换一换

163文库 > 资源分类 > PPT文档下载

预览

《计算机组网实验教程》课件第10章.ppt

文档编号：7882826 资源大小：2.26MB 全文页数：187页
资源格式： PPT 下载积分：15文币交易提醒：下载本文档，15文币将自动转入上传用户（momomo）的账号。

微信登录下载

快捷注册下载

账号登录下载

微信扫一扫登录

下载资源需要15文币

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

优惠套餐（点此详情）

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、试题类文档，标题没说有答案的，则无答案。带答案试题资料的主观题可能无答案。PPT文档的音视频可能无法播放。请谨慎下单，否则不予退换。

3、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者搜狗浏览器、谷歌浏览器下载即可。。

《计算机组网实验教程》课件第10章.ppt

1、第10章基于Windows 2000的VPN 第10章基于Windows 2000的VPN 10.1 VPN概述概述10.2 配置基于配置基于Windows 2000的远程访问的远程访问VPN10.3 配置基于配置基于Windows 2000的路由器到的路由器到路由器路由器VPN 第10章基于Windows 2000的VPN 10.1 VPN概述概述 10.1.1 VPN简介简介虚拟专用网(Virtual Private Network，VPN)是建立在公共网络上的虚拟专用网络。VPN并不依靠物理上的端到端的专用连接，即没有固定的物理连接，它是利用如Internet、帧中继、ATM等公

2、众网络设施，在用户需要时建立的专用网络。VPN实现了跨公共网络的一组用户点间的专用通信。在具有开放性的公众网络环境中，VPN利用隧道技术、认证技术和加密技术组建专用网络，能够在不可靠、非安全的网络中的两个实体之间建立一条安全的、私有的专用信道，如同物理上的专用连接一样为企业、组织的网络提供安全性、可靠性、可管理性和服务质量保证。第10章基于Windows 2000的VPN 一个异地分公司要和总公司的局域网之间进行硬件以及软件的资源共享，如果按照传统的专用网络设计方案，则必须在分公司和总公司的局域网之间租用光纤或帧中继链路，以使分公司和总公司局域网分别作为子网处于同一个局域网内，这样就解决了几

3、乎所有的硬件、软件共享的问题，但是这种解决方案最大的弱点就是耗资巨大而且工程周期长。而采用架设在公共网络上的VPN，则很好地避免了这些问题。如果如图10.1所示，在分公司和总公司的局域网分别建立VPN网关，采用VPN技术在跨越公共网络的分公司和总公司局域网之间建立一条虚拟的点对点专用链接，那么，两个局域网中的用户便能通过这条虚拟链路进行资源共享，就如同他们在一个局域网中一样。第10章基于Windows 2000的VPN 图10.1 在公用网络上的VPN连接第10章基于Windows 2000的VPN 10.1.2 VPN网络结构网络结构VPN网络结构可以归结为两种：远程访问VPN和路由器

4、到路由器VPN。在Windows 2000中这样的划分是在纯软件方式下进行的。远程访问VPN是为了实现接入互联网的终端用户能够通过公共网络访问到企业或组织局域网内部的网络资源，图10.2所示为标准的远程访问VPN网络结构。在实际应用中，移动办公人员和远程工作用户可通过模拟拨号Modem、ISDN、ADSL、有线电视电缆和小区宽带网关等多种方式接入Internet，然后创建到企业或组织的VPN网关的VPN连接。第10章基于Windows 2000的VPN 图10.2 远程访问VPN网络结构第10章基于Windows 2000的VPN 路由器到路由器VPN可以使通过公共网络(通常是Inter

5、net)互连的两个局域网内的终端相互使用对方局域网内部的网络资源，如同他们处于同一个局域网络的不同子网一样。图10.3所示为标准的路由器到路由器VPN网络结构，其中VPN网关即VPN路由器。实际中，该VPN网络结构可应用于企业、组织总部与分支机构间，以及企业、组织与合作伙伴间的VPN建立。第10章基于Windows 2000的VPN 图10.3 路由器到路由器VPN网络结构第10章基于Windows 2000的VPN 10.1.3 基于基于Windows 2000的的VPN中的概念中的概念1VPN客户与客户与VPN服务器服务器VPN客户指主动发起VPN连接的一方，VPN服务器接受VPN连

6、接请求，并向用户提供对VPN服务器所连接网络的资源访问服务。在远程访问VPN中，移动办公人员和远程工作用户的计算机是VPN客户，单位的VPN网关是VPN服务器。VPN连接请求总是由VPN客户主动发起，而VPN服务器接受远程请求连接。第10章基于Windows 2000的VPN 在路由器到路由器VPN中，呼叫路由器是初始化VPN连接的路由器，充当VPN客户角色。通过使用永久性WAN连接或拨入到本地Internet服务商(ISP)，ISP使用标准的电话线或ISDN连接到Internet上。应答路由器用来接收来自呼叫路由器的连接请求，它扮演VPN 服务器角色，通常使用诸如T1或永久性WAN连接连到

7、Internet上。不同于用于网络互连的专用路由设备，Windows 2000 Server是以软件的方式实现呼叫路由器或应答路由器功能的。可以将运行Windows 2000 Server的计算机配置为呼叫路由器或应答路由器。第10章基于Windows 2000的VPN 在设计远程访问VPN或者路由器到路由器VPN时，一般要求VPN服务器是在Internet 上可寻址的，这包含两个方面：首先VPN服务器应该有一个合法的公用IP地址，而不采用私有IP地址；另外，VPN服务器的这个公用IP地址应该是固定的，这样可以避免客户因预先不知道地址而无法建立与VPN服务器的连接。VPN客户本地Intern

8、et服务商(ISP)如果要通过本地Internet服务商(ISP)连入Internet，那么，应先通过拨入到ISP建立到Internet的连接，然后建立到VPN服务器的VPN连接。第10章基于Windows 2000的VPN 2VPN连接连接通过VPN可以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间传送数据。VPN连接仿真了专用的点对点连接的属性。此连接的起点是VPN客户，终点是VPN服务器，二者之间的其他跳点是不可见的。第10章基于Windows 2000的VPN 3请求拨号接口请求拨号接口是代表点对点连接的逻辑接口。点对点连接可以是物理连接，例如WAN点对点技术上的常规路

9、由器之间的连接。点对点连接也可以是逻辑连接，例如在使用Internet虚拟专用网络连接上连接的两个路由器。请求拨号接口通常需要通过身份验证过程激活。在VPN中，请求拨号接口对应着逻辑多端口设备上的一个端口。点对点隧道协议(PPTP)或第二层隧道协议(L2TP)就充当了这个逻辑多端口设备，从而可以支持多个VPN连接。在远程访问VPN中，VPN客户在“网络和拨号连接”中设置VPN连接拨号接口，VPN服务器在“路由与远程访问”中配置请求拨号接口。第10章基于Windows 2000的VPN 在路由器到路由器VPN中，VPN客户和VPN服务器都必须在“路由与远程访问”中配置请求拨号接口。在呼叫路由器

10、上请求拨号接口必须指明应答路由器的的主机名称或IP 地址，以及由应答路由器验证的用户凭据(用户名、域、密码)，即拨出凭据。在应答路由器上请求拨号接口不需要指明呼叫路由器的名称或地址，也无需设置拨出凭据，但必须设置用于验证呼叫路由器的拨入凭据。如果呼叫路由器通过拨号到本地ISP访问Internet，则需配置两个请求拨号接口，一个是用于连接到ISP，另一个用于VPN连接。第10章基于Windows 2000的VPN 4初始化连接初始化连接(1)单向初始化连接：甲方路由器总是呼叫乙方路由器，乙方只做应答方。(2)双向初始化连接：双方的路由器是应答路由器还是呼叫路由器取决于初始化连接的一方。配置双方

11、的路由器，使它们既可以初始化也能接受 VPN 连接。第10章基于Windows 2000的VPN 5远程访问策略远程访问策略设计VPN必须考虑远程访问策略，它允许更加灵活地设置远程访问权限和连接权限。利用远程访问策略，可以强化VPN的用户使用授权和加密功能。在Windows 2000中，授权基于用户帐户的拨入属性和远程访问策略。远程访问策略是一组条件和连接设置。使用远程访问策略，只有在尝试连接的设置至少与多个远程访问策略中的一个相匹配时，才会授权连接，并且，尝试连接的设置只要与该远程访问策略的多个条件中的一个条件不匹配，不管用户帐户的拨入属性如何，都将拒绝连接。第10章基于Windows

12、2000的VPN 10.1.4 隧道技术隧道技术为仿真专用的、点对点的连接，利用一个新报头来封装原始数据，即将原始数据包封装在新的数据包内部。该报头提供目标位置的路由信息以使数据能够通过公用网络到达连接的终点(应答路由器)，然后拆封，将原始数据交给最终用户。封装后的数据包在公共网络上路由所经过的逻辑路径称为隧道。对于原始的源和目的，隧道是不可见的，而只能看到网络中从隧道起点到终点的点到点连接。隧道技术包括封装、发送和拆封的全过程。第10章基于Windows 2000的VPN VPN客户和VPN服务器使用隧道协议来管理隧道和发送隧道中的数据。Windows 2000 支持“点对点的隧道协议(P

13、oint-to-Point Tunneling Protocol，PPTP)”和“第二层隧道协议(Layer 2 Tunneling Protocol，L2TP)”这两种隧道协议。点对点隧道协议是一种支持多协议虚拟专用网络的联网技术。它是点对点协议(PPP)的扩展，并加强了PPP的身份验证、压缩和加密机制。PPTP使用用户级的点对点协议身份验证方法，并使用身份验证过程中生成的密匙，以“Microsoft 点对点加密(MPPE)”方式加密数据。PPTP是随着路由和远程访问服务程序一起安装的。通过使用“路由和远程访问向导”，可以为远程访问的请求拨号路由连接启用PPTP端口。第10章基于Windo

14、ws 2000的VPN 第二层隧道协议也是一种支持多协议虚拟专用网络的联网技术。与PPTP一样，该协议也加强了PPP身份验证和压缩机制。与PPTP不同的是，Windows 2000中的L2TP不是利用“Microsoft点对点加密(MPPE)”来加密PPP数据包的。L2TP的加密服务依赖于网际协议安全(IPSec)。基于L2TP的虚拟专用网络连接是L2TP和IPSec的组合。L2TP负责为IP、IPX和其他协议包提供封装和隧道管理，IPSec提供L2TP隧道数据包的安全性。VPN客户机和VPN服务器务必同时支持L2TP和IPSec。L2TP也是与路由和远程访问服务程序一起被安装到操作系统内的。

15、通过使用路由和远程访问向导，可以为传入的远程访问和请求拨号路由连接启用L2TP端口。第10章基于Windows 2000的VPN 10.2 配置基于配置基于Windows 2000的远程访问的远程访问VPN 10.2.1 简介简介在单位的局域网中设置VPN网关，给远程的单个计算机用户提供访问单位局域网内部资源的服务。远程的单个计算机用户往往是单位的雇员或是单一的合作客户。该VPN网关运行Windows 2000 Server，支持的VPN客户机可以是Windows NT 4.0及更高版本、Windows 95/98/XP客户机。在跨越公共网络与服务器建立VPN连接前，客户机必须能够通过某种方

16、式连接到公用网络(如Internet)。第10章基于Windows 2000的VPN 10.2.2 实验实验配置基于配置基于Windows 2000的远程访问的远程访问VPN1实验要求实验要求(1)掌握基于Windows 2000的远程访问VPN的配置过程。(2)测试远程访问VPN，理解远程访问VPN的工作原理。2实验设备(1)路由器2台。(2)计算机4台。(3)交换机4台。(4)console线2条。(5)直通双绞线若干条。第10章基于Windows 2000的VPN 3实验过程和主要步骤依照图10.4连接设备，并按照图中所示的信息配置网段IP地址和设备连接接口的IP地址，图中的“自行

17、配置段”可根据实际实验环境自行选择连接方式并分配子网段。路由器的配置参考第7章的相关内容。SV1是VPN服务器，PC2是VPN客户机。VPN服务器和客户机都采用Windows 2000系统。配置前PC2是ping不通PC1的。下面的步骤分别完成SV1和PC2的配置。第10章基于Windows 2000的VPN 图10.4 基于Windows 2000的远程访问VPN的实验环境第10章基于Windows 2000的VPN 1)SV1的配置(1)使用向导安装和设置VPN服务器。打开“管理工具/路由与远程访问”，在本地服务器上单击鼠标右键，在快捷菜单中选择“配置并启用路由和远程访问”选项(见图

18、10.5)，弹出如图10.6所示的“路由和远程访问服务器安装向导”对话框。第10章基于Windows 2000的VPN 图10.5 启用向导第10章基于Windows 2000的VPN 图10.6 “路由和远程访问服务器安装向导”对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的以“公共设置”为主题的对话框中，选择“虚拟专用网(VPN)服务器”项，如图10.7所示。第10章基于Windows 2000的VPN 图10.7 以“公共设置”为主题的对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，弹出以“远程客户协议”为主题的

19、对话框。因为客户端是Windows操作系统，所以需要TCP/IP协议出现在列表中，如图10.8所示。第10章基于Windows 2000的VPN 图10.8 以“远程客户协议”为主题的对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，弹出以“Internet连接”为主题的对话框，选择一个用于公共网络连接的网络接口卡，如图10.9所示。第10章基于Windows 2000的VPN 图10.9 以“Internet连接”为主题的对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，弹出以“IP地址指定”为主题的对话框，如图10.10所示。建立VP

20、N连接时，VPN服务器要给VPN客户分配IP地址，如果服务器已安装配置好了DHCP服务，可以选择“自动”。本例中选择“来自一个指定的地址范围”，手动设置供分配的地址范围。第10章基于Windows 2000的VPN 图10.10 以“IP地址指定”为主题的对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，弹出以“地址指定范围”为主题的对话框，如图10.11所示。单击“新建”按钮，输入将来动态分配到基于PPTP的VPN客户的 IP 地址范围。静态地址池的地址范围可以取自与VPN网关直接相连的内部子网的地址段，但需要确保没有将VPN网关自身使用的以及已分配给子网内用户的

21、IP地址列入静态地址池。静态地址池也可以取自独立的子网段，但必须在VPN网关中添加相对应的静态路由。本实验在内部子网段10.1.1.0/24中取定范围，如图10.11所示。静态地址池的大小要保证满足分配需求。如果静态池中的所有地址均已分配给已连接的端口，那么，对于更多的连接请求，将无法分配IP地址给连接端口，这时连接尝试将被拒绝。本实验设定了7个地址。第10章基于Windows 2000的VPN 图10.11 以“地址指定范围”为主题的对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，弹出以“管理多个远程访问服务器”为主题的对话框，选择“不，我现在不想设置此服务器使

22、用RADIUS”，如图10.12所示。第10章基于Windows 2000的VPN 图10.12 以“管理多个远程访问服务器”为主题的对话框第10章基于Windows 2000的VPN 单击“下一步”按钮，出现完成对话框，单击“完成”按钮结束VPN服务器的安装过程，“路由和远程访问服务”开始启动，如图10.13所示。完成后，“路由与远程访问”服务界面如图10.14所示。第10章基于Windows 2000的VPN 图10.13 完成与初始化第10章基于Windows 2000的VPN 图10.14 “路由与远程访问”服务界面第10章基于Windows 2000的VPN(2)VP

23、N服务器属性配置。前面使用向导对VPN服务器进行了基本配置，下面通过VPN服务器的属性配置来增强其功能。在VPN服务器上单击鼠标右键，然后在弹出的菜单上单击“属性”(如图10.15所示)，打开VPN服务器属性设置框。第10章基于Windows 2000的VPN 图10.15 打开VPN服务器属性第10章基于Windows 2000的VPN 在“常规”选项卡中，选择“路由器”复选框和“用于局域网和请求拨号路由选择”子项，使服务器的路由功能在局域网和外部网络中都是有效的，同时选择“远程访问服务器”使服务器可以管理远程连接和远程用户，如图10.16所示。第10章基于Windows 2000的

24、VPN 图10.16 “常规”选项卡第10章基于Windows 2000的VPN “IP”选项卡如图10.17所示，在其中选中“启用 IP 路由”使基于IP的远程访问客户能够访问与该服务器连接的局域网，不选则客户仅能访问到该服务器；选择“允许基于IP远程访问和请求拨号的连接”复选框。对于IP地址分配框，本实验不使用DHCP给VPN客户分配IP地址，而使用先前图10.11中设定的静态地址池。如果需要修改地址范围，可以选定地址范围并单击“编辑”按钮。第10章基于Windows 2000的VPN 图10.17 “IP”选项卡第10章基于Windows 2000的VPN 在“PPP”选项卡中

25、，选中“多重链接连接”复选框，表示允许远程访问客户将多个物理连接组合成单一逻辑连接，选中“使用BAP或BACP的动态带宽控制”复选框，协商远程访问的多个物理连接的动态添加或删除；选中“链接控制协议(LCP)扩展”复选框，使服务器使用链接控制协议(LCP)扩展；选中“软件压缩”复选框，使服务器可以使用Microsoft点对点压缩协议(MPPC)压缩在远程访问连接上发送的数据。本实验只需选择后两项，如图10.18所示。第10章基于Windows 2000的VPN 图10.18 “PPP”选项卡第10章基于Windows 2000的VPN 在“安全”选项卡(见图10.19)中，单击“身份验证方

26、法”按钮，可以选择远程访问服务器支持的身份验证方法来验证拨号客户机凭据，如图10.20所示。典型情况下，Microsoft 拨号网络客户机使用MS-CHAP身份验证。非Microsoft拨号网络客户机使用CHAP、SPAP和PAP身份验证。对于加密的PPTP连接，必须使用MS-CHAP或EAP-TLS作为身份验证方法，如果使用EAP-TLS身份验证则需要客户端使用智能卡。本实验中选择MS-CHAP，如图10.20所示。第10章基于Windows 2000的VPN 图10.19 “安全”选项卡第10章基于Windows 2000的VPN 图10.20 “身份验证方法”对话框第10章基于

27、Windows 2000的VPN(3)创建远程拨入用户。如果本地计算机是独立服务器，即不是Windows 2000域的一部分，则在“计算机管理/本地用户和组”中创建用户，如图10.21所示。如果本地计算机是Windows 2000域的一部分，则需在“Active Directory 用户和计算机”中创建用户。本实验以前一种情况为例，建立用户PC2，如图10.22所示。第10章基于Windows 2000的VPN 图10.21 计算机管理/本地用户和组第10章基于Windows 2000的VPN 图10.22 新建用户第10章基于Windows 2000的VPN 用鼠标右键单击上一步建

28、立的用户，在“拨入”选项卡上将远程访问权限设置为“允许访问”，授权此用户可以拨入VPN服务器，如图10.23所示，然后单击“确定”按钮。如果选择“通过远程访问策略控制访问”，则可以通过设定的策略内容适当地更改用户帐户的远程访问权限。第10章基于Windows 2000的VPN 图10.23 “拨入”选项卡第10章基于Windows 2000的VPN 2)客户端设置(1)在客户的Windows 2000系统中，依次选择“开始”“设置”“网络和拨号连接”“新建连接”菜单，打开“网络连接向导”对话框，如图10.24所示。第10章基于Windows 2000的VPN 图10.24 网络连接向导

29、第10章基于Windows 2000的VPN(2)单击“下一步”按钮，然后在弹出的以“网络连接类型”为主题的对话框中，选择“通过Internet连接到专用网络”，如图10.25所示。第10章基于Windows 2000的VPN 图10.25 以“网络连接类型”为主题的对话框第10章基于Windows 2000的VPN(3)单击“下一步”按钮，出现以“公用网络”为主题的对话框，如图10.26所示。如果用户已有与公用网络的专线连接，则选择“不拨初始连接”。如果一般通过拨号、ISDN、ADSL等方式接入公共网络，则需要先建立与公共网络的连接。这时需选择“自动拨此初始连接”，这样会在建立VP

30、N连接前，先自动建立与公共网络的连接，如图10.27所示。本实验属于第一种情况。第10章基于Windows 2000的VPN 图10.26 以“公用网络”为主题的对话框第10章基于Windows 2000的VPN 图10.27 自动拨初始连接第10章基于Windows 2000的VPN(4)单击“下一步”按钮，然后在弹出的以“目标地址”为主题的对话框中填入要访问的远程访问VPN服务器地址或域名，如图10.28所示。第10章基于Windows 2000的VPN 图10.28 输入目标地址第10章基于Windows 2000的VPN(5)单击“下一步”按钮，弹出以“可用连接”为主题

31、的对话框，确定所创建的虚拟专用连接是否属于当前用户专用，如图10.29所示。第10章基于Windows 2000的VPN 图10.29 以“可用连接”为主题的对话框第10章基于Windows 2000的VPN(6)单击“下一步”按钮，弹出图10.30所示对话框，单击“完成”按钮，完成虚拟专用网络连接的创建过程。如果在第(3)步中属于第二种情况，则在单击“完成”按钮后出现如图10.31的“初始连接”提示框，单击“是”按钮即可。第10章基于Windows 2000的VPN 图10.30 以“完成网络连接向导”为主题的对话框第10章基于Windows 2000的VPN 图10.31 “初

32、始连接”提示框第10章基于Windows 2000的VPN(7)配置完成后，在“网络和拨号连接”窗口中出现“虚拟专用连接”图标，如图10.32所示。图10.32 “网络和拨号连接”显示第10章基于Windows 2000的VPN 3)测试远程访问VPN(1)客户端。在PC2上，双击“网络与拨号连接”中的“虚拟专用连接”，出现登录框，如图10.33所示，输入在服务器上建立的用户名和密码，然后单击“连接”按钮。连接成功后，单击“确定”按钮。第10章基于Windows 2000的VPN 图10.33 客户发起连接第10章基于Windows 2000的VPN 在屏幕右下角找到虚拟专用连接的

33、小图标，单击鼠标右键打开“虚拟专用连接状态”，可查看VPN连接的活动情况，如图10.34所示。第10章基于Windows 2000的VPN 图10.34 虚拟专用连接状态第10章基于Windows 2000的VPN(2)VPN服务器端。在VPN网关SV1上，可以看到“远程访问客户端”里正是建立连接的用户PC2，如图10.35所示。图10.35 服务器的客户情况显示第10章基于Windows 2000的VPN 4)结束实验为了不影响后继章节的实验，请“禁用路由和远程访问”(如图10.36所示)，并删除“计算机管理/本地用户和组”中的远程访问用户(如图10.37所示)。第10章基于Wi

34、ndows 2000的VPN 图10.36 禁用路由和远程访问第10章基于Windows 2000的VPN 图10.37 删除远程访问用户第10章基于Windows 2000的VPN 10.3 配置基于配置基于Windows 2000的路由器到路由器的路由器到路由器VPN 10.3.1 简介简介路由器到路由器VPN适用于以下几种情况：组织总部与分支机构；分支机构之间；商业的合作伙伴之间；组织网络内部的位置分散的敏感分支部门之间。前三种一般是跨越Internet的异地局域网。第四种一般是组织网络内部的两个子网，或者说是跨越组织公共网络的两个局域网。依据不同的组织关系，通过分析网络之间的业

35、务需求来确定VPN连接的方式。对于第一种情况，组织总部也许与多个分支机构都建立了VPN连接，但是总部对分支机构主动访问的需求应该是有限的，因此总部的VPN网关往往只做应答路由器，VPN连接的初始化总是由分支机构的VPN网关(呼叫路由器)发起，而且应答路由器必须永久性地连接到Internet或其他公共网络。第10章基于Windows 2000的VPN 后三种情况，一般要求双方的用户可以随时建立到对方的VPN连接，适于采用双向初始化的方式，在需要时由任何一方发起建立VPN连接，这时要求双方的VPN网关都是永久性地连接到Internet或其他公共网络，并提供24小时的服务，保证任何时间可以初始化，

36、或者接受连接。VPN连接一旦建立，局域网内的用户便可以互访。可规定连接空闲一定时间后自动断开，而在下一次有访问需求时再次建立。如果双方之间的业务繁忙，可以设置VPN连接为持续性连接。第10章基于Windows 2000的VPN 10.3.2 实验实验配置基于配置基于Windows 2000的路由器到路由器的路由器到路由器VPN1实验要求(1)掌握基于Windows 2000的路由器到路由器VPN的配置过程。(2)测试路由器到路由器VPN，理解远程访问VPN的工作原理。2实验设备(1)路由器2台。(2)计算机4台。(3)交换机4台。(4)console线2条。(5)直通双绞线若干条。第10章

37、基于Windows 2000的VPN 3实验过程和主要步骤按图10.38正确搭建环境。图中的“自行配置段”可根据实际实验环境自行选择连接方式并分配子网段。路由器的配置请参见第7章的内容。下面分别完成PC1、PC2、SV1和SV2的配置。第10章基于Windows 2000的VPN 图10.38 基于Windows 2000的远程访问VPN的实验环境第10章基于Windows 2000的VPN 1)配置网卡参数依图10.38所示，按照表10-1完成SV1、SV2、PC1和PC2的网卡参数配置。表表10-1 部分配置参数部分配置参数外网卡 IP：202.117.128.1 掩码：255.

38、255.255.0 网关：202.117.128.2 外网卡 IP：202.102.130.2 掩码：255.255.255.0 网关：202.102.130.1 SV1 内网卡 IP：10.1.1.1 掩码：255.255.255.0 网关：不填 SV2 内网卡 IP：192.168.0.2 掩码：255.255.255.0 网关：不填 PC1 IP：10.1.1.2 掩码：255.255.255.0 网关：10.1.1.1 PC2 IP：192.168.0.1 掩码：255.255.255.0 网关：192.168.0.2 第10章基于Windows 2000的VPN 2)配置SV1(1

39、)配置路由器属性。首先，完成“路由和远程访问服务器安装”，其步骤参考10.2.2节；然后，在“路由和远程访问”中，用鼠标右键单击目录树中“SV1(本地)”，然后单击图10.39中的“属性”，弹出“SV1(本地)属性”对话框。第10章基于Windows 2000的VPN 图10.39 打开属性第10章基于Windows 2000的VPN 在“常规”选项卡中确定如图10.40所示的选项。图10.40 “常规”选项卡第10章基于Windows 2000的VPN 在“安全”选项卡中，“身份验证提供程序”使用“Windows身份验证”，如图10.41所示。单击“身份验证方法”按钮，然后在弹出的

40、“身份验证方法”对话框中选择EAP方法，且要求必须安装计算机证书。本实验选择MS-CHAP，如图10.42所示。第10章基于Windows 2000的VPN 图10.41 “安全”选项卡第10章基于Windows 2000的VPN 图10.42 “身份验证方法”对话框第10章基于Windows 2000的VPN 在“IP”选项卡中，选中“启用IP路由”和“允许基于IP的远程访问和请求拨号连接”，并设定静态地址池，本实验设为10.1.1.410.1.1.10，如图10.43所示。图10.43 “IP”选项卡第10章基于Windows 2000的VPN 在“PPP”选项卡中，选择“链

41、路控制协议(LCP)扩展”和“软件压缩”，如图10.44所示。图10.44 “PPP”选项卡第10章基于Windows 2000的VPN(2)配置端口。在“路由和远程访问”对话框的目录树中，用鼠标右键单击“端口”，然后在弹出的菜单中单击“属性”(见图10.45)打开“端口属性”窗口，如图10.46所示。单击“配置”按钮，出现如图10.47所示的对话框，默认情况下，已勾选“请求拨号路由连接(入站和出站)”，对于路由器到路由器VPN，此项是必须的。端口数目默认为128个，可以根据VPN连接的数目改变。本实验不做任何更改。第10章基于Windows 2000的VPN 图10.45 打开端口属

42、性第10章基于Windows 2000的VPN 图10.46 “端口属性”窗口第10章基于Windows 2000的VPN 图10.47 端口配置第10章基于Windows 2000的VPN(3)添加与配置请求拨号接口。在“路由和远程访问”对话框的目录树中用鼠标右键单击“路由接口”，然后在弹出的菜单中单击“新的请求拨号接口”(如图10.48所示)，出现“请求拨号接口向导”窗口，如图10.49所示。第10章基于Windows 2000的VPN 图10.48 新建请求拨号接口第10章基于Windows 2000的VPN 图10.49 “请求拨号向导”窗口第10章基于Wind

43、ows 2000的VPN 单击“下一步”按钮，然后在弹出的以“接口名称”为主题的对话框中输入接口名称，该名称代表到对方VPN网关的连接的接口名称，如图10.50所示。本实验中，输入“SV2”，注意，这与后继步骤中建立的拨入凭据用户名称是相同的。第10章基于Windows 2000的VPN 图10.50 输入接口名称第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的以“连接类型”为主题的对话框中选择“使用虚拟专用网络连接”，如图10.51所示。图10.51 连接类型选择第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的以“VPN种

44、类”为主题的对话框中选择“点对点隧道协议(PPTP)”，如图10.52所示。图10.52 VPN种类选择第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的以“目标地址”为主题的对话框中输入目标地址。请求拨号接口的目标地址指分配到对方路由器外部网络接口上的IP地址或主机名称。如果VPN网关只作为应答路由器，则无需输入地址，本实验是双向初始化的，SV1和SV2都有可能呼叫对方，因此必须输入正确的目标地址。这里输入SV2的外部网卡的地址202.102.130.2，如图10.53所示。第10章基于Windows 2000的VPN 图10.53 输入远程路由器名称或地址

45、第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的以“协议及安全措施”为主题的对话框中选中“添加一个用户帐户使远程路由器可以拨入”复选项，以便接下来创建拨入凭据，如图10.54所示。第10章基于Windows 2000的VPN 图10.54 选择适用的协议和安全措施第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的以“拨入凭据”为主题的对话框中设定用于验证对方路由器的密码“123456”，但是用户名是无法更改的(如图10.55所示)，该用户名与请求拨号接口的名称相同。完成后，请求拨号接口向导将自动创建一个名为SV2的用户。第10

46、章基于Windows 2000的VPN 图10.55 拨入凭据第10章基于Windows 2000的VPN 单击“下一步”按钮，弹出的图10.56所示的对话框，在该对话框中输入的信息应依照对方的应答路由器上配置的拨入凭据填写用户名和密码，域为应答路由器所在域。这里输入用户名SV1，域可以不用输入，然后输入密码“654321”，这些信息必须与将来在SV2上设置的拨入凭据保持一致。第10章基于Windows 2000的VPN 图10.56 拨出凭据第10章基于Windows 2000的VPN 单击“下一步”按钮，然后在弹出的完成对话框中单击“完成”按钮，如图10.57所示，向导按照具体

47、的设定创建请求拨号接口。之后，在路由接口中会出现这个新创建的接口，如图10.58所示。第10章基于Windows 2000的VPN 图10.57 完成向导第10章基于Windows 2000的VPN 图10.58 查看向导创建的新接口第10章基于Windows 2000的VPN(4)配置静态路由。添加静态路由以便通过使用适当的请求拨号接口来转发到对方局域网的通信。在目录树中，用鼠标右键单击“静态路由”，然后在弹出的菜单中单击“静态路由”(如图10.59所示)，弹出“静态路由”对话框。在配置框中设定到达对方局域网所使用的接口，以及跃点数，输入信息如图10.60所示。注意：因为VPN连接

48、是虚拟点对点连接，所以跃点数为1。如果VPN网关只作应答路由器则不用选中“使用此路由来初始化请求拨号式连接”复选框。第10章基于Windows 2000的VPN 图10.59 打开静态路由第10章基于Windows 2000的VPN 图10.60 设置静态路由第10章基于Windows 2000的VPN(5)配置筛选器。在常规窗口中，用鼠标右键单击“SV2”，然后在弹出的菜单中单击“属性”(如图10.61所示)，弹出“SV2属性”对话框。第10章基于Windows 2000的VPN 图10.61 打开接口属性第10章基于Windows 2000的VPN 在“常规”选项卡(见图1

49、0.62)中，单击“输入筛选器”按钮，弹出“输入筛选器”对话框(见图10.63)。第10章基于Windows 2000的VPN 图10.62 接口属性第10章基于Windows 2000的VPN 图10.63 配置前的输入筛选器第10章基于Windows 2000的VPN 在“输入筛选器”对话框中，配置三个PPTP输入筛选器，并选择适当的筛选器操作。添加第一个输入筛选器，单击“添加”按钮，打开添加对话框，在“协议”下拉表中，选择“其他”；在“协议号”中，键入47，然后单击“确定”按钮，如图10.64所示。添加第二个和第三个输入筛选器，填入信息分别如图10.65和图10.66所示。第1

50、0章基于Windows 2000的VPN 图10.64 添加第一个输入筛选器第10章基于Windows 2000的VPN 图10.65 添加第二个输入筛选器第10章基于Windows 2000的VPN 图10.66 添加第三个输入筛选器第10章基于Windows 2000的VPN 选择输入筛选器的筛选器操作。在“输入筛选器”对话框中，单击“丢弃所有除符合下列条件以外的数据包”，然后单击“确定”按钮，如图10.67所示。第10章基于Windows 2000的VPN 图10.67 配置后的输入筛选器第10章基于Windows 2000的VPN 在“常规”选项卡(见图10.62)

注意事项: 本文（《计算机组网实验教程》课件第10章.ppt）为本站会员（momomo）主动上传，其收益全归该用户，163文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上传内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知163文库（点击联系客服），我们立即给予删除！