windows server 2003实现主机***
在现实环境中我们常常会遇见公司的分支机构访问公司总部或者在外出差的人访问公司内网,这时候就需要在分支机构或者在外员工与公司总部搭建专用网络。传统的网络互联方案会有代价高、安全性差和不容易扩展网络的缺陷。这时候一种叫***(virtual private network 虚拟专用网)的网络互联方案运用而生。与传统的网络互连比起来***有许多不同之处,首先***走的是公开的ip网(最常见的就是internet),各分支只需要连入internet就行了,这样一来只需要很短的一段网络就行了。不过即使接入互联网,分支机构和公司总部还是不能通信,因为在公司里边都是私有地址。如图所示,我们需要做***隧道,这样一来就能实现分支机构和公司总部的通信了。
***优点:安全(大部分的隧道协议支持加密)、廉价和易于扩展
缺点:延迟大
能够实现***的设备:
防火墙(首选)
路由器(防护能力弱)
主机os(windows----路由和远程访问linux----ipsec、ISA)
下面我们用windows server 2003的主机实现这种***的网络互连。本实验环境在虚拟机里实现,需要四台机器,分别来模拟用户、模拟internet、构架***设备以及模拟内网。我们选用四台windows server 2003的主机,构架***和路由器的各为它们另外添加一块网卡。
如图所示:
把网络划分为三个区域,分别为vm1、vm2和vm3,地址规划 为vm1、vm2在61.130.130.0的网段
1、分别把用户的网卡和路由设备的第一块网卡加入到vmnet1区域,把路由设备的第二块网卡和***设备的第一块网卡加入到vmnet2区域,另外把***设备的第二块网卡和公司内网的一台pc的网卡加入到vmnet3区域。
2、、分别为用户pc和router配置ip地址
(pc的ip地址)
3、Router的配置
在下一步就完成了路由器的功能
在路由器上查看路由
我们可以看到并没有到192.168.2.0网段的路由,因为192.168.2.0是私有的网段
4、***设备的配置
分别为***的两块网卡配置ip地址
这时候我们在用户pc尝试ping一下***的LAN口
可以看到路由器的返回信息,提示目标不可达,因为目标地址是私有地址。这就需要利用***了
5、启用***
可以利用路由和访问功能实现***,在公司内部为了实现访问外网,需要启用NAT
指明哪个接口接受***隧道的请求
在建立***客户端向***设配发送请求后,客户端还要从***设备获得一个能够和***建立通信的地址
自动获得ip地址就是在公司内部有dhcp的服务器,客户端从dhcp服务器上自动获得地址,但是一般情况下我们都是在***设备上做一个地址池,客户端从地址池中挑选地址,这里需要注意的是这里的地址池与外网以及内网都没有关系,是独立存在的,这里地址池的大小由客户端同时最大的并发连接数决定,这里我们假设为10.
建设***之后查看一些参数
当查看端口信息的时候可以看到类型为PPTP以及L2TP的各有128个,这些其实都是虚拟接口,每个虚拟接口对应一个隧道,而按照我们的地址划分,最多只有10个用户,而且都是PPTP的,为了节省资源,可以把L2TP的端口关掉,把PPTP的只剩下10个。
再次查看就会看到只剩下了少数的虚拟接口,而且为不活动状态,说明还没有用户接上来
因为是本地身份验证,所以要新建user1的账号,并且属性设置为远程允许拨入
6、构建***客户端
此时***隧道已经建好,但是客户端要想访问内网还需要有***的客户端,我们可以用专用的***客户端,不过也可以自己构建
这时候***客户端的建设就完成了
7、测试
在用户pc上测试和***设备内卡的联通性
发现不通
那么现在在客户端与***设备之间建立***隧道
再次查看与***设备的连通性,发现已经连通
当然这时候客户端也得到了相应的地址
这样一来,我们不需高昂的代价就能现了两个局域网的互连
页:
[1]