建立站点到站点虚拟专用网络连接的逐步式指南
此逐步式指南提供了建立路由和远程访问服务 (RRAS) 结构(此结构通过请求拨号连接为站点到站点虚拟专用网络 (VPN) 提供支持)指导。
本页内容
 | 简介 |
| 概述 |
| 配置路由和远程访问服务 |
| 配置请求拨号接口 |
| 通过远程访问策略来扩展站点到站点安全性 |
| 配置 IPSec 共享密钥并对连接进行测试 |
| 其他资源 |
简介
逐步式指南
Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory®;安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
| • | |
| • |
在配置通用网络结构后,可以使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC
可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以便在 Internet 上使用。您不应在公共网络或 Internet 上使用此名称。
此通用结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。
概述
许多组织都有位于不同地理位置的办公地点,这些办公室需要使用远程站点连接。您可以使用 Windows Server 2003 路由和远程访问服务 (RRAS) 来部署经济有效且安全可靠的站点到站点解决方案。
过去,各组织使用广域网 (WAN) 站点到站点连接技术(如 T 载波或帧中继)并通过专用数据网络与远程站点相连。但是,这些专线的成本都非常高。例如,T 载波服务的成本是以带宽和距离为基础计算的,因此,连接成本相对较高。此外,T 载波通常需要专用的结构,包括信道业务单元/数据业务单元 (CSU/DSU) 以及连接两端的线路专用路由器。
与之相反,您可以使用现有服务器将 Windows Server 2003 RRAS 解决方案集成到组织的当前网络中。利用 RRAS 提供的站点到站点连接,您可以使用两种方案来替代传统的 WAN 链接:站点到站点拨号连接或站点到站点 VPN 连接。如果部署 RRAS 解决方案来替代现有 WAN 连接或者建立一个新连接,则可以对通信连接类型进行量身定制以最大限度地节约成本。您也可以对安全性进行定制以满足组织的要求。
在站点到站点部署中,RRAS 允许使用请求拨号路由(也称为“按需拨号路由”)。通过使用请求拨号接口,路由器可以在接收到要路由的数据包时,启动一个到远程站点的连接。只有在向远程站点发送数据时,该连接才变为活动连接。在经过指定时间后,如果仍没有通过该链接发送数据,则会断开该链接。
RRAS 还包括对请求拨号筛选器和拨出时间的支持。您可以使用请求拨号筛选器来指定允许创建连接的通信类型。请求拨号筛选器不同于 Internet 协议 (IP) 数据包筛选器,可通过对数据包筛选器进行配置来指定连接建立后允许进出接口的通信。您可以设置拨出时间以指定路由器可以拨出以建立请求拨号连接的时间。您还可以通过远程访问策略来配置路由器接受传入连接的时间。
注意:RRAS 支持远程办公地点之间的站点到站点连接以及各个计算机的远程访问连接。本逐步式指南重点讲述部署使用 Internet 协议安全 (IPSec) 及共享密钥的站点到站点 VPN 连接。
先决条件
| • | |
| • | |
| • |
指南要求
| • | 在配置站点到站点 VPN 解决方案时,必须将呼叫和应答路由器都配置为多主服务器。因此,每个服务器都应有一个可供使用的辅助网络接口卡 (NIC)。在本指南所述的过程中,辅助 NIC 使用下列设置。
| ||||
| • | 为了正确模拟站点到站点请求拨号连接,应将子域“vancouver”下的所有计算机都移到一个单独的网络中,或者它们可以使用第三个网络接口。在下一节中,为“vancouver”子域中的每台计算机配置了第三个网络接口。为每个接口配置的网络地址均为 30.0.0.0。如果您决定对 Vancouver 域进行物理分割,则应在 HQ-CON-DC-02 中安装并配置 DNS。 |
警告:本指南中所述的步骤概要介绍了创建使用 IPSec 共享密钥的请求拨号站点到站点 VPN 连接所需的配置。因此,本指南只应在测试环境下实施。有关规划和部署 Windows Server 2003 VPN 的更多信息,请参见 Windows Server 2003 虚拟专用网络。
配置路由和远程访问服务
在运行“路由和远程访问服务器安装向导”时,向导会提示您选择与要部署的远程访问解决方案最相似的配置路径。如果所有向导配置路径均不能完全满足您的要求,您可以在向导完成后进一步配置服务器,或者选择自定义配置路径。
尽管直接的目标是在两个专用网络之间配置一个安全连接,但在本系列文章的其他指南中,通过包括拨号对 RRAS 核心功能进行了详细阐述。因此,在随后的几节中,先将 RRAS 配置为 VPN 服务器,同时对站点到站点 VPN 进行手动配置。
注意:如果在安装 Windows Server 2003 时使用的是基本安装,实际上会默认安装 RRAS 组件,但并未启用或配置这些组件。
要在 HQ-CON-DC-01 上启用和配置路由和远程访问服务,请按照以下步骤操作:
1. | 单击“开始”按钮,指向“所有程序”,选择“管理工具”,然后单击“路由和远程访问”。 |
2. | 在“路由和远程访问”控制台上,右键单击“HQ-CON-DC-01”,然后单击“配置并启用路由和远程访问”。 |
3. | 在“路由和远程访问服务器安装向导”屏幕上,单击“下一步”。 |
4. | 单击“远程访问(拨号或 VPN)”单选按钮(默认),然后单击“下一步”。 |
5. | 选择“VPN”复选框(如图 1 所示),然后单击“下一步”。  图 1. 选择远程访问方法 |
6. | 在“网络接口”下面,单击以突出显示代表此站点到站点 VPN 所用 Internet 连接的适配器。保留默认选中的“启用安全”,然后单击“下一步”。 |
7. | 在“IP 地址指派”屏幕上,保留默认设置“自动”,然后单击“下一步”继续。 注意:在配置 RRAS 服务器时,需要确定远程访问服务器是使用动态主机配置协议 (DHCP) 来获取拨号客户端的地址,还是使用静态 IP 地址池来获取。如果使用静态 IP 地址池,请确定该池是服务器连接的 IP 网络中的一组地址构成的地址范围,还是一个单独的子网。如果静态 IP 地址池的地址范围代表一个不同的子网,则应确保 Intranet 路由器内存在到该地址范围的路由,以便将连接的远程访问客户端的通信传送到远程访问服务器。 |
8. | 在“管理多个远程访问服务器”屏幕上,保留默认设置“否,使用 RRAS 来对验证请求进行身份验证”,然后单击“下一步”。 注意:如果有多个远程访问服务器,您可以将一个使用 Internet 验证服务 (IAS) 的服务器配置为远程验证拨入用户服务 (RADIUS) 服务器,并将远程访问服务器配置为 RADIUS 客户端,而不必对所有远程访问服务器的远程访问策略单独进行管理。IAS 服务器提供了集中的远程访问验证、授权、记帐及审核。 |
9. | 在“正在完成路由和远程访问服务器安装向导”屏幕上,单击“完成”以完成 RRAS 的配置。 |
10. | 在如图 2 所示的“路由和远程访问”对话框中,单击“确定”以确认“DHCP 中继”要求。 注意:默认情况下,RRAS 提供的 DHCP 服务自动处理所有 DHCP 中继要求。在一个包括不同 DHCP 服务器的方案中,必须确保将该服务器配置为中继 DHCP 请求。 |
要在 HQ-CON-DC-02 上启用和配置路由和远程访问服务,请按照以下步骤操作:
1. | 单击“开始”按钮,指向“所有程序”,选择“管理工具”,然后单击“路由和远程访问”。 |
2. | 在“路由和远程访问”控制台上,右键单击“HQ-CON-DC-02”,然后单击“配置并启用路由和远程访问”。 |
3. | 在“路由和远程访问服务器安装向导”屏幕上,单击“下一步”。 |
4. | 单击“自定义配置”单选按钮,然后单击“下一步”。 |
5. | 单击“请求拨号连接(由分支办公室路由使用)”单选按钮,然后单击“下一步”。 |
6. | 在“正在完成路由和远程访问服务器安装向导”屏幕上,单击“完成”以完成 RRAS 的配置。 |
7. | 在“路由和远程访问”对话框中,单击“是”启动 RRAS 服务。 |
配置请求拨号接口
利用网络接口,所有运行 RRAS 的服务器可通过专用或公共网络与其他计算机进行通讯。网络接口有两个方面与路由和远程访问有关:物理硬件(如网络适配器)和网络接口配置。
在路由和远程访问中,网络接口属于下列类别。
| • | 专用接口 专用接口是实际连接到专用网络上的网络适配器。大多数专用网络均配置了专用网络 IP 地址范围;专用接口也配置了专用地址。由于专用网络在理论上讲是由已知用户和计算机组成的,因此对专用接口安全性方面的考虑通常要比公共接口少。 |
| • | 公共接口 公共接口是实际连接到公共网络(如 Internet)上的网络适配器。公共接口配置了公共 IP 地址。您可以对公共接口进行配置以执行网络地址转换 (NAT)。由于在理论上讲公共网络中的任何用户都可以访问公共接口,因此对公共接口安全性方面的考虑通常要比专用接口多。 |
| • | 请求拨号接口 请求拨号接口用来连接公共或专用网络上的特定路由器。请求拨号接口可以是按需接口(只有在需要时才激活),也可以是永久性接口(始终连接)。 |
除了将各个网络接口配置为公共、专用或拨号接口外,您还可以配置数据包筛选器、地址以及其他网络接口选项。某些选项专用于公共接口(如基本防火墙),而不能用于专用接口。
要在应答服务器 (HQ-CON-DC-01) 上配置请求拨号接口,请按照以下步骤操作:
1. | 在“路由和远程访问”控制台上,单击“HQ-CON-DC-01”旁边的加号 (+) 将树展开。 |
2. | 在“HQ-CON-DC-01”树下面,右键单击“网络接口”,然后单击“新建请求拨号接口”。 |
3. | 在“欢迎使用请求拨号接口向导”中,单击“下一步”开始进行配置。 |
4. | 键入“VPN_Vancouver”作为“接口名称”,然后单击“下一步”。 |
5. | 在“连接类型”中,保留默认设置“使用虚拟专用网络连接”,然后单击“下一步”。 |
6. | 在“VPN 类型”屏幕上,如图 3 所示选择“第 2 层隧道协议 (L2TP)”,然后单击“下一步”。  图 3. 选择 VPN 类型 |
7. | 在“目标地址”屏幕上,键入“20.0.0.2”作为“主机名或 IP 地址”,然后单击“下一步”。 |
8. | 在“协议及安全措施”屏幕上,选中“在此接口上路由选择 IP 数据包”和“添加一个用户帐户使远程路由器可以拨入”,然后单击“下一步”。 |
9. | 在“远程网络的静态路由”屏幕上,单击“添加”。键入“30.0.0.0”作为“目标”,键入“255.0.0.0”作为“网络掩码”,单击“确定”,然后单击“下一步”。 注意:上一步假定已将 vancouver 域重新配置为位于 30.0.0.0 网络上。 |
10. | 在“拨入凭据”屏幕上,键入“pass#word1”作为“密码”和“确认密码”,然后单击“下一步”。 |
11. | 在“拨出凭据”屏幕上,键入“VPN_HQ”作为“用户名”,键入“VANCOUVER”作为“域”,然后键入“pass#word1”作为“密码”和“确认密码”。完成后,配置应该如图 4 所示。单击“下一步”继续。  图 4. 在 HQ-CON-DC-01 上设置拨出凭据 |
12. | 在“完成请求拨号接口向导”中,单击“完成”。 |
要在呼叫服务器 (HQ-CON-DC-02) 上配置请求拨号接口,请按照以下步骤操作:
1. | 在“路由和远程访问”控制台上,单击“HQ-CON-DC-02”旁边的加号 (+) 将树展开。 |
2. | 在“HQ-CON-DC-02”树下面,右键单击“网络接口”,然后单击“新建请求拨号接口”。 |
3. | 在“欢迎使用请求拨号接口向导”中,单击“下一步”开始进行配置。 |
4. | 键入“VPN_HQ”作为“接口名称”,然后单击“下一步”。 |
5. | 在“连接类型”中,保留默认设置“使用虚拟专用网络连接”,然后单击“下一步”。 |
6. | 在“VPN 类型”屏幕上,如图 3 所示选择“第 2 层隧道协议 (L2TP)”,然后单击“下一步”。 |
7. | 在“目标地址”屏幕上,键入“20.0.0.1”作为“主机名或 IP 地址”,然后单击“下一步”。 |
8. | 在“协议及安全措施”屏幕上,选中“在此接口上路由选择 IP 数据包”和“添加一个用户帐户使远程路由器可以拨入”,然后单击“下一步”。 |
9. | 在“远程网络的静态路由”屏幕上,单击“添加”。键入“10.0.0.0”作为“目标”,键入“255.0.0.0”作为“网络掩码”,单击“确定”,然后单击“下一步”。 注意:上一步假定 contoso 根域仍位于 10.0.0.0 网络上。 |
10. | 在“拨入凭据”屏幕上,键入“pass#word1”作为“密码”和“确认密码”,然后单击“下一步”。 |
11. | 在“拨出凭据”屏幕上,键入“VPN_Vancouver”作为“用户名”,键入“CONTOSO”作为“域”,然后键入“pass#word1”作为“密码”和“确认密码”。完成后,配置应该如图 5 所示。  图 5. 在 HQ-CON-DC-02 上设置拨出凭据 |
12. | 单击“下一步”继续。 |
13. | 在“完成请求拨号接口向导”中,单击“完成”。 |
通过远程访问策略来扩展站点到站点安全性
Windows Server 2003 中的 RRAS 是根据用户帐户拨入属性和远程访问策略进行网络访问授权的。
远程访问策略是一组按顺序排列的规则,这些规则定义了授权或拒绝连接的方式。每个规则都有一个或多个条件、一组配置文件设置以及一个远程访问权限设置。如果授权某个连接,远程访问策略配置文件将指定一组连接限制。用户帐户拨入属性还提供一组限制。如果适用的话,用户帐户的连接限制将替代远程访问策略配置文件的连接限制。
使用远程访问策略进行授权共有两种方式:
| • | 按用户 如果按用户管理授权,请将用户帐户或计算机帐户的远程访问权限设置为“授权访问”或“拒绝访问”,也可以根据不同连接类型创建不同的远程访问策略。例如,您可能希望将一个远程访问策略用于拨号连接,而将另一个远程访问策略用于无线连接。建议您只有在管理少量用户或计算机帐户时才按用户来管理授权。 |
| • | 按组 如果按组管理授权,应将用户帐户的远程访问权限设置为“通过远程访问策略控制访问”,并创建基于各种连接类型和组成员身份的远程访问策略。例如,您可能希望将一个远程访问策略用于雇员(“Employees”组成员)的拨号连接,而将另一个远程访问策略用于承包商(“Contractors”组成员)的拨号连接。 |
远程访问策略条件是一个或多个属性(相当于连接尝试设置)。如果存在多个条件,则所有条件必须与连接尝试设置相匹配以符合策略要求。如果远程访问的所有条件都匹配,则授予或拒绝远程访问权限。您可以使用“授予远程访问权限”或“拒绝远程访问权限”选项来设置策略的远程访问权限。
在下面几节中,将远程访问策略配置为按组进行授权。
要准备远程访问策略以按组进行授权,请按照以下步骤操作:
1. | 在“HQ-CON-DC-01”服务器上,打开“Active Directory 用户和计算机”控制台。 |
2. | 在“Active Directory 用户和计算机”控制台上,单击“contoso.com”旁边的加号 (+) 将树展开。 |
3. | 在“contoso.com”树下面,单击“Users”组织单位 (OU)。在结果窗格中,双击“VPN_Vancouver”。 |
4. | 在“VPN_Vancouver 属性”页上,单击“拨入”选项卡。 |
5. | 在“远程访问权限”部分中,单击“通过远程访问策略控制访问”(如图 6 所示)。  图 6. 通过 RRAS 策略强制授予远程访问权限 |
6. | 在“VPN_Vancouver 属性”页上,单击“确定”。 |
7. | 在“contoso.com”树下面,单击“Groups”OU,右键单击“Group”OU,选择“新建”,然后单击“组”。 |
8. | 在“新建对象 – 组”屏幕上,键入“Branch Office VPN”作为“组名”,然后单击“确定”。 |
9. | 在结果窗格中,双击“Branch Office VPN”。在“Branch Office VPN 属性”屏幕上,单击“成员”选项卡。单击“添加”,键入“VPN_Vancouver”,然后单击“确定”两次。 |
10. | 关闭“Active Directory 用户和计算机”控制台。 |
要将远程访问策略配置为按组进行授权,请按照以下步骤操作:
1. | 在“路由和远程访问”控制台中,单击“远程访问策略”。 |
2. | 在结果窗格中,双击“到 Microsoft 路由选择和远程访问服务器的连接”。 |
3. | 在“策略状况”下面,单击“添加”。双击“Windows-Groups”,单击“添加”,键入“Branch Office VPN”,然后单击“确定”两次。 |
4. | 在“属性”页底部,单击“授予远程访问权限”,然后单击“确定”。 |
配置 IPSec 共享密钥并对连接进行测试
默认情况下,在 Windows Server 2003 中,将 L2TP 客户端和 L2TP 服务器均预先配置为基于证书的 IPSec 验证。在建立 IPSec 上的 L2TP 连接时,将自动创建一个 IPSec 策略,指定在协商 L2TP 安全设置期间 Internet 密钥交换 (IKE) 使用基于证书的验证。这意味着,L2TP 客户端和 L2TP 服务器都必须安装一个计算机证书(也称为“机器证书”),然后才能成功地建立 IPSec 上的 L2TP 连接。这两个计算机证书必须来自同一个证书颁发机构 (CA),或者必须在彼此的受信任根证书存储中将每个计算机 CA 的根证书作为受信任的根 CA 进行安装。
在某些情况下,基于证书的 IPSec 验证方法并不适用于基于 L2TP 的路由器到路由器 VPN 连接。在这些情况下,可以手动配置 IPSec 策略以便在创建路由器到路由器 VPN 连接时使用预共享的密钥。在 IKE 协商中,此预共享的验证密钥的作用类似于一个简单密码。如果双方可以证明它们都知道相同的密码,则它们彼此信任,并继续协商对称加密私钥以及用于 L2TP 通信的安全设置。
通常,使用 IKE 预共享的密钥在安全性方面不如使用证书,因为 IKE 验证(和隐含信任)只取决于密钥值,而该值在 IPSec 策略中是以纯文本格式存储的。任何人在查看策略时都可以看到预共享的密钥值。如果怀有恶意的用户看到了预共享的密钥,则他们可以对其系统进行配置以成功建立与您的系统的 IPSec 安全连接。但是,L2TP 连接需要使用点对点协议 (PPP) 进行用户级的验证。因此,怀有恶意的用户必须同时知道预共享的密钥和正确的用户凭据才能成功建立 IPSec 上的 L2TP 连接。
要在应答服务器 (HQ-CON-DC-01) 上配置 IPSec 共享密钥,请按照以下步骤操作:
1. | 在“路由和远程访问”控制台上,右键单击“HQ-CON-DC-01(本地)”,然后单击“属性”。 |
2. | 在“HQ-CON-DC-01(本地)属性”页上,单击“安全”选项卡。选择“为 L2TP 连接允许自定义 IPSec 策略”,键入“12345”作为“预共享的密钥”(如图 7 所示),然后单击“确定”。  图 7. 在应答路由器上设置预共享的密钥 |
要在呼叫服务器 (HQ-CON-DC-02) 上配置 IPSec 共享密钥,请按照以下步骤操作:
1. | 在“路由和远程访问”控制台上,在“HQ-CON-DC-02(本地)”树下面,单击“网络接口”,然后双击“VPN_HQ”。 |
2. | 在“VPN_HQ 属性”页上,单击“安全”选项卡,然后单击“IPSec 设置”按钮。 |
3. | 在“IPSec 设置”对话框中,选择“使用预共享的密钥作身份验证”,键入“12345”作为“密钥”(如图 8 所示),然后单击“确定”两次。  图 8. 在呼叫路由器上设置预共享的密钥 |
要测试站点到站点 VPN 连接:
| • | 在“路由和远程访问”控制台上,右键单击“VPN_HQ”,然后单击“连接”。 |
其他资源
有关更多信息,请参见以下资源。
| • | Windows Server 2003 虚拟专用网络,网址为:http://www.microsoft.com/china/windowsserver2003/technologies/networking/vpn/default.mspx。 |
| • | 有关 Windows Server 2003 的最新信息,请参见 Windows Server 2003 Web 站点,网址为: |