Windows Server 2012R2 虚拟专用网络技术

一、虚拟专用网络技术概述

虚拟专用网络技术(Virtual Private Network) 虚拟专用网是在公网中形成的企业专用链路，采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。

隧道技术是通过一种协议传送另外一种协议的技术，隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。

Ø 虚拟专用网络技术主要采用以下四项技术来保证安全：

1. 隧道技术

2. 加解密技术

3. 密钥管理技术

4. 使用者与设备身份认证技术

Ø 虚拟专用网络技术的基本功能至少应包括：

1. 加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。

2. 信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户的身份。

3. 提供访问控制。不同的用户有不同的访问权限。

4. 地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。

5. 密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。

6. 多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议，包括IP、IPX等。

Ø 虚拟专用网络技术隧道技术

} PPTP协议：主要由链路控制协议（LCP）、网络控制协议族（NCPs）和用于网络安全方面的验证协议族（PAP和CHAP）组成。利用MPPE加密法来加密

} L2TP协议：允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，具有身份认证、加密、数据压缩的功能。

} IPSec隧道模式：允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet

VPN的隧道协议

} NSRC、NDST是隧道端点设备的IP地址

} 公网上路由时仅仅考虑NSRC、NDST

} 原始数据包的DST、SRC对公网透明

二、虚拟专用网络技术的服务类型

1. Intra虚拟专用网络技术（内部网虚拟专用网络技术）

Intra虚拟专用网络技术（内部网虚拟专用网络技术）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网虚拟专用网络技术的安全性取决于两个VPN服务器之间加密和验证手段上。

2.Access虚拟专用网络技术（远程访问虚拟专用网络技术）

又称为拨号虚拟专用网络技术(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问虚拟专用网络技术是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。

3.Extranet虚拟专用网络技术（外联网虚拟专用网络技术）

即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。

三、项目搭建

1.远程访问虚拟专用网络技术

虚拟专用网络技术通过建立起点到点链路从而使私有网络可以进一步包含那些跨过共享或公共网络（如：Internet）的链路

实验拓扑图

在下面模拟试验中，Win2012-1、Win2012-2和Win2012-3分别充当1号、2号、3号机

实验用VBox虚拟机来模拟服务器和客户机，虚拟机之间采用内部网络的网络连接方式，其中Win2012-2（系统Windows Server 2012r2）充当虚拟专用网络技术服务器，Win2012-1为DNS、DHCP、WINS服务器，Win2012-3为VPN客户机。

Win2012-1：

安装以下3个服务

DHCP配置

Win2012-2：

安装网络策略和访问服务

安装远程访问服务配置VPN

打开向导（不小心关了可以在服务器管理器右上方的小旗打开配置向导）

弹出的窗口直接确定就好

添加VPN访问用户

VPN客户端的配置

Win2012-3：

连接成功

不成功的话就在VPN属性里的安全勾选下面的选项

VPN连接所使用的通信协议，加密方法

2.配置L2TP使用预共享密码

虚拟专用网络技术服务器的配置

虚拟专用网络技术客户端的配置

重新登陆

发现设备名也就是VPN类型从PPTP变成了L2TP

3.站点对站点的PPTP 虚拟专用网络技术

站点对站点的PPTP 虚拟专用网络技术测试环境

在下面模拟试验中，Win2012-1、Win2012-2和Win2012-3分别充当1号、2号、3号机，物理机为4号机

站点对站点的虚拟专用网络技术

} 1号机A网络上的计算机

} 2、3号机为VPN服务器

} 4号机由物理机充当，在B网络上

} 3号机的本地连接2改为桥接

} 通过下面设置，要求4号机能通过PPTP/L2TP协议用IP访问1号机; 1号机能通过PPTP/L2TP协议用IP访问4号机

Win2012-1的网卡配置

Win2012-2的网卡配置，其中网卡1为内网网卡网卡2为外网网卡

Win2012-3的网卡配置，其中网卡1为内网网卡网卡2为外网网卡

物理机网卡配置信息

Win2012-2配置路由与远程访问

Win2012-3一样安装网络策略和远程访问

配置跟Win2012-2一样

测试

Win2012-1PING物理机

物理机PINGWin2012-1

测试

Win2012-1PING物理机

物理机PINGWin2012-1

4.远程访问策略

Ø 远程访问策略简介

} 一组定义如何授权或拒绝连接的有序规则

} 每个规则有一个或多个条件、一组配置文件设置和一个远程访问权限设置

} 连接尝试至少与一个远程访问策略相匹配时，才会授权连接

} 远程访问策略存放在远程访问服务器或RADIUS服务器上

Ø 远程访问策略的元素

} 条件：与连接请求进行比较的一个或多个属性

} 远程访问权限：如果远程访问策略的所有条件都满足，那么远程访问权限或者允许或者拒绝

} 配置文件：当远程访问连接被验证后（通过用户帐户或策略的权限设置），应用于连接的一组属性

远程访问策略的验证过程

-----------------------------------------------------分割线------------------------------------------------------

至此远程访问VPN就介绍完了，如果文章有什么错误或者模糊的地方，欢迎大家在评论里指出来，我会及时更正的，谢谢。

PS：以上实验为亲自测试成功，实验外的图片部分来自网络，知识点为书中和网络文献整理所得，如有侵权既删。