全程图解Windows 2003下的虚拟网络.docVIP

全程图解Windows 2003下的虚拟网络简介　　本白皮书介绍如何使用 Windows Server 2003 和 Windows XP 操作系统，为一家虚构的公司配置常见的虚拟专用 HYPERLINK / \t _blank 网络。虽然您的网络配置可能与这里描述的配置有所不同，但是您仍可在网络环境中应用虚拟专用网络的一些基本概念。　　同时使用公用和专用网络创建的网络连接称为虚拟专用网络 (VPN)。VPN 是专用网络的扩展(包含共享或公用网络(如:Internet)上的链接)。借助 VPN，用户可以通过模拟点对点专用链接的方式，在共享或公用网络上的两台计算机间发送数据。建立虚拟专用网络即创建并配置虚拟专用网络。　　为了模拟点对点链接，数据将随提供路由信息(允许数据遍历共享或公用网络以到达端点)的标头一起封装或包装。为了模拟专用链接，数据将被加密以实现机密性。如果没有加密密钥，将无法破译共享或公用网络上截获的数据包。封装并加密专用数据的链接即为 VPN 连接。　　Electronic, Inc. 是一家虚构的电子产品设计和制造公司，总部设在纽约，其分公司和分销商业合作伙伴遍布美国各地。Electronic, Inc. 已经实施了一个 VPN 解决方案，使用 Windows Server 2003 来连接远程访问用户、分公司和商业合作伙伴。　　公司总部的 VPN HYPERLINK / \t _blank 服务器同时提供了远程访问以及站点到站点(也称为路由器到路由器)点对点隧道协议 (PPTP) 和结合 Internet 协议 HYPERLINK /security/ \t _blank 安全的第二层隧道协议 (L2TP/IPSec) VPN 连接。此外，VPN 服务器还对 Intranet and Internet 位置提供了数据包的路由。　　根据 VPN 服务器的常规配置，介绍了下列 VPN 配置:　　? 员工的 VPN 远程访问。　　? 按需的分公司访问。　　? 持续的分公司访问。　　? 商业合作伙伴的 Extranet。　　? 采用 RADIUS 身份验证的拨号和 VPN 连接。　　注意:此处列举的公司、组织、产品、人员和事件均属虚构。不应与真实的公司、组织、产品、人员或事件相联系，也不应随意推测。VPN 服务器的常规配置　　为了对 Electronic, Inc. 部署一个 VPN 解决方案，网络管理员针对下列几个方面进行了分析，并制定了设计决策:　　? 网络配置:　　? 远程访问策略配置。　　? 域配置。　　? 安全配置。　　网络配置　　网络配置的要素有:　　? Electronic, Inc. 的公司 Intranet 使用 IP 地址为 、子网掩码为 (/12) 以及 IP 地址为 、子网掩码为 (/16) 的专用网络。公司总部的网段使用 IP 地址为 的子网，而分公司则使用 IP 地址为 的子网。　　? VPN 服务器直接连接到使用 T3(也称为 DS-3)专用 WAN 链接的 Internet。　　? 对于 Internet 上的 WAN 适配器，Internet 服务提供商 (ISP) 为 Electronic, Inc. 分配的 IP 地址为 。在 Internet 上，WAN 适配器的 IP 地址由域名 引用。　　? VPN 服务器直接连接到一个 Intranet 网段，该网段包含一台连接到 Electronic, Inc. 公司总部 Intranet 其他部分的路由器。该 Intranet 网段的 IP 网络 ID 为 ，子网掩码为 。　　? VPN 服务器配置了一个属于 Intranet 网段一部分的静态 IP 地址池(子网内地址池)，以向远程访问客户端以及调用路由器分配地址。　　图 1 显示了 Electronic, Inc. VPN 服务器的网络配置。　　图 1:Electronic, Inc. VPN 服务器的网络配置　　基于 Electronic, Inc. 总公司 Intranet 的网络配置，VPN 服务器的配置如下:　　1. 在 VPN 服务器上安装 HYPERLINK / \t _blank 硬件。　　根据适配器制造商的说明，安装用于连接到 Intranet 网段的网络适配器和用于连接到 Internet 的 WAN 适配器。一旦 HYPERLINK / \t _blank 驱动程序安装完毕并正常运行，两个适配器都将作为网络连接中的本地连接。　　2. 在 LAN 和 WAN 适配器上配置 TCP/IP。　　对于 LAN 适配器，其 IP 地址和子网掩码分别被配置为 和 。而对于 WAN 适配器，其 IP 地址和子网掩码分别被配置为 和 55。未对这两个适配器配置默认