VPN网络组建案例实录

目 录

第1章 VPN网络概述 1

1.1 VPN的连接方式 1

1.2 常用的VPN协议及其属性 2

1.2.1 常用的VPN协议 3

1.2.2 VPN身份验证 3

1.2.3 数据加密 3

1.3 VPN隧道协议 4

1.3.1 PPTP协议的封装与加密 4

1.3.2 L2TP协议的封装与加密 4

1.3.3 SSTP协议的封装与加密 5

1.3.4 隧道协议的选择 6

1.4 VPN与防火墙的关系 6

1.4.1 VPN服务器位于防火墙后面 7

1.4.2 VPN服务器位于防火墙前面 8

1.5 使用ISA Server与Forefront TMG的软件VPN网络解决方案 8

1.6 商用VPN服务器系统需求与网络架构（少于1000个连接） 10

1.6.1 为客户端提供PPTP连接的VPN网络拓扑 11

1.6.2 为客户端提供L2TP连接的VPN网络拓扑 11

1.6.3 为客户端提供智能卡验证的VPN网络拓扑 12

1.7 高档商用VPN服务器网络架构（超过1000个连接） 13

1.8 VPN服务器的硬件与软件构成 14

1.9 VPN网络中的客户端地址划分与交换机调试原则 15

1.9.1 看清VPN网络拓扑结构 15

1.9.2 VPN客户端地址的分配原则 17

1.9.3 VPN服务器的设置 17

1.10 本章小结 18

第2章 使用Windows Server 2003组建基本的VPN服务器 19

2.1 VPN服务器的规划 19

2.1.1 单网卡VPN服务器 20

2.1.2 双网卡VPN服务器 21

2.1.3 用VPN服务器同时代替路由器与防火墙 22

2.1.4 有关VPN客户端的地址问题 23

2.2 单网卡VPN服务器的配置 24

2.2.1 基本配置 24

2.2.2 启用VPN服务 24

2.2.3 为VPN服务器分配客户端IP地址 25

2.3 双网卡VPN服务器的配置 26

2.3.1 基本配置 26

2.3.2 启用VPN服务器 28

2.4 用VPN服务器做代理服务器 30

2.5 VPN用户管理 32

2.6 在客户端使用PPTP拨号 33

2.6.1 创建VPN拨号连接 33

2.6.2 使用VPN客户端连接到VPN服务器 35

2.7 本章小结 36

第3章 基于ISA Server 2006的VPN网络的组建 37

3.1 企事业单位的VPN网络拓扑 37

3.2 企事业单位VPN服务器的安装与基本配置 39

3.2.1 基本配置 40

3.2.2 安装ISA Server 2006 42

3.2.3 在ISA Server中启用VPN服务 43

3.2.4 检查与配置VPN服务器 45

3.2.5 创建策略 46

3.2.6 用户管理与设置 50

3.2.7 使用PPTP拨叫VPN服务器 52

3.3 为VPN服务器配置L2TP接入 55

3.3.1 配置证书服务器 55

3.3.2 允许VPN服务器访问根证书服务器 57

3.3.3 在ISA Server中发布证书服务器到Internet 59

3.3.4 在VPN服务器上启用L2TP连接支持 62

3.3.5 为VPN服务器安装证书 63

3.3.6 VPN客户端的设置 67

3.3.7 使用L2TP拨叫VPN服务器时常见的问题 69

3.4 本章小结 69

第4章 具有多出口的校园VPN网络的组建 70

4.1 校园VPN网络拓扑 70

4.2 校园VPN服务器的配置 73

4.2.1 关于单网卡问题的解决方案 73

4.2.2 安装ISA Server 2006 75

4.3 在ISA Server中启用VPN服务 76

4.3.1 启用VPN服务 76

4.3.2 创建策略 77

4.3.3 其他配置 78

4.4 使用Windows连接管理器定制VPN客户端 79

4.4.1 在Windows Server 2003中使用连接管理器定制客户端 79

4.4.2 在Windows XP客户端中使用打包后的配置文件 86

4.5 本章小结 87

第5章 使用智能卡验证的VPN网络的组建 88

5.1 使用智能卡验证的VPN网络的拓扑结构 88

5.2 准备安装Windows Server 2003的 Active Directory服务器 91

5.3 准备企业证书服务器 93

5.4 准备VPN服务器 94

5.4.1 VPN服务器的基本设置 95

5.4.2 将计算机加入到Active Directory 95

5.4.3 安装ISA Server 96

5.4.4 申请证书 97

5.5 启用VPN服务 101

5.5.1 为VPN客户端创建访问规则 102

5.5.2 为使用智能卡验证启用VPN服务器 103

5.5.3 在路由和远程访问服务中选择证书服务器 104

5.6 为智能卡用户颁发证书 106

5.6.1 安装智能卡驱动程序 106

5.6.2 初始化智能卡 107

5.6.3 在企业证书服务器上注册服务 108

5.6.4 创建用户并为智能卡颁发证书 111

5.7 使用智能卡登录到VPN服务器 113

5.8 本章小结 115

第6章 某市政府VPN网络解决方案 116

6.1 用户网络现状 116

6.2 用户需求与网络改造总体方案 118

6.3 网络改造具体方案 119

6.3.1 三层交换机的设置 119

6.3.2 路由器与防火墙代理服务器的调试 124

6.4 VPN服务器的组建 125

6.4.1 服务器的总体设置 125

6.4.2 Active Directory服务器与企业证书服务器的安装与配置 126

6.5 准备VPN服务器 128

6.5.1 VPN服务器基本设置 128

6.5.2 将计算机加入到Active Directory 129

6.5.3 安装ISA Server 130

6.5.4 申请并安装证书 132

6.6 启用VPN服务 134

6.6.1 改变ISA Server网络结构 134

6.6.2 为VPN客户端创建访问规则 137

6.6.3 启用VPN服务器 138

6.6.4 检查路由和远程访问服务是否启用 139

6.7 VPN服务器的分组功能——高级设置 140

6.7.1 提升域功能级别 141

6.7.2 为VPN用户分配静态IP地址 141

6.7.3 在ISA Server上创建不同的访问策略 142

6.7.4 用户不能通过自己设定IP地址的方式访问VPN服务器 144

6.8 使用脚本安装驱动、配置证书、创建VPN连接 145

6.9 VPN客户端使用问题总结 147

6.9.1 解锁被锁定的智能卡 148

6.9.2 吊销丢失的智能卡 149

6.9.3 续订到期证书 150

6.9.4 Windows 2000操作系统的问题 150

6.9.5 691号错误——用户名或密码无效 151

6.9.6 800号错误——VPN服务器可能不能到达 151

6.9

本书主要介绍使用Windows Server 2003、Windows Server 2008、ISA Server 2006与Forefront TMG 2010组建“软件”VPN服务器与VPN网络的内容，本书介绍的VPN服务器是低成本、高性能、高安全、可扩展，而客户端采用Windows XP、Windows Server 2003、Windows Vista、Windows 7、Windows Server 2008内置的VPN客户端，对终端用户的要求低。
本书内容全面、配置步骤详细、具有完整的使用案例，并且本书的内容已经经过生产环境的检验，是可以实际使用的。全书主要有三部分，第一部分（第1章~第6章）是实际VPN案例的真实记录，旨在让读者快速掌握VPN网络的组建，提高动手能力，增加VPN组网经验，这一部分采用Windows Server 2003与ISA Server 2006；第二部分（第7章~第10章）介绍基于Windows Server 2008、Windows Server 2008 R2与Forefront TMG 2010组建VPN网络的内容；第三部分（第10、11章）介绍Windows Server 2003、Windows Server 2008与ISA Server 2006、Forefront TMG 2010使用中的注意事项、经典案例、典型故障及解决方法。