- 曙海教育集團論壇 (http://www.xinguifushi.cn/bbs/index.asp)
-- 硬件測試 (http://www.xinguifushi.cn/bbs/list.asp?boardid=71)
---- windows 2003實現(xiàn)NAT地址轉(zhuǎn)換和VPN服務(wù)器 (http://www.xinguifushi.cn/bbs/dispbbs.asp?boardid=71&id=2707)
-- 發(fā)布時間:2010-12-17 10:49:28
-- windows 2003實現(xiàn)NAT地址轉(zhuǎn)換和VPN服務(wù)器
下面我們介紹一下通過Windows Server操作系統(tǒng)自帶的路由和遠(yuǎn)程訪問功能來實現(xiàn)NAT共享上網(wǎng)和VPN網(wǎng)關(guān)的功能。網(wǎng)絡(luò)拓?fù)鋱D如下。我們要實現(xiàn)在異地通過VPN客戶端訪問總部局域網(wǎng)各種服務(wù)器資源。
第一步:系統(tǒng)前期準(zhǔn)備工作
服務(wù)器硬件:雙網(wǎng)卡,一塊接外網(wǎng),一塊接局域網(wǎng)。在windows2003中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”,默認(rèn)狀態(tài)已經(jīng)安裝。只需對此服務(wù)進(jìn)行必要的配置使其生效即可。
首先確定是否開啟了Windows Firewall/Internet Connection Sharing (ICS)服務(wù),如果開啟了Windows Firewall/Internet Connection Sharing (ICS)服務(wù)的話,在配置“路由和遠(yuǎn)程訪問”時系統(tǒng)會彈出如下對話框。
我們只要去“開始”-“程序”-“管理工具”-“服務(wù)”里面把Windows Firewall/Internet Connection Sharing (ICS)停止,并設(shè)置啟動類型為禁用,如下圖所示:
第二步:開啟VPN和NAT服務(wù)
然后再依次選擇“開始”-“程序”-“管理工具”-“路由和遠(yuǎn)程訪問”,打開“路由和遠(yuǎn)程訪問”服務(wù)窗口;再在窗口左邊右擊本地計算機名,選擇“配置并啟用路由和遠(yuǎn)程訪問”,如下圖所示:
在彈出的“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝悬c下一步,出現(xiàn)如下對話框。
由于我們要實現(xiàn)NAT共享上網(wǎng)和VPN撥入服務(wù)器的功能,所以我們選擇“自定義配置”選項,點下一步;
在這里我們選擇“VPN訪問”和“NAT和基本防火墻”選項,點下一步,在彈出的對話框中點“完成”,系統(tǒng)會提示是否啟動服務(wù),點“是”,系統(tǒng)會按剛才的配置啟動路由和遠(yuǎn)程訪問服務(wù),最后如下圖所示;
第三步:配置NAT服務(wù)
右擊“NAT/基本防火墻”選項,選擇“新增接口”,彈出如下對話框;
在這里我們根據(jù)自己的網(wǎng)絡(luò)環(huán)境選擇連接Internet的接口,選擇“wan”接口,點“確定”,彈出“網(wǎng)絡(luò)地址轉(zhuǎn)換-wan屬性”對話框,進(jìn)行如下圖所示配置;
由于我們這個網(wǎng)卡是連接外網(wǎng)的所以選擇“公用接口連接到Internet”和“在此接口上啟用NAT”選項并選擇“在此接口上啟用基本防火墻”選項,這對服務(wù)器的安全是非常重要的。
下面我們點“服務(wù)和端口”設(shè)置服務(wù)器允許對外提供PPTP VPN服務(wù),在“服務(wù)和端口”界面里點“VPN網(wǎng)關(guān)(PPTP)”,在彈出的“編輯服務(wù)”對話框中進(jìn)行如下圖設(shè)置;
點“確定”,回到“服務(wù)和端口”選項卡,確保選中“VPN網(wǎng)關(guān)(PPTP)”,如下圖;
第四步:根據(jù)需要設(shè)置VPN服務(wù)
設(shè)置連接數(shù):右擊右邊樹形目錄里的端口選項,選擇屬性,彈出如下對話框;
Windows Server 2003 企業(yè)版VPN服務(wù)默認(rèn)支持128個PPTP連接和128個L2TP連接,因為我們這里使用PPTP協(xié)議,所以我們雙擊“WAN微型端口(PPTP)選項,在彈出的對話框里根據(jù)自己的需要設(shè)置所需的連接數(shù);Windows Server 2003企業(yè)版最多支持30000個L2TP端口,16384個PPTP端口。
設(shè)置IP地址:右擊右邊樹形目錄里的本地服務(wù)器名,選擇“屬性”并切換到IP選項卡(如下圖所示)。
這里我們選擇“靜態(tài)地址池”點“添加”,根據(jù)需要接入數(shù)量任意添加一個地址范圍,但是不要和本地IP地址沖突,如下圖所示;
點“確定”回到“IP”選項卡,點“確定”應(yīng)用設(shè)置;
第五步:設(shè)置遠(yuǎn)程訪問策略,允許指定用戶撥入
新建用戶和組:點“開始”-“程序”-“管理工具”-“計算機管理”,彈出“計算機管理”對話框,如下圖;
選擇“本地用戶和組”,右擊“用戶”-“新用戶”進(jìn)行如下圖所示設(shè)置;
點擊“創(chuàng)建”新增一個用戶;
在右邊的樹形目錄中右擊“組”-“新建組”,添入“組名”,點“添加”在彈出的“選擇用戶”對話框中,點“高級”-“立即查找”,選擇剛才建立的“TEST”用戶,把用戶加入剛才建立的組,如下圖;
設(shè)置遠(yuǎn)程訪問策略:在“路由和遠(yuǎn)程訪問”窗口,右擊右面樹形目錄中的“遠(yuǎn)程訪問策略”,選擇“新建遠(yuǎn)程訪問策略”,在彈出的對話框中點“下一步”,填入方便記憶的“策略名”,點“下一步”,選擇“VPN”選項,點“下一步”,點“添加”把剛才新建的組加入到這里,點“下一步”, “下一步”, “下一步”,“完成”,就完成了遠(yuǎn)程策略的設(shè)置,后面如果需要新的用戶需要VPN服務(wù),只要為該用戶新建一個帳號,并加入剛才新建的“TEST”組就可以了。
第六步:設(shè)置動態(tài)域名
我們把動態(tài)域名放在這里來說。因為一般企業(yè)接入互聯(lián)網(wǎng)應(yīng)該有固定IP,這樣客戶機便可隨時隨地對服務(wù)端進(jìn)行訪問;而如果你是家庭用戶采用的 ADSL寬帶接入的話,那一般都是每次上網(wǎng)地址都不一樣的動態(tài)IP,所以需在VPN服務(wù)器上安裝動態(tài)域名解析軟件,才能讓客戶端在網(wǎng)絡(luò)中找到服務(wù)端并隨時可以撥入。筆者常用的動態(tài)域名解析軟件為:花生殼,可以在www.oray.net下載,其安裝及注意事項請參閱相關(guān)資料,這里不再詳述
六、VPN客戶端配置
這一端配置相對簡單得多,只需建立一個到VPN服務(wù)端的專用連接即可。首先肯定客戶端也要接入internet網(wǎng)絡(luò),接著筆者同樣以windows 2003客戶端為例說明,其它的win2K操作系統(tǒng)設(shè)置都大同小異:
第一步:在桌面“網(wǎng)上鄰居”圖標(biāo)點右鍵選屬性,之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c下一步;接著在“網(wǎng)絡(luò)連接類型”窗口里點選第二項“連接到我的工作場所的網(wǎng)絡(luò)”,繼續(xù)下一步,在如下圖所示網(wǎng)絡(luò)連接方式窗口里選擇第二項“虛擬專用網(wǎng)絡(luò)連接”;接著為此連接命名后點下一步。
第二步:在“VPN服務(wù)器選擇”窗口里,等待我們輸入的是VPN服務(wù)端的固定內(nèi)容,可以是固定IP,也可以是由花生殼軟件解析出來的動態(tài)域名(此域名需要在提供花生殼軟件的www.oray.net網(wǎng)站下載);接著出現(xiàn)的“可用連接”窗口保持“只是我使用”的默認(rèn)選項;最后,為方便操作,可以勾選“在桌面上建立快捷方式”選項,單擊完成即會先出現(xiàn)如下圖所示的VPN連接窗口。輸入訪問VPN服務(wù)端合法帳戶后的操作就跟XP下“遠(yuǎn)程桌面”功能一樣了。連接成功后在右下角狀態(tài)欄會有圖標(biāo)顯示。
