局域网使用实现互联

任务目的：掌握VPN原理、特点及配置方法。

任务内容：远程用户通过VPN服务器与企业内网进行通信。

任务环境：

案例说明：本案例是在1台物理机上运行5台虚拟机（如果实验环境不允许，可适当减少PC机），1台虚拟机运行Windows Server 2003服务器，3台PC虚拟机和管理虚拟机用来运行Windows 2000/Windows XP的PC机。3台PC机用虚拟网卡通过交换机和Windows Server 2003服务器虚拟网卡通信（虚拟网卡连接在一个网络），在Windows Server 2003服务器上采用VPN技术，通过物理网卡连接和管理虚拟机的物理网卡连接进行通信（物理网卡连接在一个网络）。

1）拓扑结构（如图6−52所示）

图6−52 远程用户接入公司局域网拓扑图

2）设备与器件

（1） 硬件环境。

PC机5台（根据实验环境选择），交换机1台，服务器1台（网卡2个，1个是物理网卡，1个用虚拟网卡）

（2） 连接线缆。

双绞线若干。

（3） 软件环境。

服务器用Windows Server 2003，PC机和管理虚拟机用Windows 2000或Windows XP，虚拟机用Microsoft Virtual PC。

3）环境准备

（1） 虚拟网卡的安装（同上）。

（2） 服务器网卡选择（同上）。

（3） PC机上网卡选择（同上）。

（4） 管理机上网卡选择。

管理机起动前，在“设置”选择“网络连接”，在网络连接设置中选择“网络适配器数量”为1，在适配器1上选择“物理网卡”，如图6−53所示。

任务步骤：

（1） VPN服务器配置。

步骤1：给物理网卡连接改名为“WAN连接”，并在“WAN连接”上进行参数设置，参数是企业网络网关分配的，如图6−54所示。

图6−53 网卡选择窗口

步骤2：把虚拟网卡的连接改名为“LAN连接”，IP的参数设置，如图6−55所示。

图6−54 WAN连接的参数设置

图6−55 LAN连接的参数设置

步骤3：单击“开始”→“管理工具”→“路由和远程访问”，右键单击“服务器名称”，选择“配置并启用路由和远程访问”，如图6−56所示。

图6−56 配置并启用路由和远程访问窗口

步骤4：在路由和远程访问服务器安装向导界面，单击“下一步”，选中“虚拟专用网络（VPN）访问和NAT”，并单击“下一步”，如图6−57所示。

图6−57 配置虚拟专用网络（VPN）访问和NAT对话框

步骤5：在路由及远程服务器安装向导中选择“使用此服务器连接到Internet的网络接口”，选中“WAN”连接（通向Internet的连接），如图6−58所示。

图6−58 VPN连接对话框

步骤6：在IP地址窗口中指定选中“来自一个指定的地址范围”，如图6−59所示。

步骤 7：单击“下一步”，选择“新建”按钮，添加一个将被分配的地址范围（例如：192.168.0.20～192.168.0.40），单击“确定”，如图6−60所示。

图6−59 IP地址指定对话框

图6−60 新建地址范围对话框

步骤8：单击“下一步”，选中“否，使用路由器和远程访问来对连接请求进行身份验证”（用系统帐户验证），如图6−61所示。

步骤9：完成VPN服务配置以后，创建新用户“vpnuser”（用户名可以随意命名），输入用户名密码，并单击“创建”完成，如图6−62所示。

图6−61 管理多个远程访问服务器对话框

图6−62 VPN创建新用户窗口

步骤10：在用户vpnuser上选择“属性”，再选择“拨入”标签，在“远程访问权限（拨入或VPN）”选项框中，选择“允许访问”，如图6−63所示。

（2） 管理机上设置。

步骤1：在管理机上进行参数设置。参数是企业网络网关分配的（和VPN服务器物理网卡上的参数在同一网段），如图6−64所示。

图6−63 允许访问权限窗口

图6−64 管理机的参数设置窗口

步骤2：创建VPN拨号连接。打开“新建链接向导”，单击“下一步”，选择“连接到我的工作场所的网络”，如图6−65所示。

步骤3：单击“下一步”，选择“虚拟专用网络连接”，如图6−66所示。

图6−65 网络连接类型对话框

图6−66 网络连接对话框

步骤4：单击“下一步”，在指定连接到您的工作场所的连接名称窗口中输入公司名称例如：SXPI，在VPN服务器选择窗口中输入VPN服务器的IP地址，这里填入VPN服务器的WAN的IP地址，如图6−67所示。

步骤5：单击“完成”，打开SXPI连接，输入刚才创建的用户名和密码，并单击“连接”，如图6−68所示。

步骤6：查看连接状态，这时SXP I显示已经成功连接，在命令行输入“ipconfig/all”，可以看到获得的新IP地址192.168.0.21，如图6−69所示。

图6−67 VPN 服务器选择对话框

图6−68 连接SXPI对话框

图6−69 ipconfig/all命令窗口

这时管理机与3台PC机和Windows Server 2003服务器虚拟网卡上的连接都在一个局域网了，就可以进行通信了。

本项目介绍了多种Internet的接入方法，NAT是一种应用最广泛的技术。NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。它具备以下优点：

（1） 对于内部通信可以利用私有地址，如果需要与外部通信或访问外部资源，则可通过将私有地址转换成公有地址来实现。

（2） 通过公有地址与端口的结合，可使多个私网用户共用一个公有地址。

（3） 通过静态映射，不同的内部服务器可以映射到同一个公有地址。外部用户可通过公有地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的攻击行为。

（4） 方便网络管理，如通过改变映射表就可实现私网服务器的迁移，内部网络的改变也很容易。