虚拟专用网教学案例设计与研究

[摘 要]为了提高远程访问虚拟专用网课堂教学效果，通过Vm Ware环境下设计VPN教学案例，通过让学生配置Windows Server 2003为VPN服务器及客户端VPN连接以及建立并测试VPN连接，使学生掌握VPN的基本概念和操作，并拓展远程访问虚拟专用网的功能研究。

[关键词]VPN;遠程访问;虚拟专用连接

随着Internet在全球的普及和发展，虚拟专用网技术VPN越来越引起人们的关注，已经成为未来Internet应用和网络安全研究的一个重要方向。所谓VPN是指通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，是在现有的公用网络平台上构筑不受地域限制而受企业统一策略控制和管理的企业网络。

一、VPN教学案例的设计

1.准备常用软件-Vm Ware 、Windows Server 2k3的ISO镜像文件。

2.配置

本案例中，每个学生的电脑上Vm Ware环境下预先安装好三台Win 2k3企业版，独立服务器系统。学生可以根据老师设计的网络拓扑及IP地址分配，对各计算机进行相关的配置。下面就某位学生的详细配置，如图1所示。

一台设计为Client，安装一个网卡，设置为VNE T1，IP地址为202.1.1.2/24，把它看成异地远程用户拨号VPN客户机。

一台设计为VPN Server，安装两个网卡，其中一个设置为VNE T1（外部网络），出口IP地址为202.1.1.1/24，另一个设置为VNE T2（内部网络），局域网IP地址为192.168.18.1/24。

一台设计为Web_CA_RADIUS_Server，安装一个网卡，设置为VNE T2，IP地址为192.168.18.2/24，网关设置为192.168.18.1，Web_CA_RADIUS_Server同时安装好Web、FTP等服务，作为局域网内部用户使用共享资源。

在网络拓扑中，为了更好地理解本实例的操作过程，互联网络已经简化为VNE T1，网段是202.1.1.0/24，局域网为VNE T2，网段是192.168.18.0/24。这样，VPN客户机在进行VPN拨号前确认已经连接上互联网（通过局域网、ADSL拨号等方式）的步骤就可以省了。

3.VPN Server 服务器安装及配置

① 在VPN Server上以管理员身份登录，单击菜单开始/管理工具的“配置您的服务器向导”，打开“配置您的服务器向导”对话框，单击下一步/下一步;在配置此服务器页，选择“⊙自定义配置”，“下一步”;

②在服务器角色中，选中“远程访问/VPN服务器”，单击下一步/下一步/下一步;

③在配置页，选择“⊙远程访问（拨号或VPN）。”“下一步”;

④在远程访问页，选择“VPN”“下一步”;

⑤在VPN连接页，配置远程访问服务器外网连接网卡，选择VNET1 202.1.1.1，单击“下一步”;

⑥在IP地址指定页，选择“⊙来自一个指定的地址范围（F）”，“下一步”;在地址范围指定中，点击“新建”，创建一个从192.168.18.100至192.168.1.00共101个IP地址数的地址范围，“确定”。单击“下一步”继续;

⑦管理多个远程访问服务器页。这里要有两个选项，一“○否，使用路由和远程访问来对连接请求进行身份验证（O）”，即VPN远程拨入用户账号身份验证在VPN Server进行;二“○是，设置此服务器与RADIUS服务器一起工作（Y）”，即VPN远程拨入用户账号身份验证在Radius服务器进行。先选择“⊙否，……”，单击“下一步”， 单击“完成”按钮，确定，完成安装。

⑧至此，VPN服务器已经安装好了。以后可以通过选择VPN Server的属性，修改相关的一些配置， PPTP和L2TP协议端口默认情况下都是128个，这代表它允许同时连接该协议类型的VPN客户数量。另外VPN客户的并发连接数，还受到Windows系统版本限制。

4.配置VPN用户账户

①前面安装VPN服务器时，选择了本地验证拨号用户，所以VPN用户在VPN Server中创建管理，同时设置开放拨入权限。操作过程，单击菜单开始/管理工具/计算机管理，打开计算机管理对话框;双击“本地用户和组”，右击“用户”，选择“新建用户”，如“V1”，密码为“123asd，./”。

②设置用户允许拨入权限。右击用户“V1”，选择“属性”，打开V1属性对话框，点击“拨入”标签，在远程访问权限（拨入或VPN）栏，选中“⊙允许访问”，开放相应的权限。

5.创建并配置客户端Client的VPN连接

①在外部VPN客户机Client上以管理员身份登录，在命令窗口使用命令Ping 202.1.1.1先确保与VPN服务器网络连通。点击菜单开始/控制面板/网络连接/新建连接向导。打开新建连接向导页，单击“下一步”;

②在网络连接类型对话框，选择“⊙连接到我的工作场所的网络（O）”，单击“下一步”;

③在网络连接页，单击“⊙虚拟专用网络连接（V）”，单击“下一步”;

④在连接名中，输入名称，如：VPN test，然后单击“下一步”;

⑤在公用网络页，由于VPN拨号是建立在互联网上的，即互联网先联通，才能建立VPN连接，在这里，我们用VNE T1模拟互联网，所以选择“⊙不拨初始连接（D）”，然后单击“下一步”;

⑥在VPN服务器选择页，键入目标地址即VPN 服务器的IP地址或主机名（如202.1.1.1），单击“下一步”;

⑦在可用连接页，选择“⊙只是我使用（M）”选项。单击“下一步”。单击“完成”按钮以保存新建的连接。

6.建立并测试VPN连接

①在外部VPN客户机Client上，打开刚才创建的VPN test连接，在用户帐户和密码上分别输入V1，123asd，./，单击“拨号”按钮，将开始建立VPN連接。连接成功将在状态栏右侧将显示连接图标。

②通过测试，可以从以下任一种方式说明VPN连接成功：a.在命令提示窗用Ipconfig /all 检查PPP adapter  vpntest：获得TCP/IP参数;b.ping 192.168.18.2可以检查到内部局域网络是否畅通;c.打开IE浏览器，地址栏输入URL http：//192.168.18.2或者ftp：//192.168.18.2都可以检查VPN拨号是否成功。测试表明远程虚拟专用网用户拨号成功，能够正常使用远程局域网的资源了。

二、研究决定VPN远程拨号用户账户身份验证方式

决定VPN远程拨号用户账户身份验证方式，是Windows还是RADIUS，也就是VPN远程拨号用户账户在哪里创建。前面在VPN服务器安装过程中的第七步管理多个远程访问服务器时，我们选择了“⊙否，使用路由和远程访问来对连接请求进行身份验证”，所以远程拨号用户账户在VPN服务器中创建，并成功完成实验。如果远程拨号用户账户要在Radius Server中创建，即拨号用户的身份验证服务器为Radius Server时，又该如何做呢？这样可以分两种情况进行说明，第一是接着刚才的实验，直接修改VPN服务器的配置，使得远程身份验证服务器修改为Radius服务器;第二是在安装VPN服务器时，就直接选择Radius服务器进行身份验证。两种情况都要在Radius服务器上做好相应的配置。

对于第一种情况操作：可以在VPN Server系统中，单击菜单，“开始”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”对话框，右击VPN Server服务器，选择“属性”，打开如图2所示“VPN Server（本地）属性”对话框，选择“安全”选项卡，将“身份验证提供程序”由Windows 身份验证改为RADIUS 身份验证，点击“配置”按钮，点击“添加”，在服务器名：输入192.168.18.2（Radiu Server的IP地址），点击机密的“更改”，输入新机密，确认新机密都为abc123456。“确定”，“确定”，“确定”，“确定”，“确定”。如图2所示。

第二种情况操作：安装VPN服务器时，就设置VPN远程拨号账户在Radius Server上进行验证。所以在进行VPN服务器安装配置过程中的第七步，“在管理多个远程访问服务器页”，选择“⊙是，使用转发到远程身份验证拨号用户服务（RADIUS）服务器进行身份验证”，然后单击“下一步”，在RADIUS服务器选择中，主RADIUS服务器，填写Radius Server的IP地址，这里是192.168.18.2;备用RADIUS服务器：可以空着，共享的机密，填写abc123456，单击“下一步” 单击“完成”按钮，完成安装。

最后都要在RADIUS服务器上进行远程拨号用户账户的创建及RADIUS用户配置。

比如，在RADIUS服务器上以管理员身份登录，创建用户v2，密码：123asd，./，步骤同上。然后在RADIUS服务器系统上，安装Internet验证服务。方法是：点击菜单“开始”→“控制面板”→ “添加/删除Windows组件”，选中网络服务里面的“Internet验证服务”，点击“确定”，完成Internet 验证服务的安装。再进行RADIUS客户端配置，操作方法：点击菜单“开始”→“管理工具”→“Internet验证服务”，打开Internet验证服务对话框，右击“RADIUS客户端”→选择“新建RADIUS客户端”， 如图3所示。输入好记的名称，如VPN example，在客户端地址中输入VPN服务器的内网IP，如192.168.18.1，点击“下一步”，再输入共享的机密及确认共享机密，这里要前面的共享机密一致（abc123456）。

回到VPN远程客户机Client上进行测试。通过测试，发现原来的V1账户不能拨入了，只能用V2账户进行测试，这就说明身份验证改为RADIUS身份验证之后，账户只能在RADIUS服务器上创建管理。

三、研究VPN远程拨号用户IP地址设计与配置

前面说到，VPN服务器安装配置过程的“⑥ IP地址指定”，就是设置给VPN远程拨号用户配置IP地址的来源。前面的配置已经选择“⊙来自一个指定的地址范围”，且立刻定义了一个IP范围，这个IP地址范围，没有限制哪个网段，即所有网段都可以的，实验也测试成功。如果在这个步骤中选择“⊙自动”的话，我们就要在VPN服务器上或者在RADIUS服务器上，安装DHCP服务器并创建IP作用域。

首先，修改远程拨号用户的IP地址指派。在VPN服务器系统中，单击菜单，开始→管理工具→路由和远程访问，打开“路由和远程访问”对话框，右击VPN Server服务器，选择“属性”，打开如图2所示“VPN Server（本地）属性”对话框，点击“IP”选项卡，在IP地址指派项目栏中，选择“⊙动态主机配置协议（DHCP）（N）”。点击“确定”按钮，完成VPN远程拨号用户IP地址来源指定。

接着，在VPN服务器或RADIUS服务器上，安装DHCP服务器。方法：运行菜单，开始→控制面板→添加/删除程序→添加/删除Windows组件（A）→网络服务→详细信息→动态主机配置协议（DHCP），确定就安装好DHCP服务器了。

最后设置DHCP服务器：打开DHCP服务器，并创建IP地址作用域。

方式一：创建的作用域IP地址范围设置为与内网同一网段（这里是192.168.18.0/24），但要排除已经使用的IP地址（具体操作方法不在这讨论）。

方式二：创建的作用域IP地址范围设置为与内网不同的网段时，通过创建超级作用域，包含创建的内网网段作用域，但不激活，激活希望获得网段的IP作用域。

转到Client上，通过测试，VPN拨号成功，并成功访问内网共享资源。

四、研究VPN远程拨号用户拨号成功后，同时可以访问内网资源及访问外网

此教案的设计比较特别，互联网是简化后的局域网，这样VPN客户在进行VPN拨号前省略了连接互联网的步骤。在此案例中，如何让VPN远程拨号用户VPN拨号成功后既可以访问远程局域网共享资源，又可以访问互联网呢？究其原因，第一，本身VPN服务器内部局域网是不能上互联网，第二，VPN远程拨号用户账户拨号成功后，所获得的TCP/IP信息中，没有DNS信息，所以不能上网。

解决第一个问题，可以通过增加一块网卡，通过桥接方式，连接物理外网，保证VPN Server可以上外网，解决第二个问题，通过配置DHCP服务器IP作用域的服务器选项的006DNS服务器配置为实际可用DNS，如广州DNS主机202.96.128.166。

首先，我们要求将VPN Server增加一个网卡，并采用桥接模式（自动连接），根据实际上网方式，设置合适的外部物理网络真实TCP/IP参数（静态方式、DNS或DHCP方式），连接到物理外网，确保能上外网。

然后，在VPN Server上，打开路由和远程访问管理控制台，选中“VPN Server（本地）”，单击菜单“操作”，选择“禁用路由和远程访问（S）”，完成;再选择操作/配置并误用路由和远程访问（C），单击“下一步”;选择“⊙自定义配置（C）”，“下一步”;同时选上“VPN访问（V）”和“NAT和基本防火墙（A）”，下一步，完成，选择“否暂不开启服务”;右击“NAT/基本防火墙”，选择“新增接口”，选择刚才增加的“桥接模式”网卡VMnet3接口。接口类型：选择“⊙公用接口连接到Internet（U）”，同时选择“在此接口上启用NAT（E）”，确定;启动路由与远程访问服务。

在Client上进行测试，VPN拨号成功，检查PPP获得的TCP/IP参数（包含IP、DNS等参数），打开IE成功访问内网共享资源和互联网资源，如图4所示。

五、研究支持VPN客户端使用PPTP和预共享密钥L2TP/IPSec协议进行远程访问VPN连接

在VPN客户端的网络连接类型有自动、PPTP VPN和L2TP/IPSec VPN三种方式。其中L2TP/IPSec VPN连接提供预共享密钥和证书服务两种方式。以上测试的连接都是PPTP模式的VPN连接，下面研究配置预共享密钥L2TP/IPSec VPN模式连接。

在VPN Server和Client电脑上，同时配置相同的预共享密钥即可。

①在VPN Server上，打开路由和远程访问管理控制台，选中“VPN Server（本地）”，单击菜单“操作”，选择“属性”，单击“安全”标签，勾选“为L2TP连接允许自定义IPSec策略（L）”，输入“1”为预定义的共享密钥，单击“确定”。

②在Client上，打开“网络连接”窗口，双击虚拟专用连接“VPN test”，单击“属性”，单击“安全”标签，单击“IPSec设置（P）”按钮，勾选“使用预共享的密钥作身份验证”，输入“1”与VPN Server预共享密钥相同，单击确定;单击“网络”标签，选择“L2TP/IPSec VPN”VPN类型，单击确定;输入前面的账号密码，单击“连接”，即可成功登录VPN Server。

如果采用预共享密钥L2TP/IPSec方式，则所有的VPN客户必须使用相同的L2TP共享密钥，这样会使得L2TP/IPSec安全性大大降低，所以在商用网络中不使用预共享密钥的L2TP连接，而建议使用证书服务的L2TP/IPSec连接。

六、研究通过证书服务的L2TP/IPSec协议进行远程访问的VPN连接

为了实现更加安全可靠的证书服务的L2TP/IPSec协议进行远程访问的VPN连接，必须部署好CA服务器，然后为VPN服务器和VPN客户端分别申请服务器身份验证和客户端证书。

1.安装独立根CA服务器

①在Web_CA_RADIUS服务器上，开始→控制面板→添加/删除程序，点击添加/删除Windows组件（A），勾选证书服务，“下一步”，在CA类型，选择⊙独立根，“下一步”，在CA识别信息页，输入此CA的公用名称为Web_CA_RADIUS，“下一步”，“是”，“是”，“下一步”，“是”，完成安装CA服务器。

独立根CA服务器安装成功与否，可以通过查看，开始程序管理工具服务，打开服务控制台，可以看到证书服务（Certificate Services）的启动状态和描述信息为已启动等。另外，为了让证书申请之后，直接进入颁发状态，必须完成第②步的处理证书请求设置。

②在Web_CA_RADIUS服务器上，开始→管理工具→證书颁发机构，打开证书颁发机构对话框，右击证书服务器名称，选择属性，点击策略模块标签，点击属性，在收到证书请求时执行下面的操作：选择“⊙如果可以的话，按照证书模板中的设置。否则，将自动颁发证书（F）”。确定，确定。

2.安装配置VPN Server服务器身份验证证书和Client客户端验证证书。

对于独立根的CA，网页是证书申请者能与CA接口的主要方式，企业CA则可以通过证书管理单元或Web注册页来接受证书申请，在这里通过Web注册页完成证书申请。

①在vpnServer上以管理员账户登录，打开IE浏览器，在“地址”文本框中输入CA服务器Web支持页的URLhttp：//192.168.18.2/certsrv，按回车键后打开证书服务器主页，在欢迎页，单击“下载一个CA证书，证书链或CRL”链接。

②再下载一个CA证书、证书链或CRL页，单击“下载一个CA证书”，在弹出的文件下载对话框中，选择保存，并选好路径及名称存放起来，关闭IE。

③按win键+R打开运行，输入mmc，点击确定，在弹出的控制台1窗口，单击文件菜单下的添加/删除管理单元;在弹出的添加/删除管理单元对话框，单击添加;然后在弹出的添加独立管理单元对话框，双擊“证书”;在证书管理单元页，选择“⊙计算机账户”，点击下一步;在选择计算机对话框，接受默认的“⊙本地计算机……”，单击完成，单击关闭、确定创建证书管理控制台1。

④双击控制台1的“证书（本地计算机）”，在展开的“受信任的根证书颁发机构”，右击鼠标，选择所有任务下的导入，将刚才下载保存的证书导入其中。

⑤再次打开IE，在“地址栏”中输入http：//192.168.18.2/certsrv，按回车键后打开证书服务器主页，在欢迎页，单击“申请一个证书”链接。

⑥在申请一个证书页，单击“高级证书申请”链接。

⑦在“高级证书申请”页，单击“创建并向CA提交一个申请” 链接。在识别信息的姓名栏，输入“VPN Server”（VPN Server的计算机名）;在需要的证书类型中，选择“服务器身份验证证书”;再勾选“将证书保存在本地计算机存储中”，点击提交按钮。

⑧在弹出的警告提示框上点击是，打开证书已颁发页，点击“安装此证书”链接;在弹出的警告提示框上点击是，完成证书安装。至此，VPN Server服务器身份验证证书安装完毕。

在Client上先用PPTP或L2TP共享密钥方式登录VPN，再按上述方式完成客户端身份验证证书的申请安装，完成后，再去掉共享密钥，并在VPN连接设定L2TP/IPSec VPN连接类型。测试成功。

参考文献：

[1]IT同路人.非常网管：windows Server 2003服务器架设实例详解[M].北京：人民邮电出版社.2010.

[2]王达.虚拟专用网（VPN）精解[M].北京：清华大学出版社，2004.

[作者简介]

陈水生（1972—），男，广东博罗人，博罗中等专业学校计算机网络技术讲师、高级技师、网络工程师，研究方向：计算机网络技术与物联网。

[作者单位]

广东省惠州市博罗中等专业学校

（编辑：薄跃华）