虛擬專用網教學案例設計與研究

[摘 要]為了提高遠程訪問虛擬專用網課堂教學效果，通過Vm Ware環境下設計VPN教學案例，通過讓學生配置Windows Server 2003為VPN服務器及客戶端VPN連接以及建立并測試VPN連接，使學生掌握VPN的基本概念和操作，并拓展遠程訪問虛擬專用網的功能研究。

[關鍵詞]VPN;遠程訪問;虛擬專用連接

隨著Internet在全球的普及和發展，虛擬專用網技術VPN越來越引起人們的關注，已經成為未來Internet應用和網絡安全研究的一個重要方向。所謂VPN是指通過一個公用網絡（通常是Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道，是在現有的公用網絡平臺上構筑不受地域限制而受企業統一策略控制和管理的企業網絡。

一、VPN教學案例的設計

1.準備常用軟件-Vm Ware 、Windows Server 2k3的ISO鏡像文件。

2.配置

本案例中，每個學生的電腦上Vm Ware環境下預先安裝好三臺Win 2k3企業版，獨立服務器系統。學生可以根據老師設計的網絡拓撲及IP地址分配，對各計算機進行相關的配置。下面就某位學生的詳細配置，如圖1所示。

一臺設計為Client，安裝一個網卡，設置為VNE T1，IP地址為202.1.1.2/24，把它看成異地遠程用戶撥號VPN客戶機。

一臺設計為VPN Server，安裝兩個網卡，其中一個設置為VNE T1（外部網絡），出口IP地址為202.1.1.1/24，另一個設置為VNE T2（內部網絡），局域網IP地址為192.168.18.1/24。

一臺設計為Web_CA_RADIUS_Server，安裝一個網卡，設置為VNE T2，IP地址為192.168.18.2/24，網關設置為192.168.18.1，Web_CA_RADIUS_Server同時安裝好Web、FTP等服務，作為局域網內部用戶使用共享資源。

在網絡拓撲中，為了更好地理解本實例的操作過程，互聯網絡已經簡化為VNE T1，網段是202.1.1.0/24，局域網為VNE T2，網段是192.168.18.0/24。這樣，VPN客戶機在進行VPN撥號前確認已經連接上互聯網（通過局域網、ADSL撥號等方式）的步驟就可以省了。

3.VPN Server 服務器安裝及配置

① 在VPN Server上以管理員身份登錄，單擊菜單開始/管理工具的“配置您的服務器向導”，打開“配置您的服務器向導”對話框，單擊下一步/下一步;在配置此服務器頁，選擇“⊙自定義配置”，“下一步”;

②在服務器角色中，選中“遠程訪問/VPN服務器”，單擊下一步/下一步/下一步;

③在配置頁，選擇“⊙遠程訪問（撥號或VPN）。”“下一步”;

④在遠程訪問頁，選擇“VPN”“下一步”;

⑤在VPN連接頁，配置遠程訪問服務器外網連接網卡，選擇VNET1 202.1.1.1，單擊“下一步”;

⑥在IP地址指定頁，選擇“⊙來自一個指定的地址范圍（F）”，“下一步”;在地址范圍指定中，點擊“新建”，創建一個從192.168.18.100至192.168.1.00共101個IP地址數的地址范圍，“確定”。單擊“下一步”繼續;

⑦管理多個遠程訪問服務器頁。這里要有兩個選項，一“○否，使用路由和遠程訪問來對連接請求進行身份驗證（O）”，即VPN遠程撥入用戶賬號身份驗證在VPN Server進行;二“○是，設置此服務器與RADIUS服務器一起工作（Y）”，即VPN遠程撥入用戶賬號身份驗證在Radius服務器進行。先選擇“⊙否，……”，單擊“下一步”， 單擊“完成”按鈕，確定，完成安裝。

⑧至此，VPN服務器已經安裝好了。以后可以通過選擇VPN Server的屬性，修改相關的一些配置， PPTP和L2TP協議端口默認情況下都是128個，這代表它允許同時連接該協議類型的VPN客戶數量。另外VPN客戶的并發連接數，還受到Windows系統版本限制。

4.配置VPN用戶賬戶

①前面安裝VPN服務器時，選擇了本地驗證撥號用戶，所以VPN用戶在VPN Server中創建管理，同時設置開放撥入權限。操作過程，單擊菜單開始/管理工具/計算機管理，打開計算機管理對話框;雙擊“本地用戶和組”，右擊“用戶”，選擇“新建用戶”，如“V1”，密碼為“123asd，./”。

②設置用戶允許撥入權限。右擊用戶“V1”，選擇“屬性”，打開V1屬性對話框，點擊“撥入”標簽，在遠程訪問權限（撥入或VPN）欄，選中“⊙允許訪問”，開放相應的權限。

5.創建并配置客戶端Client的VPN連接

①在外部VPN客戶機Client上以管理員身份登錄，在命令窗口使用命令Ping 202.1.1.1先確保與VPN服務器網絡連通。點擊菜單開始/控制面板/網絡連接/新建連接向導。打開新建連接向導頁，單擊“下一步”;

②在網絡連接類型對話框，選擇“⊙連接到我的工作場所的網絡（O）”，單擊“下一步”;

③在網絡連接頁，單擊“⊙虛擬專用網絡連接（V）”，單擊“下一步”;

④在連接名中，輸入名稱，如：VPN test，然后單擊“下一步”;

⑤在公用網絡頁，由于VPN撥號是建立在互聯網上的，即互聯網先聯通，才能建立VPN連接，在這里，我們用VNE T1模擬互聯網，所以選擇“⊙不撥初始連接（D）”，然后單擊“下一步”;

⑥在VPN服務器選擇頁，鍵入目標地址即VPN 服務器的IP地址或主機名（如202.1.1.1），單擊“下一步”;

⑦在可用連接頁，選擇“⊙只是我使用（M）”選項。單擊“下一步”。單擊“完成”按鈕以保存新建的連接。

6.建立并測試VPN連接

①在外部VPN客戶機Client上，打開剛才創建的VPN test連接，在用戶帳戶和密碼上分別輸入V1，123asd，./，單擊“撥號”按鈕，將開始建立VPN連接。連接成功將在狀態欄右側將顯示連接圖標。

②通過測試，可以從以下任一種方式說明VPN連接成功：a.在命令提示窗用Ipconfig /all 檢查PPP adapter? vpntest：獲得TCP/IP參數;b.ping 192.168.18.2可以檢查到內部局域網絡是否暢通;c.打開IE瀏覽器，地址欄輸入URL http：//192.168.18.2或者ftp：//192.168.18.2都可以檢查VPN撥號是否成功。測試表明遠程虛擬專用網用戶撥號成功，能夠正常使用遠程局域網的資源了。

二、研究決定VPN遠程撥號用戶賬戶身份驗證方式

決定VPN遠程撥號用戶賬戶身份驗證方式，是Windows還是RADIUS，也就是VPN遠程撥號用戶賬戶在哪里創建。前面在VPN服務器安裝過程中的第七步管理多個遠程訪問服務器時，我們選擇了“⊙否，使用路由和遠程訪問來對連接請求進行身份驗證”，所以遠程撥號用戶賬戶在VPN服務器中創建，并成功完成實驗。如果遠程撥號用戶賬戶要在Radius Server中創建，即撥號用戶的身份驗證服務器為Radius Server時，又該如何做呢？這樣可以分兩種情況進行說明，第一是接著剛才的實驗，直接修改VPN服務器的配置，使得遠程身份驗證服務器修改為Radius服務器;第二是在安裝VPN服務器時，就直接選擇Radius服務器進行身份驗證。兩種情況都要在Radius服務器上做好相應的配置。

對于第一種情況操作：可以在VPN Server系統中，單擊菜單，“開始”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”對話框，右擊VPN Server服務器，選擇“屬性”，打開如圖2所示“VPN Server（本地）屬性”對話框，選擇“安全”選項卡，將“身份驗證提供程序”由Windows 身份驗證改為RADIUS 身份驗證，點擊“配置”按鈕，點擊“添加”，在服務器名：輸入192.168.18.2（Radiu Server的IP地址），點擊機密的“更改”，輸入新機密，確認新機密都為abc123456。“確定”，“確定”，“確定”，“確定”，“確定”。如圖2所示。

第二種情況操作：安裝VPN服務器時，就設置VPN遠程撥號賬戶在Radius Server上進行驗證。所以在進行VPN服務器安裝配置過程中的第七步，“在管理多個遠程訪問服務器頁”，選擇“⊙是，使用轉發到遠程身份驗證撥號用戶服務（RADIUS）服務器進行身份驗證”，然后單擊“下一步”，在RADIUS服務器選擇中，主RADIUS服務器，填寫Radius Server的IP地址，這里是192.168.18.2;備用RADIUS服務器：可以空著，共享的機密，填寫abc123456，單擊“下一步” 單擊“完成”按鈕，完成安裝。

最后都要在RADIUS服務器上進行遠程撥號用戶賬戶的創建及RADIUS用戶配置。

比如，在RADIUS服務器上以管理員身份登錄，創建用戶v2，密碼：123asd，./，步驟同上。然后在RADIUS服務器系統上，安裝Internet驗證服務。方法是：點擊菜單“開始”→“控制面板”→ “添加/刪除Windows組件”，選中網絡服務里面的“Internet驗證服務”，點擊“確定”，完成Internet 驗證服務的安裝。再進行RADIUS客戶端配置，操作方法：點擊菜單“開始”→“管理工具”→“Internet驗證服務”，打開Internet驗證服務對話框，右擊“RADIUS客戶端”→選擇“新建RADIUS客戶端”， 如圖3所示。輸入好記的名稱，如VPN example，在客戶端地址中輸入VPN服務器的內網IP，如192.168.18.1，點擊“下一步”，再輸入共享的機密及確認共享機密，這里要前面的共享機密一致（abc123456）。

回到VPN遠程客戶機Client上進行測試。通過測試，發現原來的V1賬戶不能撥入了，只能用V2賬戶進行測試，這就說明身份驗證改為RADIUS身份驗證之后，賬戶只能在RADIUS服務器上創建管理。

三、研究VPN遠程撥號用戶IP地址設計與配置

前面說到，VPN服務器安裝配置過程的“⑥ IP地址指定”，就是設置給VPN遠程撥號用戶配置IP地址的來源。前面的配置已經選擇“⊙來自一個指定的地址范圍”，且立刻定義了一個IP范圍，這個IP地址范圍，沒有限制哪個網段，即所有網段都可以的，實驗也測試成功。如果在這個步驟中選擇“⊙自動”的話，我們就要在VPN服務器上或者在RADIUS服務器上，安裝DHCP服務器并創建IP作用域。

首先，修改遠程撥號用戶的IP地址指派。在VPN服務器系統中，單擊菜單，開始→管理工具→路由和遠程訪問，打開“路由和遠程訪問”對話框，右擊VPN Server服務器，選擇“屬性”，打開如圖2所示“VPN Server（本地）屬性”對話框，點擊“IP”選項卡，在IP地址指派項目欄中，選擇“⊙動態主機配置協議（DHCP）（N）”。點擊“確定”按鈕，完成VPN遠程撥號用戶IP地址來源指定。

接著，在VPN服務器或RADIUS服務器上，安裝DHCP服務器。方法：運行菜單，開始→控制面板→添加/刪除程序→添加/刪除Windows組件（A）→網絡服務→詳細信息→動態主機配置協議（DHCP），確定就安裝好DHCP服務器了。

最后設置DHCP服務器：打開DHCP服務器，并創建IP地址作用域。

方式一：創建的作用域IP地址范圍設置為與內網同一網段（這里是192.168.18.0/24），但要排除已經使用的IP地址（具體操作方法不在這討論）。

方式二：創建的作用域IP地址范圍設置為與內網不同的網段時，通過創建超級作用域，包含創建的內網網段作用域，但不激活，激活希望獲得網段的IP作用域。

轉到Client上，通過測試，VPN撥號成功，并成功訪問內網共享資源。

四、研究VPN遠程撥號用戶撥號成功后，同時可以訪問內網資源及訪問外網

此教案的設計比較特別，互聯網是簡化后的局域網，這樣VPN客戶在進行VPN撥號前省略了連接互聯網的步驟。在此案例中，如何讓VPN遠程撥號用戶VPN撥號成功后既可以訪問遠程局域網共享資源，又可以訪問互聯網呢？究其原因，第一，本身VPN服務器內部局域網是不能上互聯網，第二，VPN遠程撥號用戶賬戶撥號成功后，所獲得的TCP/IP信息中，沒有DNS信息，所以不能上網。

解決第一個問題，可以通過增加一塊網卡，通過橋接方式，連接物理外網，保證VPN Server可以上外網，解決第二個問題，通過配置DHCP服務器IP作用域的服務器選項的006DNS服務器配置為實際可用DNS，如廣州DNS主機202.96.128.166。

首先，我們要求將VPN Server增加一個網卡，并采用橋接模式（自動連接），根據實際上網方式，設置合適的外部物理網絡真實TCP/IP參數（靜態方式、DNS或DHCP方式），連接到物理外網，確保能上外網。

然后，在VPN Server上，打開路由和遠程訪問管理控制臺，選中“VPN Server（本地）”，單擊菜單“操作”，選擇“禁用路由和遠程訪問（S）”，完成;再選擇操作/配置并誤用路由和遠程訪問（C），單擊“下一步”;選擇“⊙自定義配置（C）”，“下一步”;同時選上“VPN訪問（V）”和“NAT和基本防火墻（A）”，下一步，完成，選擇“否暫不開啟服務”;右擊“NAT/基本防火墻”，選擇“新增接口”，選擇剛才增加的“橋接模式”網卡VMnet3接口。接口類型：選擇“⊙公用接口連接到Internet（U）”，同時選擇“在此接口上啟用NAT（E）”，確定;啟動路由與遠程訪問服務。

在Client上進行測試，VPN撥號成功，檢查PPP獲得的TCP/IP參數（包含IP、DNS等參數），打開IE成功訪問內網共享資源和互聯網資源，如圖4所示。

五、研究支持VPN客戶端使用PPTP和預共享密鑰L2TP/IPSec協議進行遠程訪問VPN連接

在VPN客戶端的網絡連接類型有自動、PPTP VPN和L2TP/IPSec VPN三種方式。其中L2TP/IPSec VPN連接提供預共享密鑰和證書服務兩種方式。以上測試的連接都是PPTP模式的VPN連接，下面研究配置預共享密鑰L2TP/IPSec VPN模式連接。

在VPN Server和Client電腦上，同時配置相同的預共享密鑰即可。

①在VPN Server上，打開路由和遠程訪問管理控制臺，選中“VPN Server（本地）”，單擊菜單“操作”，選擇“屬性”，單擊“安全”標簽，勾選“為L2TP連接允許自定義IPSec策略（L）”，輸入“1”為預定義的共享密鑰，單擊“確定”。

②在Client上，打開“網絡連接”窗口，雙擊虛擬專用連接“VPN test”，單擊“屬性”，單擊“安全”標簽，單擊“IPSec設置（P）”按鈕，勾選“使用預共享的密鑰作身份驗證”，輸入“1”與VPN Server預共享密鑰相同，單擊確定;單擊“網絡”標簽，選擇“L2TP/IPSec VPN”VPN類型，單擊確定;輸入前面的賬號密碼，單擊“連接”，即可成功登錄VPN Server。

如果采用預共享密鑰L2TP/IPSec方式，則所有的VPN客戶必須使用相同的L2TP共享密鑰，這樣會使得L2TP/IPSec安全性大大降低，所以在商用網絡中不使用預共享密鑰的L2TP連接，而建議使用證書服務的L2TP/IPSec連接。

六、研究通過證書服務的L2TP/IPSec協議進行遠程訪問的VPN連接

為了實現更加安全可靠的證書服務的L2TP/IPSec協議進行遠程訪問的VPN連接，必須部署好CA服務器，然后為VPN服務器和VPN客戶端分別申請服務器身份驗證和客戶端證書。

1.安裝獨立根CA服務器

①在Web_CA_RADIUS服務器上，開始→控制面板→添加/刪除程序，點擊添加/刪除Windows組件（A），勾選證書服務，“下一步”，在CA類型，選擇⊙獨立根，“下一步”，在CA識別信息頁，輸入此CA的公用名稱為Web_CA_RADIUS，“下一步”，“是”，“是”，“下一步”，“是”，完成安裝CA服務器。

獨立根CA服務器安裝成功與否，可以通過查看，開始程序管理工具服務，打開服務控制臺，可以看到證書服務（Certificate Services）的啟動狀態和描述信息為已啟動等。另外，為了讓證書申請之后，直接進入頒發狀態，必須完成第②步的處理證書請求設置。

②在Web_CA_RADIUS服務器上，開始→管理工具→證書頒發機構，打開證書頒發機構對話框，右擊證書服務器名稱，選擇屬性，點擊策略模塊標簽，點擊屬性，在收到證書請求時執行下面的操作：選擇“⊙如果可以的話，按照證書模板中的設置。否則，將自動頒發證書（F）”。確定，確定。

2.安裝配置VPN Server服務器身份驗證證書和Client客戶端驗證證書。

對于獨立根的CA，網頁是證書申請者能與CA接口的主要方式，企業CA則可以通過證書管理單元或Web注冊頁來接受證書申請，在這里通過Web注冊頁完成證書申請。

①在vpnServer上以管理員賬戶登錄，打開IE瀏覽器，在“地址”文本框中輸入CA服務器Web支持頁的URLhttp：//192.168.18.2/certsrv，按回車鍵后打開證書服務器主頁，在歡迎頁，單擊“下載一個CA證書，證書鏈或CRL”鏈接。

②再下載一個CA證書、證書鏈或CRL頁，單擊“下載一個CA證書”，在彈出的文件下載對話框中，選擇保存，并選好路徑及名稱存放起來，關閉IE。

③按win鍵+R打開運行，輸入mmc，點擊確定，在彈出的控制臺1窗口，單擊文件菜單下的添加/刪除管理單元;在彈出的添加/刪除管理單元對話框，單擊添加;然后在彈出的添加獨立管理單元對話框，雙擊“證書”;在證書管理單元頁，選擇“⊙計算機賬戶”，點擊下一步;在選擇計算機對話框，接受默認的“⊙本地計算機……”，單擊完成，單擊關閉、確定創建證書管理控制臺1。

④雙擊控制臺1的“證書（本地計算機）”，在展開的“受信任的根證書頒發機構”，右擊鼠標，選擇所有任務下的導入，將剛才下載保存的證書導入其中。

⑤再次打開IE，在“地址欄”中輸入http：//192.168.18.2/certsrv，按回車鍵后打開證書服務器主頁，在歡迎頁，單擊“申請一個證書”鏈接。

⑥在申請一個證書頁，單擊“高級證書申請”鏈接。

⑦在“高級證書申請”頁，單擊“創建并向CA提交一個申請” 鏈接。在識別信息的姓名欄，輸入“VPN Server”（VPN Server的計算機名）;在需要的證書類型中，選擇“服務器身份驗證證書”;再勾選“將證書保存在本地計算機存儲中”，點擊提交按鈕。

⑧在彈出的警告提示框上點擊是，打開證書已頒發頁，點擊“安裝此證書”鏈接;在彈出的警告提示框上點擊是，完成證書安裝。至此，VPN Server服務器身份驗證證書安裝完畢。

在Client上先用PPTP或L2TP共享密鑰方式登錄VPN，再按上述方式完成客戶端身份驗證證書的申請安裝，完成后，再去掉共享密鑰，并在VPN連接設定L2TP/IPSec VPN連接類型。測試成功。

參考文獻：

[1]IT同路人.非常網管：windows Server 2003服務器架設實例詳解[M].北京：人民郵電出版社.2010.

[2]王達.虛擬專用網（VPN）精解[M].北京：清華大學出版社，2004.

[作者簡介]

陳水生（1972—），男，廣東博羅人，博羅中等專業學校計算機網絡技術講師、高級技師、網絡工程師，研究方向：計算機網絡技術與物聯網。

[作者單位]

廣東省惠州市博羅中等專業學校

（編輯：薄躍華）