虛擬專用網(wǎng)教學案例設(shè)計與研究

[摘 要]為了提高遠程訪問虛擬專用網(wǎng)課堂教學效果，通過Vm Ware環(huán)境下設(shè)計VPN教學案例，通過讓學生配置Windows Server 2003為VPN服務(wù)器及客戶端VPN連接以及建立并測試VPN連接，使學生掌握VPN的基本概念和操作，并拓展遠程訪問虛擬專用網(wǎng)的功能研究。

[關(guān)鍵詞]VPN;遠程訪問;虛擬專用連接

隨著Internet在全球的普及和發(fā)展，虛擬專用網(wǎng)技術(shù)VPN越來越引起人們的關(guān)注，已經(jīng)成為未來Internet應(yīng)用和網(wǎng)絡(luò)安全研究的一個重要方向。所謂VPN是指通過一個公用網(wǎng)絡(luò)（通常是Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，是在現(xiàn)有的公用網(wǎng)絡(luò)平臺上構(gòu)筑不受地域限制而受企業(yè)統(tǒng)一策略控制和管理的企業(yè)網(wǎng)絡(luò)。

一、VPN教學案例的設(shè)計

1.準備常用軟件-Vm Ware 、Windows Server 2k3的ISO鏡像文件。

2.配置

本案例中，每個學生的電腦上Vm Ware環(huán)境下預(yù)先安裝好三臺Win 2k3企業(yè)版，獨立服務(wù)器系統(tǒng)。學生可以根據(jù)老師設(shè)計的網(wǎng)絡(luò)拓撲及IP地址分配，對各計算機進行相關(guān)的配置。下面就某位學生的詳細配置，如圖1所示。

一臺設(shè)計為Client，安裝一個網(wǎng)卡，設(shè)置為VNE T1，IP地址為202.1.1.2/24，把它看成異地遠程用戶撥號VPN客戶機。

一臺設(shè)計為VPN Server，安裝兩個網(wǎng)卡，其中一個設(shè)置為VNE T1（外部網(wǎng)絡(luò)），出口IP地址為202.1.1.1/24，另一個設(shè)置為VNE T2（內(nèi)部網(wǎng)絡(luò)），局域網(wǎng)IP地址為192.168.18.1/24。

一臺設(shè)計為Web_CA_RADIUS_Server，安裝一個網(wǎng)卡，設(shè)置為VNE T2，IP地址為192.168.18.2/24，網(wǎng)關(guān)設(shè)置為192.168.18.1，Web_CA_RADIUS_Server同時安裝好Web、FTP等服務(wù)，作為局域網(wǎng)內(nèi)部用戶使用共享資源。

在網(wǎng)絡(luò)拓撲中，為了更好地理解本實例的操作過程，互聯(lián)網(wǎng)絡(luò)已經(jīng)簡化為VNE T1，網(wǎng)段是202.1.1.0/24，局域網(wǎng)為VNE T2，網(wǎng)段是192.168.18.0/24。這樣，VPN客戶機在進行VPN撥號前確認已經(jīng)連接上互聯(lián)網(wǎng)（通過局域網(wǎng)、ADSL撥號等方式）的步驟就可以省了。

3.VPN Server 服務(wù)器安裝及配置

① 在VPN Server上以管理員身份登錄，單擊菜單開始/管理工具的“配置您的服務(wù)器向?qū)А保蜷_“配置您的服務(wù)器向?qū)А睂υ捒?，單擊下一?下一步;在配置此服務(wù)器頁，選擇“⊙自定義配置”，“下一步”;

②在服務(wù)器角色中，選中“遠程訪問/VPN服務(wù)器”，單擊下一步/下一步/下一步;

③在配置頁，選擇“⊙遠程訪問（撥號或VPN）?！薄跋乱徊健?

④在遠程訪問頁，選擇“VPN”“下一步”;

⑤在VPN連接頁，配置遠程訪問服務(wù)器外網(wǎng)連接網(wǎng)卡，選擇VNET1 202.1.1.1，單擊“下一步”;

⑥在IP地址指定頁，選擇“⊙來自一個指定的地址范圍（F）”，“下一步”;在地址范圍指定中，點擊“新建”，創(chuàng)建一個從192.168.18.100至192.168.1.00共101個IP地址數(shù)的地址范圍，“確定”。單擊“下一步”繼續(xù);

⑦管理多個遠程訪問服務(wù)器頁。這里要有兩個選項，一“○否，使用路由和遠程訪問來對連接請求進行身份驗證（O）”，即VPN遠程撥入用戶賬號身份驗證在VPN Server進行;二“○是，設(shè)置此服務(wù)器與RADIUS服務(wù)器一起工作（Y）”，即VPN遠程撥入用戶賬號身份驗證在Radius服務(wù)器進行。先選擇“⊙否，……”，單擊“下一步”， 單擊“完成”按鈕，確定，完成安裝。

⑧至此，VPN服務(wù)器已經(jīng)安裝好了。以后可以通過選擇VPN Server的屬性，修改相關(guān)的一些配置， PPTP和L2TP協(xié)議端口默認情況下都是128個，這代表它允許同時連接該協(xié)議類型的VPN客戶數(shù)量。另外VPN客戶的并發(fā)連接數(shù)，還受到Windows系統(tǒng)版本限制。

4.配置VPN用戶賬戶

①前面安裝VPN服務(wù)器時，選擇了本地驗證撥號用戶，所以VPN用戶在VPN Server中創(chuàng)建管理，同時設(shè)置開放撥入權(quán)限。操作過程，單擊菜單開始/管理工具/計算機管理，打開計算機管理對話框;雙擊“本地用戶和組”，右擊“用戶”，選擇“新建用戶”，如“V1”，密碼為“123asd，./”。

②設(shè)置用戶允許撥入權(quán)限。右擊用戶“V1”，選擇“屬性”，打開V1屬性對話框，點擊“撥入”標簽，在遠程訪問權(quán)限（撥入或VPN）欄，選中“⊙允許訪問”，開放相應(yīng)的權(quán)限。

5.創(chuàng)建并配置客戶端Client的VPN連接

①在外部VPN客戶機Client上以管理員身份登錄，在命令窗口使用命令Ping 202.1.1.1先確保與VPN服務(wù)器網(wǎng)絡(luò)連通。點擊菜單開始/控制面板/網(wǎng)絡(luò)連接/新建連接向?qū)?。打開新建連接向?qū)ы?，單擊“下一步?

②在網(wǎng)絡(luò)連接類型對話框，選擇“⊙連接到我的工作場所的網(wǎng)絡(luò)（O）”，單擊“下一步”;

③在網(wǎng)絡(luò)連接頁，單擊“⊙虛擬專用網(wǎng)絡(luò)連接（V）”，單擊“下一步”;

④在連接名中，輸入名稱，如：VPN test，然后單擊“下一步”;

⑤在公用網(wǎng)絡(luò)頁，由于VPN撥號是建立在互聯(lián)網(wǎng)上的，即互聯(lián)網(wǎng)先聯(lián)通，才能建立VPN連接，在這里，我們用VNE T1模擬互聯(lián)網(wǎng)，所以選擇“⊙不撥初始連接（D）”，然后單擊“下一步”;

⑥在VPN服務(wù)器選擇頁，鍵入目標地址即VPN 服務(wù)器的IP地址或主機名（如202.1.1.1），單擊“下一步”;

⑦在可用連接頁，選擇“⊙只是我使用（M）”選項。單擊“下一步”。單擊“完成”按鈕以保存新建的連接。

6.建立并測試VPN連接

①在外部VPN客戶機Client上，打開剛才創(chuàng)建的VPN test連接，在用戶帳戶和密碼上分別輸入V1，123asd，./，單擊“撥號”按鈕，將開始建立VPN連接。連接成功將在狀態(tài)欄右側(cè)將顯示連接圖標。

②通過測試，可以從以下任一種方式說明VPN連接成功：a.在命令提示窗用Ipconfig /all 檢查PPP adapter? vpntest：獲得TCP/IP參數(shù);b.ping 192.168.18.2可以檢查到內(nèi)部局域網(wǎng)絡(luò)是否暢通;c.打開IE瀏覽器，地址欄輸入URL http：//192.168.18.2或者ftp：//192.168.18.2都可以檢查VPN撥號是否成功。測試表明遠程虛擬專用網(wǎng)用戶撥號成功，能夠正常使用遠程局域網(wǎng)的資源了。

二、研究決定VPN遠程撥號用戶賬戶身份驗證方式

決定VPN遠程撥號用戶賬戶身份驗證方式，是Windows還是RADIUS，也就是VPN遠程撥號用戶賬戶在哪里創(chuàng)建。前面在VPN服務(wù)器安裝過程中的第七步管理多個遠程訪問服務(wù)器時，我們選擇了“⊙否，使用路由和遠程訪問來對連接請求進行身份驗證”，所以遠程撥號用戶賬戶在VPN服務(wù)器中創(chuàng)建，并成功完成實驗。如果遠程撥號用戶賬戶要在Radius Server中創(chuàng)建，即撥號用戶的身份驗證服務(wù)器為Radius Server時，又該如何做呢？這樣可以分兩種情況進行說明，第一是接著剛才的實驗，直接修改VPN服務(wù)器的配置，使得遠程身份驗證服務(wù)器修改為Radius服務(wù)器;第二是在安裝VPN服務(wù)器時，就直接選擇Radius服務(wù)器進行身份驗證。兩種情況都要在Radius服務(wù)器上做好相應(yīng)的配置。

對于第一種情況操作：可以在VPN Server系統(tǒng)中，單擊菜單，“開始”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”對話框，右擊VPN Server服務(wù)器，選擇“屬性”，打開如圖2所示“VPN Server（本地）屬性”對話框，選擇“安全”選項卡，將“身份驗證提供程序”由Windows 身份驗證改為RADIUS 身份驗證，點擊“配置”按鈕，點擊“添加”，在服務(wù)器名：輸入192.168.18.2（Radiu Server的IP地址），點擊機密的“更改”，輸入新機密，確認新機密都為abc123456?！按_定”，“確定”，“確定”，“確定”，“確定”。如圖2所示。

第二種情況操作：安裝VPN服務(wù)器時，就設(shè)置VPN遠程撥號賬戶在Radius Server上進行驗證。所以在進行VPN服務(wù)器安裝配置過程中的第七步，“在管理多個遠程訪問服務(wù)器頁”，選擇“⊙是，使用轉(zhuǎn)發(fā)到遠程身份驗證撥號用戶服務(wù)（RADIUS）服務(wù)器進行身份驗證”，然后單擊“下一步”，在RADIUS服務(wù)器選擇中，主RADIUS服務(wù)器，填寫Radius Server的IP地址，這里是192.168.18.2;備用RADIUS服務(wù)器：可以空著，共享的機密，填寫abc123456，單擊“下一步” 單擊“完成”按鈕，完成安裝。

最后都要在RADIUS服務(wù)器上進行遠程撥號用戶賬戶的創(chuàng)建及RADIUS用戶配置。

比如，在RADIUS服務(wù)器上以管理員身份登錄，創(chuàng)建用戶v2，密碼：123asd，./，步驟同上。然后在RADIUS服務(wù)器系統(tǒng)上，安裝Internet驗證服務(wù)。方法是：點擊菜單“開始”→“控制面板”→ “添加/刪除Windows組件”，選中網(wǎng)絡(luò)服務(wù)里面的“Internet驗證服務(wù)”，點擊“確定”，完成Internet 驗證服務(wù)的安裝。再進行RADIUS客戶端配置，操作方法：點擊菜單“開始”→“管理工具”→“Internet驗證服務(wù)”，打開Internet驗證服務(wù)對話框，右擊“RADIUS客戶端”→選擇“新建RADIUS客戶端”， 如圖3所示。輸入好記的名稱，如VPN example，在客戶端地址中輸入VPN服務(wù)器的內(nèi)網(wǎng)IP，如192.168.18.1，點擊“下一步”，再輸入共享的機密及確認共享機密，這里要前面的共享機密一致（abc123456）。

回到VPN遠程客戶機Client上進行測試。通過測試，發(fā)現(xiàn)原來的V1賬戶不能撥入了，只能用V2賬戶進行測試，這就說明身份驗證改為RADIUS身份驗證之后，賬戶只能在RADIUS服務(wù)器上創(chuàng)建管理。

三、研究VPN遠程撥號用戶IP地址設(shè)計與配置

前面說到，VPN服務(wù)器安裝配置過程的“⑥ IP地址指定”，就是設(shè)置給VPN遠程撥號用戶配置IP地址的來源。前面的配置已經(jīng)選擇“⊙來自一個指定的地址范圍”，且立刻定義了一個IP范圍，這個IP地址范圍，沒有限制哪個網(wǎng)段，即所有網(wǎng)段都可以的，實驗也測試成功。如果在這個步驟中選擇“⊙自動”的話，我們就要在VPN服務(wù)器上或者在RADIUS服務(wù)器上，安裝DHCP服務(wù)器并創(chuàng)建IP作用域。

首先，修改遠程撥號用戶的IP地址指派。在VPN服務(wù)器系統(tǒng)中，單擊菜單，開始→管理工具→路由和遠程訪問，打開“路由和遠程訪問”對話框，右擊VPN Server服務(wù)器，選擇“屬性”，打開如圖2所示“VPN Server（本地）屬性”對話框，點擊“IP”選項卡，在IP地址指派項目欄中，選擇“⊙動態(tài)主機配置協(xié)議（DHCP）（N）”。點擊“確定”按鈕，完成VPN遠程撥號用戶IP地址來源指定。

接著，在VPN服務(wù)器或RADIUS服務(wù)器上，安裝DHCP服務(wù)器。方法：運行菜單，開始→控制面板→添加/刪除程序→添加/刪除Windows組件（A）→網(wǎng)絡(luò)服務(wù)→詳細信息→動態(tài)主機配置協(xié)議（DHCP），確定就安裝好DHCP服務(wù)器了。

最后設(shè)置DHCP服務(wù)器：打開DHCP服務(wù)器，并創(chuàng)建IP地址作用域。

方式一：創(chuàng)建的作用域IP地址范圍設(shè)置為與內(nèi)網(wǎng)同一網(wǎng)段（這里是192.168.18.0/24），但要排除已經(jīng)使用的IP地址（具體操作方法不在這討論）。

方式二：創(chuàng)建的作用域IP地址范圍設(shè)置為與內(nèi)網(wǎng)不同的網(wǎng)段時，通過創(chuàng)建超級作用域，包含創(chuàng)建的內(nèi)網(wǎng)網(wǎng)段作用域，但不激活，激活希望獲得網(wǎng)段的IP作用域。

轉(zhuǎn)到Client上，通過測試，VPN撥號成功，并成功訪問內(nèi)網(wǎng)共享資源。

四、研究VPN遠程撥號用戶撥號成功后，同時可以訪問內(nèi)網(wǎng)資源及訪問外網(wǎng)

此教案的設(shè)計比較特別，互聯(lián)網(wǎng)是簡化后的局域網(wǎng)，這樣VPN客戶在進行VPN撥號前省略了連接互聯(lián)網(wǎng)的步驟。在此案例中，如何讓VPN遠程撥號用戶VPN撥號成功后既可以訪問遠程局域網(wǎng)共享資源，又可以訪問互聯(lián)網(wǎng)呢？究其原因，第一，本身VPN服務(wù)器內(nèi)部局域網(wǎng)是不能上互聯(lián)網(wǎng)，第二，VPN遠程撥號用戶賬戶撥號成功后，所獲得的TCP/IP信息中，沒有DNS信息，所以不能上網(wǎng)。

解決第一個問題，可以通過增加一塊網(wǎng)卡，通過橋接方式，連接物理外網(wǎng)，保證VPN Server可以上外網(wǎng)，解決第二個問題，通過配置DHCP服務(wù)器IP作用域的服務(wù)器選項的006DNS服務(wù)器配置為實際可用DNS，如廣州DNS主機202.96.128.166。

首先，我們要求將VPN Server增加一個網(wǎng)卡，并采用橋接模式（自動連接），根據(jù)實際上網(wǎng)方式，設(shè)置合適的外部物理網(wǎng)絡(luò)真實TCP/IP參數(shù)（靜態(tài)方式、DNS或DHCP方式），連接到物理外網(wǎng)，確保能上外網(wǎng)。

然后，在VPN Server上，打開路由和遠程訪問管理控制臺，選中“VPN Server（本地）”，單擊菜單“操作”，選擇“禁用路由和遠程訪問（S）”，完成;再選擇操作/配置并誤用路由和遠程訪問（C），單擊“下一步”;選擇“⊙自定義配置（C）”，“下一步”;同時選上“VPN訪問（V）”和“NAT和基本防火墻（A）”，下一步，完成，選擇“否暫不開啟服務(wù)”;右擊“NAT/基本防火墻”，選擇“新增接口”，選擇剛才增加的“橋接模式”網(wǎng)卡VMnet3接口。接口類型：選擇“⊙公用接口連接到Internet（U）”，同時選擇“在此接口上啟用NAT（E）”，確定;啟動路由與遠程訪問服務(wù)。

在Client上進行測試，VPN撥號成功，檢查PPP獲得的TCP/IP參數(shù)（包含IP、DNS等參數(shù)），打開IE成功訪問內(nèi)網(wǎng)共享資源和互聯(lián)網(wǎng)資源，如圖4所示。

五、研究支持VPN客戶端使用PPTP和預(yù)共享密鑰L2TP/IPSec協(xié)議進行遠程訪問VPN連接

在VPN客戶端的網(wǎng)絡(luò)連接類型有自動、PPTP VPN和L2TP/IPSec VPN三種方式。其中L2TP/IPSec VPN連接提供預(yù)共享密鑰和證書服務(wù)兩種方式。以上測試的連接都是PPTP模式的VPN連接，下面研究配置預(yù)共享密鑰L2TP/IPSec VPN模式連接。

在VPN Server和Client電腦上，同時配置相同的預(yù)共享密鑰即可。

①在VPN Server上，打開路由和遠程訪問管理控制臺，選中“VPN Server（本地）”，單擊菜單“操作”，選擇“屬性”，單擊“安全”標簽，勾選“為L2TP連接允許自定義IPSec策略（L）”，輸入“1”為預(yù)定義的共享密鑰，單擊“確定”。

②在Client上，打開“網(wǎng)絡(luò)連接”窗口，雙擊虛擬專用連接“VPN test”，單擊“屬性”，單擊“安全”標簽，單擊“IPSec設(shè)置（P）”按鈕，勾選“使用預(yù)共享的密鑰作身份驗證”，輸入“1”與VPN Server預(yù)共享密鑰相同，單擊確定;單擊“網(wǎng)絡(luò)”標簽，選擇“L2TP/IPSec VPN”VPN類型，單擊確定;輸入前面的賬號密碼，單擊“連接”，即可成功登錄VPN Server。

如果采用預(yù)共享密鑰L2TP/IPSec方式，則所有的VPN客戶必須使用相同的L2TP共享密鑰，這樣會使得L2TP/IPSec安全性大大降低，所以在商用網(wǎng)絡(luò)中不使用預(yù)共享密鑰的L2TP連接，而建議使用證書服務(wù)的L2TP/IPSec連接。

六、研究通過證書服務(wù)的L2TP/IPSec協(xié)議進行遠程訪問的VPN連接

為了實現(xiàn)更加安全可靠的證書服務(wù)的L2TP/IPSec協(xié)議進行遠程訪問的VPN連接，必須部署好CA服務(wù)器，然后為VPN服務(wù)器和VPN客戶端分別申請服務(wù)器身份驗證和客戶端證書。

1.安裝獨立根CA服務(wù)器

①在Web_CA_RADIUS服務(wù)器上，開始→控制面板→添加/刪除程序，點擊添加/刪除Windows組件（A），勾選證書服務(wù)，“下一步”，在CA類型，選擇⊙獨立根，“下一步”，在CA識別信息頁，輸入此CA的公用名稱為Web_CA_RADIUS，“下一步”，“是”，“是”，“下一步”，“是”，完成安裝CA服務(wù)器。

獨立根CA服務(wù)器安裝成功與否，可以通過查看，開始程序管理工具服務(wù)，打開服務(wù)控制臺，可以看到證書服務(wù)（Certificate Services）的啟動狀態(tài)和描述信息為已啟動等。另外，為了讓證書申請之后，直接進入頒發(fā)狀態(tài)，必須完成第②步的處理證書請求設(shè)置。

②在Web_CA_RADIUS服務(wù)器上，開始→管理工具→證書頒發(fā)機構(gòu)，打開證書頒發(fā)機構(gòu)對話框，右擊證書服務(wù)器名稱，選擇屬性，點擊策略模塊標簽，點擊屬性，在收到證書請求時執(zhí)行下面的操作：選擇“⊙如果可以的話，按照證書模板中的設(shè)置。否則，將自動頒發(fā)證書（F）”。確定，確定。

2.安裝配置VPN Server服務(wù)器身份驗證證書和Client客戶端驗證證書。

對于獨立根的CA，網(wǎng)頁是證書申請者能與CA接口的主要方式，企業(yè)CA則可以通過證書管理單元或Web注冊頁來接受證書申請，在這里通過Web注冊頁完成證書申請。

①在vpnServer上以管理員賬戶登錄，打開IE瀏覽器，在“地址”文本框中輸入CA服務(wù)器Web支持頁的URLhttp：//192.168.18.2/certsrv，按回車鍵后打開證書服務(wù)器主頁，在歡迎頁，單擊“下載一個CA證書，證書鏈或CRL”鏈接。

②再下載一個CA證書、證書鏈或CRL頁，單擊“下載一個CA證書”，在彈出的文件下載對話框中，選擇保存，并選好路徑及名稱存放起來，關(guān)閉IE。

③按win鍵+R打開運行，輸入mmc，點擊確定，在彈出的控制臺1窗口，單擊文件菜單下的添加/刪除管理單元;在彈出的添加/刪除管理單元對話框，單擊添加;然后在彈出的添加獨立管理單元對話框，雙擊“證書”;在證書管理單元頁，選擇“⊙計算機賬戶”，點擊下一步;在選擇計算機對話框，接受默認的“⊙本地計算機……”，單擊完成，單擊關(guān)閉、確定創(chuàng)建證書管理控制臺1。

④雙擊控制臺1的“證書（本地計算機）”，在展開的“受信任的根證書頒發(fā)機構(gòu)”，右擊鼠標，選擇所有任務(wù)下的導(dǎo)入，將剛才下載保存的證書導(dǎo)入其中。

⑤再次打開IE，在“地址欄”中輸入http：//192.168.18.2/certsrv，按回車鍵后打開證書服務(wù)器主頁，在歡迎頁，單擊“申請一個證書”鏈接。

⑥在申請一個證書頁，單擊“高級證書申請”鏈接。

⑦在“高級證書申請”頁，單擊“創(chuàng)建并向CA提交一個申請” 鏈接。在識別信息的姓名欄，輸入“VPN Server”（VPN Server的計算機名）;在需要的證書類型中，選擇“服務(wù)器身份驗證證書”;再勾選“將證書保存在本地計算機存儲中”，點擊提交按鈕。

⑧在彈出的警告提示框上點擊是，打開證書已頒發(fā)頁，點擊“安裝此證書”鏈接;在彈出的警告提示框上點擊是，完成證書安裝。至此，VPN Server服務(wù)器身份驗證證書安裝完畢。

在Client上先用PPTP或L2TP共享密鑰方式登錄VPN，再按上述方式完成客戶端身份驗證證書的申請安裝，完成后，再去掉共享密鑰，并在VPN連接設(shè)定L2TP/IPSec VPN連接類型。測試成功。

參考文獻：

[1]IT同路人.非常網(wǎng)管：windows Server 2003服務(wù)器架設(shè)實例詳解[M].北京：人民郵電出版社.2010.

[2]王達.虛擬專用網(wǎng)（VPN）精解[M].北京：清華大學出版社，2004.

[作者簡介]

陳水生（1972—），男，廣東博羅人，博羅中等專業(yè)學校計算機網(wǎng)絡(luò)技術(shù)講師、高級技師、網(wǎng)絡(luò)工程師，研究方向：計算機網(wǎng)絡(luò)技術(shù)與物聯(lián)網(wǎng)。

[作者單位]

廣東省惠州市博羅中等專業(yè)學校

（編輯：薄躍華）