題姓學(xué)院專班石河子大學(xué)信息科學(xué)與技術(shù)學(xué)院題姓學(xué)院專班計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)目：虛擬專用網(wǎng)絡(luò)服務(wù)器配置名：胡靜號(hào)：2009082294系：信息科學(xué)與技術(shù)學(xué)院業(yè)：信息管理與信息系統(tǒng)級(jí)：09級(jí)（2）班指導(dǎo)教師：馬洪亮完成時(shí)間：2011年12月28號(hào)目錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章題目及要求11.1題目11.2要求1\o"CurrentDocument"1.3設(shè)計(jì)目的1\o"CurrentDocument"第二章設(shè)計(jì)要點(diǎn)1\o"CurrentDocument"2.1虛擬專用網(wǎng)絡(luò)工作方式及組成1\o"CurrentDocument"2.2虛擬專用網(wǎng)絡(luò)拓?fù)鋱D1大型企業(yè)的網(wǎng)絡(luò)拓?fù)鋱D2VNP服務(wù)的原理2\o"CurrentDocument"第三章詳細(xì)設(shè)計(jì)2\o"CurrentDocument"3.1WindowsServer2003VPN服務(wù)器的配置2\o"CurrentDocument"3.1.1WindowsServer2003VPN服務(wù)端安裝配置23.1.2WindowsServer2003VPN客戶端軟件安裝配置4\o"CurrentDocument"3.2安裝計(jì)算機(jī)證書(shū)的條件及基本步驟63.2.1計(jì)算機(jī)證書(shū)的安裝。6\o"CurrentDocument"3.2.2自動(dòng)注冊(cè)計(jì)算機(jī)證書(shū)7\o"CurrentDocument"3.2.3手動(dòng)注冊(cè)計(jì)算機(jī)證書(shū)73.3使用IAS服務(wù)器9\o"CurrentDocument"3.3.1IAS的安裝9\o"CurrentDocument"3.3.2配置遠(yuǎn)程訪問(wèn)服務(wù)器使用RADIUS身份驗(yàn)證和記賬103.3.3配置IAS服務(wù)器123.3.4將IAS配置復(fù)制到另一臺(tái)服務(wù)器。12\o"CurrentDocument"3.4部署基于PPTP的遠(yuǎn)程訪問(wèn)VPN123.5部署基于L2TP的遠(yuǎn)程訪問(wèn)VPN14\o"CurrentDocument"3.5.1部署證書(shū)基礎(chǔ)構(gòu)架15\o"CurrentDocument"3.5.2部署Internet基礎(chǔ)構(gòu)架15\o"CurrentDocument"3.5.3部署應(yīng)答路由器15\o"CurrentDocument"3.5.4部署呼叫路由器20\o"CurrentDocument"3.5.5部署AAA基石出構(gòu)架20\o"CurrentDocument"3.5.6部署站點(diǎn)網(wǎng)絡(luò)基礎(chǔ)構(gòu)架20\o"CurrentDocument"3.5.7部署站點(diǎn)間網(wǎng)絡(luò)基礎(chǔ)構(gòu)架21總結(jié)：22\o"CurrentDocument"參考文獻(xiàn)22第一章題目及要求1.1題目虛擬專用網(wǎng)絡(luò)服務(wù)器配置1.2要求畫(huà)出虛擬專用網(wǎng)絡(luò)的結(jié)構(gòu)圖和拓?fù)鋱D寫(xiě)出虛擬專用網(wǎng)絡(luò)服務(wù)器配置的步驟虛擬專用網(wǎng)絡(luò)服務(wù)器配置圖管理VPN服務(wù)器啟動(dòng)、停止虛擬專用網(wǎng)絡(luò)服務(wù)器1.3設(shè)計(jì)目的為了減少企業(yè)租用長(zhǎng)途專線建設(shè)專網(wǎng)，降低網(wǎng)絡(luò)維護(hù)人員的數(shù)量和設(shè)備投資，提高資料安全保密性與可靠的傳輸性，并且虛擬專用網(wǎng)絡(luò)具有容易拓展的特性，網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單，無(wú)需增加太多的設(shè)備，省時(shí)省錢(qián)。企業(yè)可以完全將控制主動(dòng)權(quán)，VPN上的設(shè)施和服掌握在自己手中。特提出虛擬網(wǎng)絡(luò)服務(wù)器技術(shù)，即VPN服務(wù)器配置。第二章設(shè)計(jì)要點(diǎn)2.1虛擬專用網(wǎng)絡(luò)工作方式及組成虛擬專用網(wǎng)絡(luò)，利用兩個(gè)具有VPN發(fā)起連接能力的設(shè)備通過(guò)Internet提供一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式。在隧道的發(fā)起端(即服務(wù)端)，接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地到達(dá)用回端。VPN由3個(gè)部分組成:客戶機(jī)、傳輸介質(zhì)和服務(wù)器。2.2虛擬專用網(wǎng)絡(luò)拓?fù)鋱DInteiLntt重權(quán)客戶和分？!_拮構(gòu)路由35大型企業(yè)的網(wǎng)絡(luò)拓?fù)鋱D不安全的數(shù)據(jù)VPN加密的數(shù)據(jù)不安全的數(shù)據(jù)第三章詳細(xì)設(shè)計(jì)3.1WindowsServer2003VPN服務(wù)器的配置配置WindowsServer2003VPN服務(wù)器，首先需要確定的組件。WindowsServer2003VPN配置所需要的組件包括：一臺(tái)VPN服務(wù)器；一個(gè)VPN客戶；使用隧道協(xié)議的一個(gè)VPN連接。3.1.1WindowsServer2003VPN服務(wù)端安裝配置在WindowsServer2003VPN中，VPN服務(wù)稱為路由和遠(yuǎn)程訪問(wèn)，默認(rèn)狀態(tài)已經(jīng)安裝，只需要對(duì)此服務(wù)進(jìn)行必要的配置使其生效即可。啟動(dòng)VPN服務(wù)由于WindowsServer2003默認(rèn)安裝時(shí)，VPN服務(wù)沒(méi)有啟動(dòng)，所以必須手動(dòng)啟動(dòng)該項(xiàng)服，具體操作如下：(1)選擇【開(kāi)始】I【管理工具】I【路由和遠(yuǎn)程訪問(wèn)】命令，打開(kāi)【路由和遠(yuǎn)程訪問(wèn)】窗口，再在窗口左欄右擊【本地計(jì)算機(jī)名】，選擇【配置并啟用路由和遠(yuǎn)程訪

問(wèn)】命令，如圖所示:(2)在出現(xiàn)的【配置向?qū)А看翱谥袉螕簟鞠乱徊健堪粹o，進(jìn)入【配置】對(duì)話框如圖所示:如果服務(wù)器只有一塊網(wǎng)卡，則應(yīng)選擇【自定義配置】選項(xiàng)。(3)單擊【下一步】按鈕，選擇VPN選項(xiàng)和【撥號(hào)】選項(xiàng)。單擊【下一步】按鈕，完成開(kāi)啟配置后即可開(kāi)始VPN服務(wù)，如圖所示：路由和遠(yuǎn)程訪問(wèn)保碧器安裝向?qū)д谕瓿陕酚珊瓦h(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)殉晒ν瓿陕酚珊瓦h(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)?正在完成路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)殉晒ν瓿陕酚珊瓦h(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)?選擇摘要:VFN訪問(wèn)

撥號(hào)訪問(wèn)在您關(guān)閉此向?qū)Ш螅凇奥酚珊瓦h(yuǎn)程訪問(wèn)"控制臺(tái)中配置選擇的服募。話單擊“完成"來(lái)關(guān)閉此向?qū)А＞??？ǎ?.配置境?？ǎ?.配置V以上兩步首先需要如畏所示務(wù)，還需要經(jīng)過(guò)必要的設(shè)置才能符合VPN的實(shí)擊【本地服務(wù)器名】，選擇【屬性】命令并切換到IP選項(xiàng)際使用環(huán)123-FZUD645BEC6體地）屜性常規(guī)］安全I(xiàn)F|FFFI日志|17允許基于IF的遠(yuǎn)程訪問(wèn)和請(qǐng)求撥號(hào)連接也)IP地址指派此服備器指派IF地址使用的是:*動(dòng)態(tài)主機(jī)配置協(xié)議(DHCF)更)CIP地址指派此服備器指派IF地址使用的是:*動(dòng)態(tài)主機(jī)配置協(xié)議(DHCF)更)C靜態(tài)地址池添加里)...］蝙輯(!)...|冊(cè)除堡)|ows、爵魁年翹蟹物嘻戶端軟件安裝配置/PN客戶端軟件3.1.2Wind1.安裝、(1)單擊setup.exe文件開(kāi)始安裝。彈出【歡迎】對(duì)話框，單擊Next按鈕，在彈出】對(duì)話框中單擊Yes按鈕。單擊Browse按鈕，選擇安裝路徑，對(duì)話框中，單擊Next按鈕即可。接下來(lái)開(kāi)安裝完成后，彈出【安裝完畢】對(duì)話框，單擊Finish按鈕。計(jì)算機(jī)重新啟動(dòng)的【許可協(xié)議后點(diǎn)擊Next按鈕。在【程序文件夾】取消|應(yīng)用兔)|客戶端軟件安裝過(guò)程結(jié)束。配置VPN客戶端軟件?？蛻舳塑浖惭b完畢，第一次使用VPN連接時(shí)，首先要進(jìn)行VPN的配置。具體操作步驟如下：?jiǎn)螕?1)選擇【開(kāi)始】I【程序】ICiscoSystemVPNClient-VPNDialer命令，單擊New按鈕，新建一個(gè)連接，輸入連接的名稱和描述，如圖所示：(2)輸入r(2)輸入remotenetworkHuetrL：=uiieorIFadilt-esso￡theserver:CiscoSystems169.254.241.44(3)輸入組的輸入組名和密碼，如圖所示:Tizard.XJCiscoSvstehsiurn-aidiriini(3)輸入組的輸入組名和密碼，如圖所示:Tizard.XJCiscoSvstehsiurn-aidiriinistratormayhaveprovidedyouwithgroupp：=Lf：=iitietereoradigit：=ilcertificatetoautherLticateyourserver.accesEtotheremoteIf5Q-selecttheapprupriate(4)提示已經(jīng)取消|alidateCertificate個(gè)新的VPN連接，(5)單擊【完成】按鈕，VPN連接的配置結(jié)束。3.建立VPN連接。VPN的配置完成后，還需要進(jìn)行VPN的連接。具體操作步驟如下:(1)選擇【開(kāi)始】(5)單擊【完成】按鈕，VPN連接的配置結(jié)束。3.建立VPN連接。VPN的配置完成后，還需要進(jìn)行VPN的連接。具體操作步驟如下:(1)選擇【開(kāi)始】I【程序】ICiscoSystemVPNClientIVPNDialer命令，彈出如圖所示的對(duì)話框，單擊Connect按鈕。說(shuō)明認(rèn)證通過(guò)，，々/U■J〃JI■JI】口^~^|11_1^八】1】?1~11~1了/-^-八】。1右擊屏幕右下角的黃色鎖狀小圖標(biāo)，單擊Disconnect按鈕，斷開(kāi)連接。提示輸入用彈出如圖所單擊OK按鈕，VPNVPN連接建立后斷開(kāi)VPN連接，如果使用WindowsServer2003或Windows2000企業(yè)CA作為頒發(fā)CA，需要配置計(jì)算機(jī)證書(shū)自動(dòng)注冊(cè)以便在所有計(jì)算機(jī)上安裝計(jì)算機(jī)證書(shū)。無(wú)論是通過(guò)繼承父系統(tǒng)容器的組策略設(shè)置還是明確地配置，都應(yīng)確保為所有相應(yīng)的域系統(tǒng)容器配置了計(jì)算機(jī)證書(shū)自動(dòng)注冊(cè)。下面就介紹詳細(xì)的操作步驟。2.1計(jì)算機(jī)證書(shū)的安裝。如果使用WindowsServer2003EnterpriseEdition或WindowsServer2003DatacenterEdition企

業(yè)CA作為頒發(fā)CA,可以通過(guò)自動(dòng)注冊(cè)安裝用戶證書(shū)。只有WindowsXP和WindowsServer2003客戶端才支持用戶證書(shū)自動(dòng)注冊(cè)。3.2.2自動(dòng)注冊(cè)計(jì)算機(jī)證書(shū)如果使用WindowsServer2003或Windows2000證書(shū)服務(wù)企業(yè)CA作為頒發(fā)CA,可以為ActiveDirectory系統(tǒng)容器中的計(jì)算機(jī)配置計(jì)算機(jī)證書(shū)自動(dòng)注冊(cè)“組策略”，從而在ISA服務(wù)器上安裝計(jì)算機(jī)證書(shū)。選擇【ActiveDirectory用戶和計(jì)算機(jī)】選項(xiàng)。在控制臺(tái)樹(shù)中雙擊【ActiveDirectory用戶和計(jì)算機(jī)】，右擊CA所屬的域名，然后選擇【屬性】命令。在【組策略】選項(xiàng)卡上，單擊相應(yīng)的“組策略”對(duì)象(默認(rèn)的對(duì)象是默認(rèn)域策略)，然后單擊【編輯】按鈕。在控制臺(tái)樹(shù)中，打開(kāi)【計(jì)算機(jī)配置】，接著選擇【W(wǎng)indows設(shè)置】I【安全設(shè)置】I【公鑰策略】|【自動(dòng)證書(shū)申請(qǐng)?jiān)O(shè)置】。右擊【自動(dòng)證書(shū)申請(qǐng)?jiān)O(shè)置】，選擇【新建】選項(xiàng)，再選撞自動(dòng)證書(shū)申請(qǐng)?jiān)O(shè)置)命令。【自動(dòng)證書(shū)申請(qǐng)】向?qū)⒊霈F(xiàn)。單擊【下一步】按鈕。在證書(shū)模板中，選擇計(jì)算機(jī)，單擊【下一步】按鈕，企業(yè)CA將出現(xiàn)在列表上。單擊該企業(yè)CA，再單擊【下一步】按鈕，然后單擊【完成】按鈕。為了立即獲得運(yùn)行WindowsServer2003的CA的計(jì)算機(jī)證書(shū)，在命令提示符下進(jìn)入命令gpupdate/target：computero在為域配置好自動(dòng)注冊(cè)之后，屬于該域成員的每臺(tái)計(jì)算機(jī)都會(huì)在計(jì)算機(jī)“組策略”被刷新時(shí)申請(qǐng)一個(gè)計(jì)算機(jī)證書(shū)。默認(rèn)情況下，Winlogon服務(wù)每90分鐘輪詢一次“組策略”中的變化。為了強(qiáng)制計(jì)算機(jī)“組策略”刷新，可重新啟動(dòng)計(jì)算機(jī)或在命令提示符下輸入gpupdate/target：computero3.2.3手動(dòng)注冊(cè)計(jì)算機(jī)證書(shū)進(jìn)入【W(wǎng)indows組件向?qū)А繉?duì)話框，選擇【證書(shū)服務(wù)】選項(xiàng)，單擊【下一步按鈕，如圖所示：2SJTindows制件向?qū)indows組件訶以添加或刪除WimMu的蛆件口蛆件(jc)：2SJ要添加或刪除某個(gè)蛆件，請(qǐng)單擊旁邊的復(fù)選框。灰色框表示只登安裝該組件的一部分。要查看蛆件內(nèi)容，請(qǐng)單擊“詳細(xì)信息”O(jiān)匚g遠(yuǎn)程存儲(chǔ)3.5MBE＞證書(shū)服務(wù)1.4MB■□英端1艮嘉瞿0.0MB匚｝谿端服務(wù)器授權(quán)0.9MB描述：安裝證書(shū)頒發(fā)機(jī)構(gòu)(CA)以便頒發(fā)證書(shū)用于公朗安全程序□選擇CA成型?？繐瘛惊?dú)立跟CA(S)】選項(xiàng)，同時(shí)選擇【用自定義設(shè)置生成密鑰對(duì)和CA證書(shū)】羸，單擊【下一步】按鈕，如圖所示:詳細(xì)蓿息?！璉取消幫助＜上一步(S)（3）配置公鑰/私鑰對(duì)。選擇【使用現(xiàn)有密鑰】選項(xiàng)，單擊【下一步】按鈕，如圖所示:Tindovs制件向?qū)В?）會(huì)鑰/私鑰對(duì)選擇一個(gè)加密服務(wù)提供程序（CSF）,哈希算法和密鑰對(duì)的設(shè)置。CSF(jC):MicrijEuftBaseCryptugraphicFroviderw▲MicroEuft所示:Tindovs制件向?qū)В?）會(huì)鑰/私鑰對(duì)選擇一個(gè)加密服務(wù)提供程序（CSF）,哈希算法和密鑰對(duì)的設(shè)置。CSF(jC):MicrijEuftBaseCryptugraphicFroviderw▲MicroEuftBaseDSSCrj-Ttogi-aphicFrovid-~Mier。w□￡tEnhaxL^edCryp坷gr迎h(huán)ieFrgid-_IMicrosoftStroniraphicFroviderr允許此csf與桌面交互更）[7使用現(xiàn)有密鑰（X）:iaaa17便用與此密鑰相關(guān)的證書(shū)也）CA識(shí)別信息。填寫(xiě)CA的公用名稱，單擊【下步】按鈕，如圖所示:（5）步】按鈕，證書(shū)單擊【下Vindovs粗件向?qū)ёC書(shū)數(shù)據(jù)庫(kù)設(shè)置輸入證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和配置信息的位置。證書(shū)數(shù)據(jù)庫(kù)此）：|C:\WINDOWS\system32\CertLog瀏覽敏...證書(shū)數(shù)據(jù)庫(kù)日志魚(yú)）：|C:\WINDOWS\system32\CertLog瀏覽也)Vindovs粗件向?qū)ёC書(shū)數(shù)據(jù)庫(kù)設(shè)置輸入證書(shū)數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志和配置信息的位置。證書(shū)數(shù)據(jù)庫(kù)此）：|C:\WINDOWS\system32\CertLog瀏覽敏...證書(shū)數(shù)據(jù)庫(kù)日志魚(yú)）：|C:\WINDOWS\system32\CertLog瀏覽也)...|7將配置信息存儲(chǔ)在共享文件夾中底)共享文件夾冬)：|C：\CAConfig|瀏覽危)...r保留現(xiàn)有的證書(shū)數(shù)據(jù)庫(kù)CA證書(shū)申請(qǐng)。選擇目錄保存申請(qǐng)文件，單擊【下開(kāi)始安裝。完成后單擊【完成】按鈕，如圖所示：步】按鈕Tindovs組件向?qū)殉晒Φ赝瓿闪薟indows蛆件向?qū)?。完成^Windows組件向?qū)А盜AS全名為InternetAuthentication衛(wèi)邃.—騷，…,即Internet身份驗(yàn)證服務(wù)。在WindowsServe,r2003中使用兩個(gè)IAS服務(wù)器務(wù)器和次服務(wù)器)，可以獲得基于RADIUS驗(yàn)證的容錯(cuò)功能。如果只對(duì)一個(gè)RADIUS服務(wù)器進(jìn)行配置，則該配置無(wú)效。通過(guò)使用兩個(gè)IAS服務(wù)器和部署主次IAS服務(wù)器的所有RADIUS客戶端，RADIUS客戶端可以檢測(cè)到主RADIUS服務(wù)器不可用，并自動(dòng)禁止連接次IAS服務(wù)器。3.3.1IAS的安裝在進(jìn)行之前，需要在網(wǎng)絡(luò)中找到IAS主機(jī)，并且IAS主機(jī)是企業(yè)域的成員。如果該主機(jī)是使用基于APF的服務(wù)器部署腳本構(gòu)建的，要驗(yàn)證IAS服務(wù)已安裝且正在運(yùn)行。如沒(méi)有安裝IAS服務(wù)，按照以下步驟進(jìn)行安裝。選擇【開(kāi)始】I【設(shè)置】I【控制面板】命令。雙擊【添加/刪除程序】命令，然后選擇【添加/刪除Windows組件】命令。在組件列表中，選擇【網(wǎng)絡(luò)服務(wù)】選項(xiàng)，然后單擊【詳細(xì)資料】按鈕。選擇【Internet驗(yàn)證服務(wù)】選項(xiàng)，然后單擊【確定】按鈕。單擊【下一步】按鈕，然后單擊【完成】按鈕。

（5）在【添加/刪除程序】對(duì)話框中，單擊【結(jié)束】按鈕。（6）啟動(dòng)IAS,選擇【開(kāi)始】I【程序】I【管理工具】I[Internet驗(yàn)證服務(wù)】命令。3.3.2配置遠(yuǎn)程訪問(wèn)服務(wù)器使用RADIUS身份驗(yàn)證和記賬RADIUS身份驗(yàn)證：路由和遠(yuǎn)程訪問(wèn)使用遠(yuǎn)程身份驗(yàn)證撥號(hào)用戶（RADIUS）服務(wù)器來(lái)驗(yàn)證和授權(quán)連接嘗試。RADIUS記賬：路由和遠(yuǎn)程訪問(wèn)向RADIUS服務(wù)器發(fā)送連接記賬信息。可以在路由和遠(yuǎn)程訪問(wèn)管理單元中，從服務(wù)器屬性的【安全】選項(xiàng)卡中選擇身份驗(yàn)證和記賬提供程序。如圖所示:123-FZUB645BEC6尾性123-FZUB645BEC6尾性?TxT常規(guī)安全|lF]FFF|日志]身份驗(yàn)證提供程序?yàn)檫h(yuǎn)程訪問(wèn)客戶端和話求撥號(hào)路由器提供憑據(jù)驗(yàn)征。身份驗(yàn)征提供程序也）：Wiitdnww身份驗(yàn)證▼|身份驗(yàn)征方法也）...|記帳提供程序維護(hù)連接請(qǐng)求和登話日志。記帳提供程序（Q）:|WindowE3配置此）...|自定曳的IFSec策略為I2TP連接指定了一個(gè)預(yù)共享的密鑰。路由1.配置用于身份驗(yàn)證和授權(quán)的湘US服務(wù)器US身份驗(yàn)證】對(duì)（1）單擊【身份驗(yàn)證提供程序】旁的[配置】按鈕，彈出【RAD話框，如圖所示預(yù)共享的密鑰SUS身份驗(yàn)證】對(duì)話框，如圖所示預(yù)共享的密鑰SRADIUS身骨會(huì)證按從高普到低分的順序查詢下面的RAEIUS服務(wù)器。服努器（2）[RADIUS身份驗(yàn)證】對(duì)話框列出了已配置申的一組RADIUS單擊【添加】按鈕，向列表中添加RADIUS身份驗(yàn)證服務(wù)器，Windows對(duì)話框，如圖所示：RADIUS服務(wù)器】蒲定「職消I身份驗(yàn)證服務(wù)器。會(huì)顯示【添加

添加RADIUS扉翦器TOC\o"1-5"\h\z服務(wù)器名底)：|iI機(jī)密：|更改瑚)...|超時(shí)融)(i)：（2）[RADIUS身份驗(yàn)證】對(duì)話框列出了已配置申的一組RADIUS單擊【添加】按鈕，向列表中添加RADIUS身份驗(yàn)證服務(wù)器，Windows對(duì)話框，如圖所示：RADIUS服務(wù)器】蒲定「職消I身份驗(yàn)證服務(wù)器。會(huì)顯示【添加I確定|取消I□服務(wù)器：輸入RADIUS服務(wù)器的名稱或IP地址?？跈C(jī)密：?jiǎn)螕簟靖摹堪粹o以輸入RADIUS共享機(jī)密?！醭瑫r(shí)：輸入時(shí)間總量(以秒計(jì)算)。時(shí)間是路由和遠(yuǎn)程訪問(wèn)用來(lái)嘗試獲得RADIUS服務(wù)器響應(yīng)的時(shí)間，超過(guò)這個(gè)時(shí)間后，將嘗試列表中另一個(gè)RADIUS服務(wù)器?！醭跏挤?jǐn)?shù)：路由和遠(yuǎn)程訪問(wèn)使用計(jì)分機(jī)制來(lái)決定使用哪臺(tái)RADIUS服務(wù)器。與給定的RADIUS服務(wù)器相關(guān)的分?jǐn)?shù)是初始分?jǐn)?shù)(在此處配置)和基于RADIUS服務(wù)器響應(yīng)的動(dòng)態(tài)分?jǐn)?shù)的組合。路由和遠(yuǎn)程訪問(wèn)使用當(dāng)前分?jǐn)?shù)最高的RADIUS服務(wù)器。在路由和遠(yuǎn)程訪問(wèn)啟動(dòng)時(shí)，可使用初始分?jǐn)?shù)設(shè)置來(lái)配置列表中RADIUS服務(wù)器的首選/頃序，但實(shí)際/頃序可能會(huì)隨著時(shí)間的推移根據(jù)RADIUS服務(wù)器的響應(yīng)而變化。□端口：輸入RADIUS服務(wù)器用于傳入RADIUS身份驗(yàn)證請(qǐng)求的用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口。根據(jù)RequestforComments(RFC)2138，默認(rèn)值是1812?！酢疽恢笔褂孟Ⅱ?yàn)證程序】選項(xiàng)：如需讓路由和遠(yuǎn)程訪問(wèn)在每一個(gè)RADIUS消息中都包含消息驗(yàn)證程序RADIUS屬性，應(yīng)選擇該項(xiàng)設(shè)置。消息驗(yàn)證程序RADIUS屬性包含由共享機(jī)密加密的信息，它可以向接收RADIUS服務(wù)器證明已配置的RADIUS客戶端發(fā)送了此消息。可擴(kuò)展的身份驗(yàn)證協(xié)議(EAP)消息總是與消息驗(yàn)證程序RADIUS屬性一起發(fā)送。如選擇了該項(xiàng)設(shè)置，需要確定RADIUS服務(wù)器能夠并且已配置為從RADIUS客戶端接收包含消息驗(yàn)證程序RADIUS屬性的消息。(3)單擊【確定】按鈕，RADIUS服務(wù)器將被添加到【添加RADIUS服務(wù)器】對(duì)話框中的RADIUS身份驗(yàn)證服務(wù)器列表中。2.配置用于記賬的RADIUS服務(wù)器(1)單擊【記賬提供程序】旁邊的【配置】彈出【RADIUS記賬】對(duì)話框，如圖所示:RADIUS記帷按從高分到低分的順序查詢下面的RADIUS服第器。服務(wù)器初始分?jǐn)?shù)[RADIUS記賬】對(duì)話框顯示已配置的RADIUS記賬服務(wù)器列表「。單擊【添加】添加..1編輯3)--|冊(cè)臃?確定|職消按鈕向列表中添加RADIUS記賬服務(wù)器，彈出【添加RADIUS服務(wù)器】對(duì)話框，如圖所示：3.3.3配置IAS服務(wù)器。要在域控制器上配置主IAS服務(wù)器，應(yīng)執(zhí)行以下操作：在域控制器上，將IAS作為可選網(wǎng)絡(luò)組件安裝。將IAS服務(wù)器計(jì)算機(jī)(域控制器)配置為讀取域中賬戶用戶的屬性。如果1AS服務(wù)器要對(duì)來(lái)自其他域的用戶賬戶的連接嘗試進(jìn)行身份驗(yàn)證，需要檢驗(yàn)這些域與IAS服務(wù)器計(jì)算機(jī)所屬域具有雙向信任關(guān)系。然后，將這個(gè)IAS服務(wù)器計(jì)算機(jī)配置為讀取其他域中用戶賬戶的屬性。如果IAS服務(wù)器要對(duì)來(lái)自其他域的用戶賬戶的連接嘗試進(jìn)行身份驗(yàn)證，但這些域與IAS服務(wù)器計(jì)算機(jī)所屬域沒(méi)有雙向信任關(guān)系，需在這兩個(gè)不信任域之間配置一個(gè)RADIUS代理。啟動(dòng)賬戶和身份驗(yàn)證事件的文件日志。添加VPN路由器，作為IAS服務(wù)器的RADIUS客戶端。對(duì)于每個(gè)VPN路由器的IP地址，需使用分配給VPN路由器的站點(diǎn)IP地址。如使用名稱，應(yīng)使用VPN路由器的內(nèi)部名稱，并配合使用共享密鑰。創(chuàng)建能夠反映遠(yuǎn)程訪問(wèn)使用情況的遠(yuǎn)程訪問(wèn)策略。3.3.4將IAS配置復(fù)制到另一臺(tái)服務(wù)器。要在另一個(gè)域控制器上配置第2個(gè)IAS服務(wù)器，執(zhí)行以下操作：在另1個(gè)域控制器上，將IAS作為可選網(wǎng)絡(luò)組件安裝。將第2個(gè)IAS服務(wù)器計(jì)算機(jī)(另一個(gè)域控制器)配置為讀取域中賬戶用戶的屬性。如果第2個(gè)IAS服務(wù)器要對(duì)來(lái)自其他域的用戶賬戶的連接嘗試進(jìn)行身份驗(yàn)證，需要檢驗(yàn)這些域與IAS服務(wù)器計(jì)算機(jī)所屬域具有雙向信任關(guān)系。然后，將第2。個(gè)IAS服務(wù)器計(jì)算機(jī)配置為讀取其他域中用戶賬戶的屬性。如果第2個(gè)IAS服務(wù)器要對(duì)來(lái)自其他域的用戶賬戶的連接嘗試進(jìn)行身份驗(yàn)證，但這些域與第2個(gè)1AS服務(wù)器計(jì)算機(jī)所屬域沒(méi)有雙向信任關(guān)系，則需要在這兩個(gè)不信任域之間配置一個(gè)RADIUS代理?！獙⒅鱅AS服務(wù)器上的配置復(fù)制到第2個(gè)IAS服務(wù)器上，需在主IAS服務(wù)器的命令行提示符中輸入netsh123showconfig>path\file.txto它將在一個(gè)文本文件中存儲(chǔ)各種配置設(shè)置，包括注冊(cè)表設(shè)置。這個(gè)路徑可以是相對(duì)的、絕對(duì)的或是一個(gè)網(wǎng)絡(luò)路徑。將步驟4中創(chuàng)建的文件復(fù)制到第2個(gè)IAS服務(wù)器中。在第2個(gè)IAS服務(wù)器的命令行提示符中輸入netshexecpath\file.txto這個(gè)操作將把主IAS服務(wù)器中的所有設(shè)置導(dǎo)入到第2個(gè)IAS服務(wù)器中3.4部署基于PPTP的遠(yuǎn)程訪問(wèn)VPN

WindowsServer2003下的VPN由PPTP客戶機(jī)和PPTP服務(wù)器構(gòu)成。在WindowsServer2003局域網(wǎng)中，PPTP服務(wù)器是一臺(tái)運(yùn)行WindowsServer2003的網(wǎng)絡(luò)服務(wù)器，作為VPN的網(wǎng)關(guān)。它接收來(lái)自因特網(wǎng)的PPTP封裝報(bào)文，解析出相應(yīng)內(nèi)部網(wǎng)絡(luò)上的機(jī)器名和地址，并轉(zhuǎn)發(fā)給指定的內(nèi)部網(wǎng)客戶。一個(gè)異地的PPTP客戶機(jī)首先通過(guò)PPP協(xié)議撥入當(dāng)?shù)氐腎SP，建立與因特網(wǎng)的連接，然后再通過(guò)PPTP方式呼叫遠(yuǎn)程已接入因特網(wǎng)的企業(yè)網(wǎng)絡(luò)的PPTP服務(wù)器，通過(guò)安全性驗(yàn)證后即建立起VPN隧道連接。WindowsServer2003下的VPN配置需在WindowsServer2003局域網(wǎng)的PPTP服務(wù)器和遠(yuǎn)程的PPTP用戶計(jì)算機(jī)兩方進(jìn)行配置oWindowsServer2003局域網(wǎng)中用于PPTP的服務(wù)器必須已經(jīng)安裝WindowsServer2003，正確配置TCP/IP網(wǎng)絡(luò)協(xié)議，并有Internet上的一個(gè)合法IP地址，而且可以正確連入Internet。然后可以按順序安裝點(diǎn)對(duì)點(diǎn)通道協(xié)議(PPTP)并配置VPN用戶。其過(guò)程如下：建立Internet連接。通過(guò)各種線路上網(wǎng)，如通過(guò)撥號(hào)上163。建立虛擬專用網(wǎng)連接。選擇【開(kāi)始】|【控制面板】|【網(wǎng)絡(luò)連接】命令。選擇【新建連接】選項(xiàng)，再選擇【連接到Internet】選項(xiàng)，如圖所示：新建連接向?qū)ЬW(wǎng)結(jié)連接類(lèi)型您想做什么?舊連接到Internet(C)s蓮蠲?益.適暮您就可以洌覽Web或閱讀電子郵件口廣連接到我的工作場(chǎng)所的網(wǎng)路(Q)連接到一個(gè)商業(yè)網(wǎng)洛〔使用撥號(hào)或VFN)，這樣您就可以在家里或者其它地方辦公-r設(shè)置高疆連接d)用并口，串口或紅外端口直接連接到其它計(jì)聳機(jī)，或設(shè)置此計(jì)聳機(jī)使其它計(jì)算機(jī)能與它連接。步】如圖(3)然后選擇【用要求用戶名和密碼的寬帶連接來(lái)連接】選項(xiàng)。單擊【下圖所示:(4)(5)創(chuàng)建IP安全策略。在WindowsServer2003中選擇【開(kāi)始】I【程序】I【管理工具】I【本地安全策略】命令。選擇【新IP安全策略】選項(xiàng)，建立一個(gè)新的IP安全策略，如圖所示:ip安全策略目導(dǎo)IF安全策略名稱命名這個(gè)IF安全策略并且給出一個(gè)簡(jiǎn)短的描述(6)后創(chuàng)機(jī)管理】命令，然3.J用戶設(shè)置。選擇【開(kāi)始】I【程序】I【管理工具】I【計(jì)算建新用戶，給出權(quán)限，編輯屬性，如圖所示：使用WindowsServer2003部署基于L2TP/IPSec的站點(diǎn)到站點(diǎn)VPN連接的過(guò)程由以下步驟組成：（1）部署證書(shū)基礎(chǔ)構(gòu)架（2）部署Internet基礎(chǔ)構(gòu)架（3）部署應(yīng)答路由器（4）部署呼叫路由器（5）部署AAA基石出構(gòu)架（6）部署站點(diǎn)網(wǎng)絡(luò)基礎(chǔ)構(gòu)架（7）部署站點(diǎn)間網(wǎng)絡(luò)基礎(chǔ)構(gòu)架3.5.1部署證書(shū)基礎(chǔ)構(gòu)架要安裝計(jì)算機(jī)證書(shū)，須擁有一個(gè)簽署證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu)（CA）。如果這個(gè)CA是一個(gè)WindowsServer2003CA,可通過(guò)下面幾種不同的方法，在身份驗(yàn)證服務(wù)器的計(jì)算機(jī)證書(shū)存儲(chǔ)庫(kù)中安裝證書(shū)。（1）配置自動(dòng)將計(jì)算機(jī)證書(shū)分配給ActiveDirectory域中的計(jì)算機(jī)。這種方法允許整個(gè)域的單點(diǎn)配置。域中所有成員自動(dòng)地通過(guò)組策略獲得計(jì)算機(jī)證書(shū)。（2）使用證書(shū)管理器嵌入式管理單元來(lái)請(qǐng)求證書(shū)，并存儲(chǔ)在證書(shū)（本地計(jì)算機(jī)）/個(gè)人文件夾中。這種方法需要每個(gè)計(jì)算機(jī)單獨(dú)地從CA請(qǐng)求計(jì)算機(jī)證書(shū)，所以必須擁有管理員權(quán)限來(lái)使用證書(shū)管理器嵌入式管理單元安裝證書(shū)。（3）使用InternetExplorer和Web注冊(cè)來(lái)請(qǐng)求證書(shū)，并存儲(chǔ)在本地機(jī)器存儲(chǔ)庫(kù)中。在這種方法中，每個(gè)計(jì)算機(jī)必須單獨(dú)地從CA請(qǐng)求計(jì)算機(jī)證書(shū)，必須具有管理員權(quán)限來(lái)使用Web注冊(cè)來(lái)安裝證書(shū)。3.5.2部署Internet基礎(chǔ)構(gòu)架部署站點(diǎn)到站點(diǎn)VPN連接的Internet基礎(chǔ)構(gòu)架包括下列步驟：（1）將VPN路由器放置在周邊網(wǎng)絡(luò)或Internet中。根據(jù)Internet防火墻來(lái)放置VPN路由器。在大部分常規(guī)配置中，VPN路由器都被放置在站點(diǎn)和Internet間的周邊網(wǎng)絡(luò)中，位于防火墻之后。需要在防火墻上配置數(shù)據(jù)包篩選器，允許所有進(jìn)出VPN路由器周邊網(wǎng)絡(luò)接ElIP地址的L2TP/IPSec流量。（2）在VPN路由器計(jì)算機(jī)上安裝WindowsServer2003，并配置Internet接口。在VPN路由器計(jì)算機(jī)上安裝WindowsServer2003，并將它的一個(gè)網(wǎng)絡(luò)適配器連接到Internet或周邊網(wǎng)絡(luò)，將另一個(gè)網(wǎng)絡(luò)適配器連接到站點(diǎn)。如果不運(yùn)行路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)В琕PN路由器計(jì)算機(jī)將不會(huì)在Internet和站點(diǎn)之間轉(zhuǎn)發(fā)IP數(shù)據(jù)包。對(duì)于連接到Internet或周邊網(wǎng)絡(luò)的連接，需配置TCP/IP協(xié)議，使其具有防火墻或ISP路由器的公共IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。3.5.3部署應(yīng)答路由器為站點(diǎn)到站點(diǎn)VPN連接部署應(yīng)答路由器包括以下步驟配置連接到站點(diǎn)的應(yīng)答路由器連接使用手動(dòng)的TCP/IP配置來(lái)配置連接到站點(diǎn)的連接。其中包括IP地址、子網(wǎng)掩碼、站點(diǎn)DNS服務(wù)器和站點(diǎn)WINS服務(wù)器。運(yùn)行路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)н\(yùn)行路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)?lái)配置WindowsServer2003應(yīng)答路由器，步驟如下：（1）選擇【開(kāi)始】I【程序】I【管理工具】I【路由和遠(yuǎn)程訪問(wèn)】命令。右擊應(yīng)答路由器名稱，然后選擇【配置并啟用路由和遠(yuǎn)程訪問(wèn)】命令，單擊【下一步】如圖所示：文件（I）操作（A）查看世）幫助但）當(dāng)路由和遠(yuǎn)程訪問(wèn)=?服務(wù)器狀態(tài)123-FZUI645BKC6例地）123-FZUB645BKC6缽地）路由和遠(yuǎn)程訪問(wèn)服務(wù)器的配置要安裝路由和遠(yuǎn)程訪問(wèn)，在“操作”菜單上單擊“配置并啟用路由和遠(yuǎn)程訪問(wèn)”0有關(guān)安裝路由和遠(yuǎn)程訪問(wèn)，部署方案，以及疑難解答的更多信息，請(qǐng)參閱幫助。（2）在【配置】對(duì)話框中選擇【遠(yuǎn)程訪問(wèn)（撥號(hào)或VPN）】選項(xiàng)，單擊【下】，如圖路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)渲媚梢詥⒂孟铝蟹?wù)的任意蛆合，或者您可以自定曳此服務(wù)器。河遠(yuǎn)程訪問(wèn)勰號(hào)或..旃畫(huà)充酉遠(yuǎn)SSP端值迂戒號(hào)靠安全的虛擬專用網(wǎng)絡(luò)顯捫Internet連接來(lái)連接到此服務(wù)器。C網(wǎng)絡(luò)地址轉(zhuǎn)換QTAT）（1）允許內(nèi)部客戶端使用一個(gè)公共IP地址連接到Internet-C虛擬專用網(wǎng)路（VP明訪問(wèn)和NAT?允許遠(yuǎn)程客戶端通過(guò)Internet連接到此服務(wù)器，本地客戶端使用一個(gè)單一的公共IF地址連接到Internetor兩個(gè)專用網(wǎng)絡(luò)之間的安全連接匿）將此網(wǎng)絡(luò)連接到一個(gè)遠(yuǎn)程網(wǎng)路，例如一個(gè)分支辦公室。r自定義配置此）如果想將應(yīng)答路由器作為網(wǎng)絡(luò)地址轉(zhuǎn)懶。（NTA）web服務(wù)器或其，應(yīng)在【遠(yuǎn)程訪問(wèn)弟對(duì)話框中選擇VN選項(xiàng)，單擊【下一步］按鈕，如圖所示:（3）K由和遠(yuǎn)程訪問(wèn)服第器安裝向?qū)нh(yuǎn)程訪問(wèn)您與以配置此服務(wù)器接受撥號(hào)連接和VPN連接。他功能，際MPN?］VTU服務(wù)器他稱為VF1J網(wǎng)關(guān)）可以通過(guò)Internet從遠(yuǎn)程客戶端接受連接-r撥號(hào)?撥號(hào)遠(yuǎn)程訪問(wèn)服努器可以通過(guò)撥號(hào)媒體，例如調(diào)制解調(diào)器，從遠(yuǎn)程客戶端直接接受連接-（4）在VPN連接中，單擊對(duì)應(yīng)于連接到Internet，然后單擊【下一步】按鈕＜上一步魚(yú)）下伊更）＞取消|(3)在【連接類(lèi)型】對(duì)話框中選擇【使用虛擬專用網(wǎng)絡(luò)連接(VPN(3)在【連接類(lèi)型】對(duì)話框中選擇【使用虛擬專用網(wǎng)絡(luò)連接(VPN)】選項(xiàng)，然后單擊【下一步】按鈕，如圖所示：(4)在【VPN類(lèi)型】對(duì)話框中，選擇【第2層隧道協(xié)議(L2TP)】選項(xiàng)，然后單擊【下一步】按鈕，如圖所示：在IP地址分配中，如果應(yīng)答路由器實(shí)驗(yàn)DHCP為遠(yuǎn)程訪問(wèn)VPN客戶端和呼叫路由器獲得IP地址，則單擊【自動(dòng)】按鈕。在完成IP地址分配后，單擊【下一步】按鈕。在管理多種遠(yuǎn)程訪問(wèn)服務(wù)器中，如將RADIUS用于身份驗(yàn)證和授權(quán)，單擊【是】按鈕，設(shè)置服務(wù)器與RADIUS服務(wù)器協(xié)同工作。然后單擊【下一步】。在RADIUS服務(wù)器選擇中，配置主和替補(bǔ)RADIUS服務(wù)器以及共享密鑰，然后單擊【下一步】，再單擊【完成】按鈕。配置請(qǐng)求撥號(hào)接口在應(yīng)答路由器的路由和遠(yuǎn)程訪問(wèn)嵌入式管理單元中，執(zhí)行以下操作：在控制臺(tái)樹(shù)中，右擊網(wǎng)絡(luò)接口，然后單擊新建請(qǐng)求撥號(hào)接口。在【歡迎請(qǐng)求撥號(hào)接口向?qū)А繉?duì)話框，單擊【下一步】按鈕。在【接口名稱】對(duì)話框中輸入請(qǐng)求撥號(hào)接口的名稱，單擊【下一步】按鈕，如圖所示：

（5）在【目標(biāo)地址】對(duì)話框中輸入呼叫路由器的IP地址。對(duì)于雙向初始化的路由器到路由器VPN連接，配置呼叫路由器的IP地址，如圖所示:（6）在【協(xié)議及安全措施】對(duì)話框中選擇【在此接口上路由選擇IP數(shù)據(jù)包】選項(xiàng)和【添加一個(gè)用戶賬戶使遠(yuǎn)程路由器可以接入】選項(xiàng)，然后單擊【下一步】按鈕，如圖所示：（7）在【遠(yuǎn)程網(wǎng)絡(luò)的靜態(tài)路由】對(duì)話框中單擊【添加】按鈕，添加分配給請(qǐng)求撥號(hào)接口的靜態(tài)路由，如圖所示：（8）在【撥用戶賬戶的密請(qǐng)求撥號(hào)接口向?qū)?SJ接入憑露配置遠(yuǎn)程路由器撥入這臺(tái)服務(wù)器時(shí)要使用的用戶名和密碼O您需要設(shè)置遠(yuǎn)程路由器用來(lái)連到此接口的撥入憑據(jù)。會(huì)使用您所輸入的信息■在此路由器上創(chuàng)建用戶幅戶。用戶名?：密碼口：確認(rèn)密碼（￡）：（9）在〔撥出憑據(jù)】對(duì)話框的【用戶名】文本框中輸入用戶名，在【域】中在【密碼】和【確認(rèn)密碼】。如圖所示：輸入用戶用戶名?：密碼口：確認(rèn)密碼（￡）：（9）在〔撥出憑據(jù)】對(duì)話框的【用戶名】文本框中輸入用戶名，在【域】中在【密碼】和【確認(rèn)密碼】。如圖所示：輸入用戶賬戶域名請(qǐng)求撥號(hào)接口向?qū)?S1撥出憑據(jù)配置連接到遠(yuǎn)程路由器時(shí)要使用的用戶名和密碼。您必須設(shè)定連接到遠(yuǎn)程路由器時(shí)此接口使用的撥出憑據(jù)。這些憑據(jù)必須和在遠(yuǎn)程路由器上配置的撥入憑據(jù)匹配0用戶名?:域?：密碼（I）：確認(rèn)密碼（￡）:（10）在（完成請(qǐng)求撥號(hào)接口向?qū)В?duì)話框中單擊（完成）按鈕。取消|請(qǐng)參fit號(hào)播口目導(dǎo)完成請(qǐng)求撥號(hào)接口向?qū)Аｗ燃航?jīng)成功地完成了請(qǐng)求披號(hào)■按口向?qū)?器，由法n1in￥遷由口i而富茵%此口擊成O■性“簞“中用E星您歸后3.5.4部署呼叫路由器為站點(diǎn)到站點(diǎn)VPN連接部署呼叫路由器包括以下步驟：配置連接到站點(diǎn)的呼叫路由器連接。使用手動(dòng)的TCP/IP配置來(lái)配置連接到站點(diǎn)的連接，其中包括IP地址、子網(wǎng)掩碼、站點(diǎn)DNS服務(wù)器和站點(diǎn)WINS服務(wù)器。運(yùn)行路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)配置請(qǐng)求撥號(hào)接口。3.5.5部署AAA基石出構(gòu)架為站點(diǎn)到站點(diǎn)VPN連接部署AAA基礎(chǔ)構(gòu)架包括以下步驟：為用戶賬戶和組配置ActiveDirectoryo所有呼叫路由器需要擁有相對(duì)應(yīng)的用戶賬戶，并具有正確的賬戶和撥入設(shè)置。使用請(qǐng)求撥號(hào)接口向?qū)?，在協(xié)議和安全性頁(yè)面中選中添加一個(gè)遠(yuǎn)程路由器可以撥號(hào)的用戶賬戶復(fù)選框時(shí)，會(huì)自動(dòng)地創(chuàng)