Window Server 2019--11 虚拟专用网络

 本章首要介绍虚拟专用网络（Virtual Private Network,VPN)的概念、功能及采用的协议，然后介绍VPN的服务类型，通过两个实验来详细的说明VPN服务器的系统需求和网络架构。

VPN能够让移动员工、远程员工、商务合作伙伴和其他用户利用本地可用的高速宽带（如DSL、有线电视或者Wi-Fi网络）连接到企业网络。VPN能提供高安全性，使用高级的加密和身份识别协议保护数据免受窥探，阻止数据窃贼和其他非授权用户接触这些数据。VPN使用户可以利用ISP的设施和服务，同时又掌握着对网络的控制权。

11.1 VPN概述

VPN是通过一个公用的网络建立一条临时的、安全的连接。它采用“隧道”技术，在不安全的公用网络上建立一条安全的、专用的数据隧道来保证数据的传输安全，如图所示：

VPN是企业内部网的扩展，可以帮助远程用户、公司分支结构、商业伙伴以及供应商等与公司构建可信的虚拟占用路线，实现点对点的连接，依靠Internet服务提供商（ISP）和其他的网络服务提供商（NSP）在公用网络中简历自己专用的“隧道”，使VPN客户端能够与组织的专用网传输数据。VPN应用拓扑图如图所示：

隧道技术是通过一种协议传送另一种协议的技术，即将一种协议类型的数据包封装在其他协议的数据包内。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的数据包能偶够通过中间的公网。封装后的数据所途径的公网的逻辑路径成为隧道。一旦封装的帧到达公网上的目的地，帧将会被解除封装，继续被送往最终目的地。

（1）VPN主要采用以下4项技术来保证安全。

①隧道技术

②加解密技术

③密钥管理技术

④使用者与设备身份认证技术

（2）VPN的基本功能应包括以下6点

①加密数据。保证通过公网传输的信息即使被他人截获也不会泄露

②信息验证和身份识别。保证数据的完整性、合理性，并能鉴别用户的身份。

③提供访问控制。不同的用户有不同的访问权限

④地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性

⑤密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥

⑥多协议支持。VPN必须支持公共网络上普遍使用的基本协议。包括IP、IPX等。

（3）VPN隧道协议主要有3种

①PPTP：主要由链路控制协议（LCP）、网络控制协议簇（NCPs）和用于网络安全方面的验证协议簇（PAP和CHAP）组成，利用Microsoft点对点加密法（MPPE）加密。

②L2TP：允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传输的任意网络发送，具有身份验证、加密、数据压缩的功能，L2TP是PPTP和L2F的组合。

③IPsec隧道模式：允许对IP负载数据进行加密，然后封装在IP报头中，通过企业IP网络或公共IP网络向Internet发送。

11.2 VPN的服务类型

VPN的服务类型按业务需求定义可分为三种：IntraVPN、AccessVPN与ExtranetVPN。

11.2.1 IntraVPN

IntraVPN（内部网VPN）是企业的总部LAN（局域网）与分支机构LAN之间通过公网构建的虚拟网。这种类型的连接带来的风险最小，因此公司通常认为它们的分支机构是可信的，并将它作为公司网络的特点。即通过内部网VPN，可以将分支机构LAN连接到总部LAN。IntraVPN拓扑图如下图所示。IntraVPN的安全性取决于两个VPN服务器之间的加密方式和验证手段。

11.2.2 AccessVPN

AccessVPN（远程访问VPN）又称拨号VPN（即VPDN），是指企业员工或企业的小分支机构通过公网远程拨号的方式构建的虚拟网。其主要应用于移动用户及没有固定地点的办事处，通过拨号上网的方式来存取公司总部的网络资源，其拓扑图如下图所示。典型的远程访问VPN是用户通过本地的ISP登录到Internet上，并在所处的办公室与公司内部网之间建立一条加密通道。

11.2.3 ExtranetVPN

ExtranetVPN（外联网VPN）是指企业间发生收购、兼并或企业间建立战略联盟后，不同企业网通过公司构建的虚拟网。他能保证包括TCP和UDP服务在内的各种应用服务（如E-mail、HTTP、FTP、RealAudio、数据库）的安全，以及一些应用程序（如Java、ActiveX）的安全。ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到公司总部LAN。企业拥有与专用网络相同的政策，包括安全、服务质量（QoS）、可管理性和可靠性。ExtranetVPN拓扑图如图所示：

11.3 VPN的应用

应用场景：某公司需为出差员工、移动办公员工与公司合作的关键人等对象提供公司业务数据共享。传统的数据共享（如FTP服务或共享文件夹服务）在网络安全上无法得到有效的保障。如何满足公司对这些对象的办公需求，是他们无论在何时何地办公都像是在公司一样方便？VPN技术正因解决此类问题而生。

11.3.1 远程访问VPN搭建

VPN通过建立起点到点链路，使私有网络可以进一步包含那些跨过共享或公用网络（如Internet）的链路，从而获取VPN服务器上的数据资源，其工作步骤可分为4步，如图所示

在模拟实验中，Win2019-1、Win2019-2和Win2019-3分别充当1号、2号和3号计算机。

Win2019-1作为DNS、DHCP、WINS服务器，IP地址为192.168.1.1。

Win2019-2作为VPN服务器，配置内外两张网卡，内网网卡地址为192.168.1.2，外网网卡地址为10.100.14.82，DNS为192.168.1.1。

Win2019-3作为VPN的客户端，IP地址为10.100.14.224，连接VPN服务器。

实验拓扑图如下图：

1、安装DNS、DHCP和WINS服务。

1、在Win2019-1上配置静态IP，如下图所示

2、在Win2019-1上安装DHCP、DNS和WINS服务

3、DNS配置。新建正向区域“xyz.com.cn”。

在右侧栏中可看到3中名称类型。设置“起始授权机构（SOA）”的主服务器名为本机的DNS域名；在名称服务器（NS）中完全限定的域名，解析出域名所指向的IP地址；新建主机，主机名为本机的计算机名，IP地址是本机的IP。具体操作可参照4.2节，配置结果如图

4、DHCP配置。打开DHCP服务窗口，新建以“DHCP”为名的作用域，操作步骤参照2.3节，根据环境设定作用域分配的地址范围，如图所示

设置完成

2、配置VPN服务器

1、在Win2019-2服务器上配置内网网卡和外网网卡。

内网卡:

外网卡：

2、在Win2019-2上安装”网络策略和访问服务“和“远程访问”服务

3、点开旗帜，点击“打开开始向导”，配置远程访问服务。

4、配置远程访问。在打开的“配置远程访问”对话框中单击“仅部署VPN”选项，在新打开的对话框中单击“虚拟专用网络（VPN）访问和NAT”连接

5、添加VPN访问用户。打开Win2019-2服务器管理器，选择“工具——计算机管理——系统工具——本地用户和组——用户”选项，点击用户，添加新用户“user1”，密码设置为“1qaz！QAZ”，勾选”用户不能修改密码“”密码永不过期“两个复选框，单击确定按钮。

6、点击新创建的user1用户，设置属性

在user1的属性中，选择”拨入“选项，设置网络访问权限为”允许访问“

3、配置VPN客户端

客户端Win2019-3中的IP设置

1、在Win2019-3上建立VPN客户端的连接。打开”网络与共享中心“窗口，单击”设置新的连接或网络“连接

2、单击”使用我的Internet连接（VPN）“选项

3、选择”我将稍后设置Internet连接“链接，在键入要连接的Internet地址”界面中，输入“Internet地址”为“10.100.14.82”，此地址是VPN服务器的外网地址

4、输入正确的用户名和密码，测试连接

5、至此，VPN客户端实现远程访问，可以获取Win2019-1服务器提供的网络数据资源。

11.3.2 配置L2TP使用预共享密码

从下图中可以看出，VPN客户端连接采用的隧道协议是PPTP。PPTP支持隧道验证，而L2TP自身不提供隧道验证，当L2TP或PPTP与IPsec共同使用时，可以由IPsec提供隧道验证，不需要在第2层协议上验证隧道。如何将隧道协议PPTP变成L2TP呢？下面以实例操作来说明。

本实例的网络拓扑图与上一实例相同

1、VPN服务器的配置

1、在Win2019-2配置路由属性

2、在“Win2019-2（本地）属性”对话框中单击“安全”选项卡，勾选“允许L2TP/IKEv2连接使用自定义IPsec策略”复选框，设定“预共享的密钥”为“123456”，如图所示，设置完之后，需要重新启动服务器的路由服务。

2、VPN客户端的配置

1、在Win2019-3上已经创建了VPN客户端的连接，在“网络与共享中心”窗口中打开“VPN连接 属性”对话框，选择“安全”选项卡

2、在“VPN类型”下拉列表中选择“使用IPsec的第2层隧道协议（L2TP/IPsec）”选项，然后单击“高级设置”按钮

3、在“高级属性”对话框中选择“使用预共享的密钥作身份验证”单选按钮，此密钥须与VPN服务器设定的密钥相同，即123456，单击确定

4、使VPN客户端重新登录，在“网络和共享中心”窗口中，查看“VPN连接 状态”对话框中的“详细信息”选项卡中的“设备名”，其值为“WAN Miniport（L2TP）”，即VPN类型从PPTP转换成了L2TP，如图所示。

11.3.3 远程访问策略

前面通过两个实例，分别实现了用PPTP和L2TP两个隧道协议进行VPN客户端到服务端的远程访问，熟悉了操作过程。下面对远程访问策略（RAP）进行总结。

（1）策略简介

①远程访问策略是一组规则的集合，它授权VPN客户是否可远程访问服务端。

②每个规则有一个或多个匹配条件、一组配置文件设置和一个远程访问权限设置

③VPN客户端连接尝试至少与一个远程访问策略相匹配时，才会授权连接

④远程访问策略存放在远程访问服务器或RADIUS服务器上

（2）策略得当元素

①条件：与连接请求进行比较的一个或多个属性。VPN服务器按照优先级顺序（顺序值越低的RAP具有越高的优先级）对RAP进行评估

②远程访问权限：如果远程访问策略的所有条件都满足，那么远程访问权限可以允许或拒绝

③配置文件：当远程访问连接被验证后（通过用户账号或策略的权限设置）应用于连接的一组属性。如图所示

（3）远程访问策略的验证过程如图所示

（4）远程访问策略的查阅

查阅远程访问策略需要在VPN服务器上启动网络策略服务（NPS），打开步骤依次是：”服务器管理器——工具——路由与远程访问“，右键单击”远程访问日志记录和策略“选项，在弹出的快件菜单中选择”启动NPS“命令。然后再依次单击”服务器管理器——工具——网络策略服务器“选项进行查看

远程访问策略对于本地计算机是唯一的，可以通过本地的路由和远程访问管理控制台或Internet验证服务管理控制台来管理本地计算机上的远程访问策略。如果服务器运行路由和远程访问服务，并配置为使用Windows身份验证提供程序，则路由和远程访问服务使用本地的远程访问策略，此时，该策略仅应用到VPN客户到本地路由和远程访问服务器的连接；如果服务器运行路由和远程访问服务，并且配置为使用RADIUS身份验证提供程序，则路由和远程访问服务使用RADIUS服务器上的远程访问策略，一个RADIUS服务器上的远程访问策略可以应用到多个路由和远程访问服务器。