文章中,我將在Munich和Perth之間創建站點到站點的×××連接,從而允許總部網絡和分部網絡間的訪問。 ) r* p9 E- F- ^) J8 N! i7 E) O
完整的配置一個雙向初始化連接的站點到站點×××連接包含以下步驟: " {% [9 G: ]8 i. b4 [
5 B [# B! m' p5 {8 x( R
在兩臺×××服務器上分別啓用遠程訪問×××;
在兩臺×××服務器上分別創建請求撥號連接; 1 @) j# H2 |: [% d% u- U9 q* X: J
在兩臺×××服務器上分別創建遠端×××服務器用於初始化站點到站點×××連接的撥入用戶賬戶,此用戶必須和本地×××服務器上創建的請求撥號連接同名; 3 f6 k* U( \- J; o4 C+ c
如果使用L2TP/IPSec模式的×××連接,還需要在每臺×××服務器上安裝服務器身份驗證證書和客戶端身份驗證證書。
# e/ F3 k* ~$ p" w
在進行此站點到站點×××連接試驗之前,我已經做好了以下配置: : B0 T. Z# K7 X1 F) e4 Q
在兩臺服務器上啓用了遠程訪問×××服務;
因爲需要配置L2TP/IPSec模式的站點到站點×××連接,我已經爲每臺×××服務器安裝好了服務器身份驗證證書和客戶端身份驗證證書。如下圖所示:
![]()
以上配置可以參考How to :部署Windows Server 2003中的遠程訪問×××服務一文。 9 F5 `; q0 Z. y3 I0 y" {
因此,這篇文章中的試驗只是包含創建請求撥號連接和撥入用戶兩部分,在創建請求撥號連接時,嚮導可以幫你自動創建撥入用戶。詳細的試驗步驟如下: 0 M" J* [: G( N( ?; \
/ e/ P7 _3 C5 M1 |$ {' }/ j3 n
在總部的×××服務器Munich上創建請求撥號連接和撥入用戶; 4 V) i" q" g( e4 q7 J3 O
' V8 p' M/ A2 _
在分部的×××服務器Perth上創建請求撥號連接和撥入用戶;
, i' f8 F
測試L2TP/IPSec模式的站點到站點連接;
測試PPTP模式的站點到站點連接; * O( }0 M0 r/ l5 g! Z
在總部的×××服務器Munich上創建請求撥號連接和撥入用戶
在Munich上的路由和遠程訪問管理控制檯中,點擊網絡接口,然後在右邊面板空白處右擊,選新建請求撥號接口; ) E U% x i2 q8 e
![]()
/ }; u! k8 U- e! l0 G$ E
在彈出的歡迎使用請求撥號接口嚮導頁,點擊下一步;
在接口名稱頁,由於此請求撥號連接連接到分部網絡,所以我取名爲Branch,點擊下一步; $ [. j' t0 Q/ {% }8 z7 N6 [
![]()
在連接類型頁,選擇使用虛擬專用網絡連接(×××),點擊下一步;
![]()
, ~+ ^8 g' U" F9 Y& ?" A' ]
在×××類型頁,接受默認的自動選擇,請求撥號連接會先嚐試使用更爲安全的L2TP/IPSec協議進行連接,如果連接不成功再使用PPTP進行連接。點擊下一步;
![]()
在目標地址頁,輸入遠端×××服務器的IP地址或域名。如果輸入域名,則確保本地×××服務器可以正確解析。在此我輸入分部×××服務器的IP地址61.139.0.8,點擊下一步;
![]()
5 a' j* |3 Y# D" ~% o7 C! r+ q
在協議及安全措施頁,接受默認的選擇在此接口上路由選擇IP數據包,這樣本地×××服務器可以使用此請求撥號連接進行數據包的路由,由於我們是創建雙向初始化的站點到站點×××連接,所以勾選添加一個用戶賬戶使遠程路由器可以撥入,這樣嚮導會在後面建立一個用於遠程×××服務器撥入的用戶賬戶。點擊下一步; " `2 N3 k+ ?! B a# ]
![]()
在遠程網絡的靜態路由頁,指定遠程網絡所包含的網絡地址範圍,當本地網絡中的客戶向此地址範圍中的主機發起連接請求時,本地×××服務器會自動初始化此請求撥號連接。點擊添加按鈕, 6 B/ {- I6 a- M7 k& S5 Z
![]()
在彈出的靜態路由對話框,輸入目標和網絡掩碼分別爲分部網絡的網絡ID和子網掩碼172.16.1.0、255.255.255.0,躍點數接受默認的1,點擊確定;
![]()
如果分部網絡中具有多個網絡地址範圍可以重複添加。在此我已完成了分部網絡地址範圍的添加,因此在遠程網絡的靜態路由頁點擊下一步;
![]()
, R* k' Z" i* Z3 a# e
在撥入憑據頁,設置遠程×××服務器撥入本地×××服務器所使用的用戶賬戶。站點和站點×××連接所使用的撥入用戶的用戶名必須和請求撥號連接的名字一致,你可以看到,用戶名和連接名一致,固定爲Branch,你不能修改。輸入並確認密碼後,點擊下一步; * s( D9 @8 g9 X' ]4 ?% J
![]()
在撥出憑據頁,設置此請求撥號連接用於撥入遠程×××服務器的用戶賬戶。在此輸入用戶名爲HeadQuarter和對應的密碼,此賬號我們將稍後在分部×××服務器上設置,點擊下一步;
![]()
在完成請求撥號接口嚮導頁,點擊完成,此時,總部×××服務器Munich上的請求撥號連接Branch就創建好了,如下圖所示:
![]()
3 I0 y" f# |6 i- K4 X# K& H
並且,嚮導創建了一個名爲Branch的用戶,並且顯示授予了遠程撥入權限。
![]()
! f7 t# J$ U/ k" X& o5 X( z+ y2 d o
在分部的×××服務器Perth上創建請求撥號連接和撥入用戶 2 }# C6 \( ], m7 P o
同樣,在Perth上的路由和遠程訪問管理控制檯中,點擊網絡接口,然後在右邊面板空白處右擊,選新建請求撥號接口; / u3 O$ l: K/ |3 r& s3 ?7 j6 U
在接口名稱頁,由於此請求撥號連接連接到分部網絡,所以我取名爲HeadQuarter,點擊下一步; 2 j4 c( V w% s2 h! N
![]()
0 J0 }9 l& ?, Q) q' x+ J8 \& i
在連接類型頁,選擇使用虛擬專用網絡連接(×××),點擊下一步; 4 L6 [( D6 K( B: }4 E
在×××類型頁,接受默認的自動選擇,點擊下一步; ' m4 H/ r: r- F* H* ?& o2 f
在目標地址頁,輸入遠端×××服務器的IP地址或域名。如果輸入域名,則確保本地×××服務器可以正確解析。在此我輸入總部×××服務器的IP地址61.139.0.1,點擊下一步; ! R+ D; ?- _3 Y( `. Q& b
![]()
' m" ^# p/ j+ _6 a: T" ? t
在協議及安全措施頁,接受默認的選擇在此接口上路由選擇IP數據包並勾選添加一個用戶賬戶使遠程路由器可以撥入,點擊下一步; 9 v% K0 I! F. S* }5 _
在遠程網絡的靜態路由頁,點擊添加按鈕添加總部網絡的網絡地址範圍10.1.1.0/24,然後點擊下一步;
![]()
在撥入憑據頁,設置遠程×××服務器撥入本地×××服務器所使用的用戶賬戶。你同樣可以看到,用戶名和連接名一致,固定爲HeadQuarter,你不能修改。輸入並確認密碼後,點擊下一步; - R E* u6 j$ F( M7 `
![]()
5 ~# l* P" z5 a7 ~
在撥出憑據頁,設置此請求撥號連接用於撥入遠程×××服務器的用戶賬戶。在此我輸入總部×××服務器上創建的撥入用戶Branch和對應的密碼,點擊下一步; " p3 E0 q: w, H9 H( L% \6 e
![]()
在完成請求撥號接口嚮導頁,點擊完成,此時,分部×××服務器Perth上的請求撥號連接HeadQuarter也創建好了,如下圖所示: ( L0 d7 d9 C% f. z
![]()
測試L2TP/IPSec模式的站點到站點連接
我們在總部網絡中的一臺客戶計算機10.1.1.8上,Ping分部網絡中的一臺計算機172.16.1.8。注意看,作爲網關的總部×××服務器Munich在剛開始時回覆目的主機不可達,此時,Munich向分部網絡的×××服務器Perth初始化請求撥號連接,等幾秒後,連接成功,此時,10.1.1.8發起的Ping請求得到了172.16.1.8的響應。 " h2 C+ V' D4 @3 I. W- K" D
![]()
在分部網絡中的主機172.168.1.8上Ping總部網絡的主機10.1.1.8試試,一樣成功。這表明總部和分部之間成功建立了站點到站點的×××連接。
![]()
看看Munich和Perth上的安全日誌,你可以發現快速模式的IKE安全關聯成功建立的日誌,這表明此站點到站點的×××連接使用的是L2TP/IPSec模式。
![]()
![]()
2 z. [' t$ g' v$ @. f! O% P2 E
現在我們測試一下分部×××服務器是否可以初始化請求撥號連接,在任意一端×××服務器的路由和遠程訪問管理控制檯網絡接口中右擊對應的請求撥號接口,選擇中斷連接,然後在分部網絡客戶計算機172.16.1.8上同樣採用連續Ping總部網絡主機的辦法來讓分部×××服務器初始化請求撥號連接,同樣成功,如下圖所示: " K/ r$ O; o) j3 } |" X& K! X
![]()
( o4 ]" `. A; J# I$ p& L
測試PPTP模式的站點到站點連接 : @1 y1 ]- S% U Z* V
在任意一端×××服務器的路由和遠程訪問管理控制檯網絡接口中右擊對應的請求撥號接口,選擇屬性,然後在網絡標籤中,修改類型爲PPTP ×××。由於另外一段×××服務器設置請求撥號連接×××類型爲自動,因此可以自動使用PPTP模式的×××類型。
![]()
; g5 Y1 a, b/ n1 a6 [: @
同樣分別在10.1.1.8和172.16.1.8上連續Ping進行測試,如下圖所示,測試均成功。並且你可以從不成功的Ping的數量可以看出,PPTP模式站點到站點×××連接的連接速度遠比L2TP/IPSec更快。
![]()
![]()
, B) p* c x$ j0 Y/ e, F; ~) v1 @
至此,本試驗成功完成。
默認情況下,站點到站點×××連接是請求撥號連接,只有當網絡流量必須通過此接口轉發(需要轉發IP數據包到對應的遠程網絡)時才建立連接。此時呼叫路由器(××× 客戶端)初始化這個連接,應答路由器(××× 服務器)偵聽連接請求,接收來自呼叫路由器的連接請求,並根據請求建立連接,並且在空閒一定時間(默認爲5分鐘)後斷開連接。你可以配置連接爲永久連接方式,此時,×××服務器會保持此連接的連接狀態,如果連接中斷則立即重新初始化連接。
爲了避免呼叫路由器建立不需要的連接,您可以按照以下兩種方式來限制呼叫路由器建立請求的站點到站點×××連接: 3 v& Y* S- U% r
3 \5 F' w3 T1 I" N9 D7 ~- g
IP請求撥號篩選器。你可以使用請求撥號篩選來決定哪種類型的IP流量不能導致請求撥號連接的建立,也可以配置哪種類型的IP流量可以導致連接的建立。配置請求撥號篩選的方法是:在路由和遠程訪問管理單元的網絡接口節點中右擊請求撥號接口,然後點擊設置IP請求撥號篩選器。關於IP請求撥號篩選器更詳細的信息,請參見深入理解路由和遠程訪問服務中的篩選器和基本防火牆一文。 4 q) W8 |: Z6 `+ j) x/ _
撥出時間。你可以使用撥出時間來配置允許或禁止呼叫路由器建立站點到站點×××連接的時間段。配置撥出時間的方法是:在路由和遠程訪問管理單元的網絡接口節點中右擊請求撥號接口,然後點擊撥出時間。你還可以使用遠程訪問策略來配置允許傳入請求撥號路由連接的時間。
' G) q$ F8 H. C7 I0 R
根據初始化的方向,站點到站點×××連接可以分爲以下兩種類型: ! V/ {9 h# {. Y8 W
單向初始化連接 4 i( S7 |. L( Y* a
在單向初始化連接中,一臺×××路由器總是擔任呼叫路由器(×××客戶端),而另一臺×××路由器總是擔任應答路由器(×××服務器)。當單向初始化的站點到站點連接成功創建後,呼叫路由器上將添加到達應答路由器所屬專用網絡的路由,但是應答路由器上不會添加到達呼叫路由器所屬專用網絡的路由,這種情況,應答路由器不能訪問呼叫路由器所屬的專用網絡,因此通常情況下較少使用單向初始化連接。單向初始化的連接需要滿足下列條件: / Q% c! V9 V5 N; N0 l- p
應答路由器被配置爲LAN和請求撥號路由器;
在應答路由器上爲呼叫路由器的身份驗證憑據添加用戶帳戶;在應答路由器上配置了請求撥號接口,並且其名稱與呼叫路由器所使用的用戶帳戶名稱相同。這個請求撥號接口不是用於撥號的,因此它並沒有配置呼叫路由器的主機名或IP地址,也沒有配置有效的撥出用戶身份驗證信息。 + o, b0 `% r& v% [; I7 J8 D
6 b! f# [+ g; d5 K
如果採用L2TP/IPSec模式的站點到站點×××連接,還需要在呼叫路由器上安裝客戶端身份驗證證書,在應答路由器上安裝服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。 & X$ g8 i) K4 j( \
8 b0 {0 p8 |' v1 S5 J& l2 R6 x7 R
雙向初始化連接 ' p+ ^" ]. `) m0 e& u+ v0 }
雙向初始化連接可以看做是兩個方向上的單向初始化連接,每個×××路由器同時是呼叫路由器和應答路由器,向對方進行連接初始化和接受對方的站點到站點×××連接請求。當站點到站點連接成功創建後,每個×××路由器上均會添加到達對方路由器所屬專用網絡的路由,從而各自的專用網絡可以訪問遠端網絡。雙向初始化的站點到站點×××連接需要滿足下列條件:
}4 x1 k& U3 K; V
兩個路由器都被配置爲LAN和請求撥號路由器; # N9 J% J3 O$ H w$ q4 @! _
0 b8 q# }1 s" Z
在每個路由器上爲遠端路由器的身份驗證憑據添加了用戶帳戶,並且配置了名字與呼叫路由器所使用的用戶帳戶名稱相同的請求撥號接口; . j/ D/ C# t- [: S
6 u \ C1 H7 M4 m, o4 ^/ k5 }
如果採用L2TP/IPSec模式的站點到站點×××連接,還需要在每個路由器上同時安裝客戶端身份驗證證書和服務器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec密鑰。
在部署站點到站點×××服務之前,你需要配置×××服務器提供遠程訪問×××服務,因爲本地×××服務器會把遠端×××服務器發起的站點到站點×××連接請求當成是普通×××客戶端計算機發起的遠程訪問×××連接請求進行處理。遠程訪問客戶端和請求撥號路由器都可以初始化一個×××連接,那麼×××服務器是如何區分它們呢?
當遠程訪問客戶端和請求撥號路由器向×××服務器初始化×××連接時,它們所發送的身份驗證信息中包含用於初始化連接的用戶名;如果響應這個連接請求的×××服務器(應答路由器)上具有和此用戶名一致的請求撥號接口,那麼這個連接就是請求撥號連接;否則,這個傳入的連接就是遠程訪問連接。
本文中的試驗在How to :部署Windows Server 2003中的遠程訪問×××服務一文的基礎上進行,試驗網絡結構如下圖所示,
: I, b3 m4 W6 ^3 W/ [Munich是總部網絡(10.1.1.0/24)連接到Internet的網關,而Perth是分部網絡(172.16.1.0/24)連接到Internet的網關。它們的操作系統均爲Windows Server 2003 SP1,IP地址設置如下: , M/ K' l/ T, }: G/ }3 T
Munich:
Internet:61.139.0.1/24 " `8 k! y. A+ C' o. k5 {: T2 ^
: x4 C9 @$ @' W1 z8 o, `9 B; a3 _
HQ LAN:10.1.1.1/24
Perth: 2 T; s7 a# k& b+ i; m) m; P
u! t/ o4 j( ^1 I$ c& S9 g4 {
Internet:61.139.0.8/24
u
Branch LAN:172.16.1.1/24 ! F/ `- I% y, m- H) k; n
在這篇文章中,我將在Munich和Perth之間創建站點到站點的×××連接,從而允許總部網絡和分部網絡間的訪問。 ) r* p9 E- F- ^) J8 N! i7 E) O
完整的配置一個雙向初始化連接的站點到站點×××連接包含以下步驟: " {% [9 G: ]8 i. b4 [
5 B [# B! m' p5 {8 x( R
在兩臺×××服務器上分別啓用遠程訪問×××;
在兩臺×××服務器上分別創建請求撥號連接; 1 @) j# H2 |: [% d% u- U9 q* X: J
在兩臺×××服務器上分別創建遠端×××服務器用於初始化站點到站點×××連接的撥入用戶賬戶,此用戶必須和本地×××服務器上創建的請求撥號連接同名; 3 f6 k* U( \- J; o4 C+ c
如果使用L2TP/IPSec模式的×××連接,還需要在每臺×××服務器上安裝服務器身份驗證證書和客戶端身份驗證證書。
# e/ F3 k* ~$ p" w
在進行此站點到站點×××連接試驗之前,我已經做好了以下配置: : B0 T. Z# K7 X1 F) e4 Q
在兩臺服務器上啓用了遠程訪問×××服務;
因爲需要配置L2TP/IPSec模式的站點到站點×××連接,我已經爲每臺×××服務器安裝好了服務器身份驗證證書和客戶端身份驗證證書。如下圖所示:
以上配置可以參考How to :部署Windows Server 2003中的遠程訪問×××服務一文。 9 F5 `; q0 Z. y3 I0 y" {
因此,這篇文章中的試驗只是包含創建請求撥號連接和撥入用戶兩部分,在創建請求撥號連接時,嚮導可以幫你自動創建撥入用戶。詳細的試驗步驟如下: 0 M" J* [: G( N( ?; \
/ e/ P7 _3 C5 M1 |$ {' }/ j3 n
在總部的×××服務器Munich上創建請求撥號連接和撥入用戶; 4 V) i" q" g( e4 q7 J3 O
' V8 p' M/ A2 _
在分部的×××服務器Perth上創建請求撥號連接和撥入用戶;
, i' f8 F
測試L2TP/IPSec模式的站點到站點連接;
測試PPTP模式的站點到站點連接; * O( }0 M0 r/ l5 g! Z
在總部的×××服務器Munich上創建請求撥號連接和撥入用戶
在Munich上的路由和遠程訪問管理控制檯中,點擊網絡接口,然後在右邊面板空白處右擊,選新建請求撥號接口; ) E U% x i2 q8 e
/ }; u! k8 U- e! l0 G$ E在彈出的歡迎使用請求撥號接口嚮導頁,點擊下一步;
在接口名稱頁,由於此請求撥號連接連接到分部網絡,所以我取名爲Branch,點擊下一步; $ [. j' t0 Q/ {% }8 z7 N6 [
在連接類型頁,選擇使用虛擬專用網絡連接(×××),點擊下一步;
, ~+ ^8 g' U" F9 Y& ?" A' ]在×××類型頁,接受默認的自動選擇,請求撥號連接會先嚐試使用更爲安全的L2TP/IPSec協議進行連接,如果連接不成功再使用PPTP進行連接。點擊下一步;
在目標地址頁,輸入遠端×××服務器的IP地址或域名。如果輸入域名,則確保本地×××服務器可以正確解析。在此我輸入分部×××服務器的IP地址61.139.0.8,點擊下一步;
5 a' j* |3 Y# D" ~% o7 C! r+ q在協議及安全措施頁,接受默認的選擇在此接口上路由選擇IP數據包,這樣本地×××服務器可以使用此請求撥號連接進行數據包的路由,由於我們是創建雙向初始化的站點到站點×××連接,所以勾選添加一個用戶賬戶使遠程路由器可以撥入,這樣嚮導會在後面建立一個用於遠程×××服務器撥入的用戶賬戶。點擊下一步; " `2 N3 k+ ?! B a# ]
在遠程網絡的靜態路由頁,指定遠程網絡所包含的網絡地址範圍,當本地網絡中的客戶向此地址範圍中的主機發起連接請求時,本地×××服務器會自動初始化此請求撥號連接。點擊添加按鈕, 6 B/ {- I6 a- M7 k& S5 Z
在彈出的靜態路由對話框,輸入目標和網絡掩碼分別爲分部網絡的網絡ID和子網掩碼172.16.1.0、255.255.255.0,躍點數接受默認的1,點擊確定;
如果分部網絡中具有多個網絡地址範圍可以重複添加。在此我已完成了分部網絡地址範圍的添加,因此在遠程網絡的靜態路由頁點擊下一步;
, R* k' Z" i* Z3 a# e在撥入憑據頁,設置遠程×××服務器撥入本地×××服務器所使用的用戶賬戶。站點和站點×××連接所使用的撥入用戶的用戶名必須和請求撥號連接的名字一致,你可以看到,用戶名和連接名一致,固定爲Branch,你不能修改。輸入並確認密碼後,點擊下一步; * s( D9 @8 g9 X' ]4 ?% J
在撥出憑據頁,設置此請求撥號連接用於撥入遠程×××服務器的用戶賬戶。在此輸入用戶名爲HeadQuarter和對應的密碼,此賬號我們將稍後在分部×××服務器上設置,點擊下一步;
在完成請求撥號接口嚮導頁,點擊完成,此時,總部×××服務器Munich上的請求撥號連接Branch就創建好了,如下圖所示:
3 I0 y" f# |6 i- K4 X# K& H並且,嚮導創建了一個名爲Branch的用戶,並且顯示授予了遠程撥入權限。
! f7 t# J$ U/ k" X& o5 X( z+ y2 d o在分部的×××服務器Perth上創建請求撥號連接和撥入用戶 2 }# C6 \( ], m7 P o
同樣,在Perth上的路由和遠程訪問管理控制檯中,點擊網絡接口,然後在右邊面板空白處右擊,選新建請求撥號接口; / u3 O$ l: K/ |3 r& s3 ?7 j6 U
在接口名稱頁,由於此請求撥號連接連接到分部網絡,所以我取名爲HeadQuarter,點擊下一步; 2 j4 c( V w% s2 h! N
0 J0 }9 l& ?, Q) q' x+ J8 \& i在連接類型頁,選擇使用虛擬專用網絡連接(×××),點擊下一步; 4 L6 [( D6 K( B: }4 E
在×××類型頁,接受默認的自動選擇,點擊下一步; ' m4 H/ r: r- F* H* ?& o2 f
在目標地址頁,輸入遠端×××服務器的IP地址或域名。如果輸入域名,則確保本地×××服務器可以正確解析。在此我輸入總部×××服務器的IP地址61.139.0.1,點擊下一步; ! R+ D; ?- _3 Y( `. Q& b
' m" ^# p/ j+ _6 a: T" ? t在協議及安全措施頁,接受默認的選擇在此接口上路由選擇IP數據包並勾選添加一個用戶賬戶使遠程路由器可以撥入,點擊下一步; 9 v% K0 I! F. S* }5 _
在遠程網絡的靜態路由頁,點擊添加按鈕添加總部網絡的網絡地址範圍10.1.1.0/24,然後點擊下一步;
在撥入憑據頁,設置遠程×××服務器撥入本地×××服務器所使用的用戶賬戶。你同樣可以看到,用戶名和連接名一致,固定爲HeadQuarter,你不能修改。輸入並確認密碼後,點擊下一步; - R E* u6 j$ F( M7 `
5 ~# l* P" z5 a7 ~在撥出憑據頁,設置此請求撥號連接用於撥入遠程×××服務器的用戶賬戶。在此我輸入總部×××服務器上創建的撥入用戶Branch和對應的密碼,點擊下一步; " p3 E0 q: w, H9 H( L% \6 e
在完成請求撥號接口嚮導頁,點擊完成,此時,分部×××服務器Perth上的請求撥號連接HeadQuarter也創建好了,如下圖所示: ( L0 d7 d9 C% f. z
測試L2TP/IPSec模式的站點到站點連接
我們在總部網絡中的一臺客戶計算機10.1.1.8上,Ping分部網絡中的一臺計算機172.16.1.8。注意看,作爲網關的總部×××服務器Munich在剛開始時回覆目的主機不可達,此時,Munich向分部網絡的×××服務器Perth初始化請求撥號連接,等幾秒後,連接成功,此時,10.1.1.8發起的Ping請求得到了172.16.1.8的響應。 " h2 C+ V' D4 @3 I. W- K" D
在分部網絡中的主機172.168.1.8上Ping總部網絡的主機10.1.1.8試試,一樣成功。這表明總部和分部之間成功建立了站點到站點的×××連接。
看看Munich和Perth上的安全日誌,你可以發現快速模式的IKE安全關聯成功建立的日誌,這表明此站點到站點的×××連接使用的是L2TP/IPSec模式。
2 z. [' t$ g' v$ @. f! O% P2 E現在我們測試一下分部×××服務器是否可以初始化請求撥號連接,在任意一端×××服務器的路由和遠程訪問管理控制檯網絡接口中右擊對應的請求撥號接口,選擇中斷連接,然後在分部網絡客戶計算機172.16.1.8上同樣採用連續Ping總部網絡主機的辦法來讓分部×××服務器初始化請求撥號連接,同樣成功,如下圖所示: " K/ r$ O; o) j3 } |" X& K! X
( o4 ]" `. A; J# I$ p& L測試PPTP模式的站點到站點連接 : @1 y1 ]- S% U Z* V
在任意一端×××服務器的路由和遠程訪問管理控制檯網絡接口中右擊對應的請求撥號接口,選擇屬性,然後在網絡標籤中,修改類型爲PPTP ×××。由於另外一段×××服務器設置請求撥號連接×××類型爲自動,因此可以自動使用PPTP模式的×××類型。
; g5 Y1 a, b/ n1 a6 [: @同樣分別在10.1.1.8和172.16.1.8上連續Ping進行測試,如下圖所示,測試均成功。並且你可以從不成功的Ping的數量可以看出,PPTP模式站點到站點×××連接的連接速度遠比L2TP/IPSec更快。
, B) p* c x$ j0 Y/ e, F; ~) v1 @至此,本試驗成功完成。