2. 程式人生 > 實用技巧 >How to:部署Windows Server 2003中的站點到站點×××連線

How to:部署Windows Server 2003中的站點到站點×××連線

阿新 發佈:2020-10-20
站點到站點×××連線是一種請求撥號連線,它使用×××隧道協議(PPTP或L2TP/IPSec)來連線不同的專用網路,連線兩端的每個×××伺服器都提供一個到達自己所屬本地專用網路的路由連線。和遠端訪問×××將一臺單獨的計算機連線到網路中不同,站點到站點×××連線連線整個網路。當兩臺×××伺服器建立站點到站點×××連線後,連線兩端的×××所屬的專用網路均可以訪問另一端的遠端網路,就像訪問本地網路一樣。
預設情況下,站點到站點×××連線是請求撥號連線,只有當網路流量必須通過此介面轉發(需要轉發IP資料包到對應的遠端網路)時才建立連線。此時呼叫路由器(××× 客戶端)初始化這個連線,應答路由器(××× 伺服器)偵聽連線請求,接收來自呼叫路由器的連線請求,並根據請求建立連線,並且在空閒一定時間(預設為5分鐘)後斷開連線。你可以配置連線為永久連線方式,此時,×××伺服器會保持此連線的連線狀態,如果連線中斷則立即重新初始化連線。 為了避免呼叫路由器建立不需要的連線,您可以按照以下兩種方式來限制呼叫路由器建立請求的站點到站點×××連線:
  • IP請求撥號篩選器。你可以使用請求撥號篩選來決定哪種型別的IP流量不能導致請求撥號連線的建立,也可以配置哪種型別的IP流量可以導致連線的建立。配置請求撥號篩選的方法是:在路由和遠端訪問管理單元的網路介面節點中右擊請求撥號介面,然後點選設定IP請求撥號篩選器。關於IP請求撥號篩選器更詳細的資訊,請參見深入理解路由和遠端訪問服務中的篩選器和基本防火牆一文。
  • 撥出時間。你可以使用撥出時間來配置允許或禁止呼叫路由器建立站點到站點×××連線的時間段。配置撥出時間的方法是:在路由和遠端訪問管理單元的網路介面節點中右擊請求撥號介面,然後點選撥出時間。你還可以使用遠端訪問策略來配置允許傳入請求撥號路由連線的時間。
  根據初始化的方向,站點到站點×××連線可以分為以下兩種型別: 單向初始化連線 在單向初始化連線中,一臺×××路由器總是擔任呼叫路由器(×××客戶端),而另一臺×××路由器總是擔任應答路由器(×××伺服器)。當單向初始化的站點到站點連線成功建立後,呼叫路由器上將新增到達應答路由器所屬專用網路的路由,但是應答路由器上不會新增到達呼叫路由器所屬專用網路的路由,這種情況,應答路由器不能訪問呼叫路由器所屬的專用網路,因此通常情況下較少使用單向初始化連線。單向初始化的連線需要滿足下列條件:
  • 應答路由器被配置為LAN和請求撥號路由器;
  • 在應答路由器上為呼叫路由器的身份驗證憑據新增使用者帳戶;在應答路由器上配置了請求撥號介面,並且其名稱與呼叫路由器所使用的使用者帳戶名稱相同。這個請求撥號介面不是用於撥號的,因此它並沒有配置呼叫路由器的主機名或IP地址,也沒有配置有效的撥出使用者身份驗證資訊。
  • 如果採用L2TP/IPSec模式的站點到站點×××連線,還需要在呼叫路由器上安裝客戶端身份驗證證書,在應答路由器上安裝伺服器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec金鑰。

雙向初始化連線 雙向初始化連線可以看做是兩個方向上的單向初始化連線,每個×××路由器同時是呼叫路由器和應答路由器,向對方進行連線初始化和接受對方的站點到站點×××連線請求。當站點到站點連線成功建立後,每個×××路由器上均會新增到達對方路由器所屬專用網路的路由,從而各自的專用網路可以訪問遠端網路。雙向初始化的站點到站點×××連線需要滿足下列條件:
  • 兩個路由器都被配置為LAN和請求撥號路由器;
  • 在每個路由器上為遠端路由器的身份驗證憑據添加了使用者帳戶,並且配置了名字與呼叫路由器所使用的使用者帳戶名稱相同的請求撥號介面;
  • 如果採用L2TP/IPSec模式的站點到站點×××連線,還需要在每個路由器上同時安裝客戶端身份驗證證書和伺服器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec金鑰。
在部署站點到站點×××服務之前,你需要配置×××伺服器提供遠端訪問×××服務,因為本地×××伺服器會把遠端×××伺服器發起的站點到站點×××連線請求當成是普通×××客戶端計算機發起的遠端訪問×××連線請求進行處理。遠端訪問客戶端和請求撥號路由器都可以初始化一個×××連線,那麼×××伺服器是如何區分它們呢? 當遠端訪問客戶端和請求撥號路由器向×××伺服器初始化×××連線時,它們所傳送的身份驗證資訊中包含用於初始化連線的使用者名稱;如果響應這個連線請求的×××伺服器(應答路由器)上具有和此使用者名稱一致的請求撥號介面,那麼這個連線就是請求撥號連線;否則,這個傳入的連線就是遠端訪問連線。 本文中的試驗在How to :部署Windows Server 2003中的遠端訪問×××服務一文的基礎上進行,試驗網路結構如下圖所示, Munich是總部網路(10.1.1.0/24)連線到Internet的閘道器,而Perth是分部網路(172.16.1.0/24)連線到Internet的閘道器。它們的作業系統均為Windows Server 2003 SP1,IP地址設定如下: Munich
  • Internet:61.139.0.1/24
  • HQ LAN:10.1.1.1/24
Perth
  • Internet:61.139.0.8/24
  • Branch LAN:172.16.1.1/24
在這篇文章中,我將在MunichPerth之間建立站點到站點的×××連線,從而允許總部網路和分部網路間的訪問。 完整的配置一個雙向初始化連線的站點到站點×××連線包含以下步驟:
  • 在兩臺×××伺服器上分別啟用遠端訪問×××;
  • 在兩臺×××伺服器上分別建立請求撥號連線;
  • 在兩臺×××伺服器上分別建立遠端×××伺服器用於初始化站點到站點×××連線的撥入使用者賬戶,此使用者必須和本地×××伺服器上建立的請求撥號連線同名;
  • 如果使用L2TP/IPSec模式的×××連線,還需要在每臺×××伺服器上安裝伺服器身份驗證證書和客戶端身份驗證證書。
  在進行此站點到站點×××連線試驗之前,我已經做好了以下配置:
  • 在兩臺伺服器上啟用了遠端訪問×××服務;
  • 因為需要配置L2TP/IPSec模式的站點到站點×××連線,我已經為每臺×××伺服器安裝好了伺服器身份驗證證書和客戶端身份驗證證書。如下圖所示:
  • 以上配置可以參考How to :部署Windows Server 2003中的遠端訪問×××服務一文。 因此,這篇文章中的試驗只是包含建立請求撥號連線和撥入使用者兩部分,在建立請求撥號連線時,嚮導可以幫你自動建立撥入使用者。詳細的試驗步驟如下:
    • 在總部的×××伺服器Munich上建立請求撥號連線和撥入使用者;
    • 在分部的×××伺服器Perth上建立請求撥號連線和撥入使用者;
    • 測試L2TP/IPSec模式的站點到站點連線;
    • 測試PPTP模式的站點到站點連線; 在總部的×××伺服器Munich上建立請求撥號連線和撥入使用者 Munich上的路由和遠端訪問管理控制檯中,點選網路介面,然後在右邊面板空白處右擊,選新建請求撥號介面 rrassts02.jpg 在彈出的歡迎使用請求撥號介面嚮導頁,點選下一步 介面名稱頁,由於此請求撥號連線連線到分部網路,所以我取名為Branch,點選下一步 rrassts03.jpg 連線型別頁,選擇使用虛擬專用網路連線(×××),點選下一步 rrassts04.jpg ×××型別頁,接受預設的自動選擇,請求撥號連線會先嚐試使用更為安全的L2TP/IPSec協議進行連線,如果連線不成功再使用PPTP進行連線。點選下一步 rrassts05.jpg 目標地址頁,輸入遠端×××伺服器的IP地址或域名。如果輸入域名,則確保本地×××伺服器可以正確解析。在此我輸入分部×××伺服器的IP地址61.139.0.8,點選下一步 rrassts06.jpg 協議及安全措施頁,接受預設的選擇在此介面上路由選擇IP資料包,這樣本地×××伺服器可以使用此請求撥號連線進行資料包的路由,由於我們是建立雙向初始化的站點到站點×××連線,所以勾選新增一個使用者賬戶使遠端路由器可以撥入,這樣嚮導會在後面建立一個用於遠端×××伺服器撥入的使用者賬戶。點選下一步 rrassts07.jpg 遠端網路的靜態路由頁,指定遠端網路所包含的網路地址範圍,當本地網路中的客戶向此地址範圍中的主機發起連線請求時,本地×××伺服器會自動初始化此請求撥號連線。點選新增按鈕, rrassts08.jpg 在彈出的靜態路由對話方塊,輸入目標網路掩碼分別為分部網路的網路ID和子網掩碼172.16.1.0255.255.255.0躍點數接受預設的1,點選確定 rrassts09.jpg 如果分部網路中具有多個網路地址範圍可以重複新增。在此我已完成了分部網路地址範圍的新增,因此在遠端網路的靜態路由頁點選下一步 rrassts10.jpg 撥入憑據頁,設定遠端×××伺服器撥入本地×××伺服器所使用的使用者賬戶。站點和站點×××連線所使用的撥入使用者的使用者名稱必須和請求撥號連線的名字一致,你可以看到,使用者名稱和連線名一致,固定為Branch,你不能修改。輸入並確認密碼後,點選下一步 rrassts11.jpg 撥出憑據頁,設定此請求撥號連線用於撥入遠端×××伺服器的使用者賬戶。在此輸入使用者名稱為HeadQuarter和對應的密碼,此賬號我們將稍後在分部×××伺服器上設定,點選下一步 rrassts12.jpg 完成請求撥號介面嚮導頁,點選完成,此時,總部×××伺服器Munich上的請求撥號連線Branch就建立好了,如下圖所示: rrassts13.jpg 並且,嚮導建立了一個名為Branch的使用者,並且顯示授予了遠端撥入許可權。 rrassts14.jpg 在分部的×××伺服器Perth上建立請求撥號連線和撥入使用者 同樣,在Perth上的路由和遠端訪問管理控制檯中,點選網路介面,然後在右邊面板空白處右擊,選新建請求撥號介面 介面名稱頁,由於此請求撥號連線連線到分部網路,所以我取名為HeadQuarter,點選下一步 rrassts15.jpg 連線型別頁,選擇使用虛擬專用網路連線(×××),點選下一步 ×××型別頁,接受預設的自動選擇,點選下一步 目標地址頁,輸入遠端×××伺服器的IP地址或域名。如果輸入域名,則確保本地×××伺服器可以正確解析。在此我輸入總部×××伺服器的IP地址61.139.0.1,點選下一步 rrassts16.jpg 協議及安全措施頁,接受預設的選擇在此介面上路由選擇IP資料包並勾選新增一個使用者賬戶使遠端路由器可以撥入,點選下一步 遠端網路的靜態路由頁,點選新增按鈕新增總部網路的網路地址範圍10.1.1.0/24,然後點選下一步 rrassts17.jpg 撥入憑據頁,設定遠端×××伺服器撥入本地×××伺服器所使用的使用者賬戶。你同樣可以看到,使用者名稱和連線名一致,固定為HeadQuarter,你不能修改。輸入並確認密碼後,點選下一步 rrassts18.jpg 撥出憑據頁,設定此請求撥號連線用於撥入遠端×××伺服器的使用者賬戶。在此我輸入總部×××伺服器上建立的撥入使用者Branch和對應的密碼,點選下一步 rrassts19.jpg 完成請求撥號介面嚮導頁,點選完成,此時,分部×××伺服器Perth上的請求撥號連線HeadQuarter也建立好了,如下圖所示: rrassts20.jpg 測試L2TP/IPSec模式的站點到站點連線 我們在總部網路中的一臺客戶計算機10.1.1.8上,Ping分部網路中的一臺計算機172.16.1.8。注意看,作為閘道器的總部×××伺服器Munich在剛開始時回覆目的主機不可達,此時,Munich向分部網路的×××伺服器Perth初始化請求撥號連線,等幾秒後,連線成功,此時,10.1.1.8發起的Ping請求得到了172.16.1.8的響應。 rrassts21.jpg 在分部網路中的主機172.168.1.8上Ping總部網路的主機10.1.1.8試試,一樣成功。這表明總部和分部之間成功建立了站點到站點的×××連線。 rrassts22.jpg 看看MunichPerth上的安全日誌,你可以發現快速模式的IKE安全關聯成功建立的日誌,這表明此站點到站點的×××連線使用的是L2TP/IPSec模式。 rrassts23.jpg rrassts24.jpg 現在我們測試一下分部×××伺服器是否可以初始化請求撥號連線,在任意一端×××伺服器的路由和遠端訪問管理控制檯網路介面中右擊對應的請求撥號介面,選擇中斷連線,然後在分部網路客戶計算機172.16.1.8上同樣採用連續Ping總部網路主機的辦法來讓分部×××伺服器初始化請求撥號連線,同樣成功,如下圖所示: rrassts25.jpg 測試PPTP模式的站點到站點連線 在任意一端×××伺服器的路由和遠端訪問管理控制檯網路介面中右擊對應的請求撥號介面,選擇屬性,然後在網路標籤中,修改型別為PPTP ×××。由於另外一段×××伺服器設定請求撥號連線×××型別為自動,因此可以自動使用PPTP模式的×××型別。 rrassts26.jpg 同樣分別在10.1.1.8172.16.1.8上連續Ping進行測試,如下圖所示,測試均成功。並且你可以從不成功的Ping的數量可以看出,PPTP模式站點到站點×××連線的連線速度遠比L2TP/IPSec更快。 rrassts27.jpg rrassts28.jpg 至此,本試驗成功完成。
        附件:http://down.51cto.com/data/2349607 *** Windows 2003 ***

      1

      分享

      微博 QQ 微信 qr-url?url=https%3A%2F%2Fblog.51cto.com%2Fjianghua5876%2F67961

      收藏

      下一篇:虛擬專用網路(×××)連線基礎 noavatar_middle.gif jianghua5876

      27篇文章,12W+人氣,0粉絲

      noavatar_middle.gif

      Ctrl+Enter釋出

      釋出

      取消

      推薦專欄更多

      5366d1f50328a62facbf5db1d91c319a.png VMware vSAN中小企業應用案例

      掌握VMware超融合技術

      共41章|王春海

      ¥51.00 346人訂閱
      訂閱 9d82eccb4e3c371eaeac41193bbef757.png 基於Kubernetes企業級容器雲平臺落地與實踐

      容器私有云平臺實踐之路

      共15章|李振良OK

      ¥51.00 595人訂閱
      訂閱 45862f289339dc922ffda669fd74ad9b.jpg 網工2.0晉級攻略 ——零基礎入門Python/Ansible

      網路工程師2.0進階指南

      共30章|薑汁啤酒

      ¥51.00 1557人訂閱
      訂閱 629650e188ddde78b213e564c2e9ebff.jpg 負載均衡高手煉成記

      高併發架構之路

      共15章|sery

      ¥51.00 506人訂閱
      訂閱 dc6736c5fd50474b5df8b76b040e3d03.jpg 帶你玩轉高可用

      前百度高階工程師的架構高可用實戰

      共15章|曹林華

      ¥51.00 461人訂閱
      訂閱

      猜你喜歡

      我的友情連結 taskmgr(工作管理員)無法出來的解決辦法 Windows路由表詳解 Windows Server 2012 R2 安裝金鑰 linux加入windows域之完美方案 理解Windows作業系統的KMS與MAK金鑰 ansible自動化管理windows系統實戰 為Windows 7 Professional安裝多語言包 windows7系統封裝教程:Sysprep3.14的使用 今日提供windows 7 產品金鑰,已成功啟用windows 7系統 菜鳥教程之Microsoft Windows Powershell Windows下PATH等環境變數詳解 簡述centOS 7系統使用者和組的管理及配置 解析DELL R710伺服器遷移操作內容 開學季出大事:某教育局丟失3臺虛擬機器 EVA4400儲存虛擬機器+資料庫資料恢復成功案例 伺服器資料恢復通用方法+伺服器分割槽丟失恢復案例 在CentOS7上部署squid快取伺服器及代理功能 EMC 5400伺服器raid陣列癱瘓資料恢復成功案例 伺服器資料恢復案例 / raid5陣列多塊硬碟離線處理方法 f92360e227f9d91cdff7ea95120630ef.png left-qr.jpg

      掃一掃,領取大禮包

      1

      0

      分享 qr-url?url=https%3A%2F%2Fblog.51cto.com%2Fjianghua5876%2F67961 jianghua5876 noavatar_middle.gif

相關推薦

How to:部署Windows Server 2003站點站點×××連線

站點站點×××連線是一種請求撥號連線,它使用×××隧道協議(PPTP或L2TP/IPSec)來連線不同的專用網路,連線兩端的每個×××伺服器都提供一個到達自己

How to :配置Windows Server 2003作為網路間的路由器

Windows伺服器系統,均提供了路由和遠端訪問(RRAS)服務。其實路由和遠端訪問服務是兩部分功能的結合:路由服務和遠端訪問服務。通過RRAS提供的路由功能,你可以把你的Windows伺服器配置為一臺路由器

WINDOWS SERVER 2003從入門到精通之在AD建立子域和域樹

今天我們接著學習如何在Windows建立子域和域樹 實驗環境使用3臺虛擬機器,一臺APTECH.COM域的DC1,一臺作為APTECH.COM域的子域的DC2,和另一個域樹的DC3

WINDOWS SERVER 2003從入門到精通之使用IIS服務配置WEB站點

目前網路的快速發展,帶動著網站的不斷普遍,那麼我們來了解一下WEB站點的配置過程!

WINDOWS SERVER 2003從入門到精通之AD的5種操作主機

在之前我們已經瞭解了在AD(活動目錄)建立林,域樹和子域的方法,在一個域,為了提高容錯性和高可用性,我們建議大家在一個域最好存在多臺DC,每個DC維護域相同的活動目錄資料庫.而這些DC是對等的,那麼就

Windows Server 2008部署Exchange Server 2007sp1

Exchange Server 2007需要執行64位作業系統的平臺上,今天嘗試了在64 bit windows server 2008企業版 上部署 exchange 2007 +sp1。

[轉載]Windows Server 2016部署AD

搬運來源:https://blog.51cto.com/lumay0526/2046844 簡述 AD是Active Directory的簡寫,中文稱活動目錄。活動目錄(Active Directory)主要提供以下功能:1、伺服器及客戶端計算機管理,2、使用者服務,3、資源管理

Windows server 2003 群集搭建

Windows server 2003 群集搭建 伺服器群集是一組各自獨立的伺服器,這些伺服器執行群集服務並作為一個系統共同工作。伺服器群集的目的是在發生故障和計劃停機時保持客戶機對應用程式和資源的訪問。如果群

WINDOWS SERVER 2003從入門到精通之使用證書在WEB伺服器上設定SSL(下)

7.提交證書申請: 使用IE瀏覽器開啟本地WEB站點進入證書申請頁面,如下: 選擇申請證書

WINDOWS SERVER 2003從入門到精通之建立Windows

今天我們來學習如何在Windows建立域 實驗環境使用2臺虛擬機器,一臺DC,一臺作為加入域的客戶機

WINDOWS SERVER 2003從入門到精通之配置DHCP伺服器(上)

DHCP(Dynamic Hoat Configure Protocol)動態主機配置協議簡稱,首先我們先了解DHCP伺服器的作用所在.

WINDOWS SERVER 2003從入門到精通之使用證書在WEB伺服器上設定SSL(上)

為了使使用者訪問WEB站點時可以使用HTTPS的安裝方式瀏覽網頁,可以通過SSL協議在WEB伺服器上啟用安全通訊通道以實現高安全性.

WINDOWS SERVER 2003從入門到精通之組策略應用

目前大部分的公司都去購買MS的OS產品,剛推出不久的VISTA,以及即將面視的WINDOWS SERVER 2008,大家都已習慣了WINS的操作介面,不過在企業當中看中的是MS的AD的應用,而在AD,能起到關鍵作用的就是"組策

WINDOWS SERVER 2003從入門到精通之林之間的信任關係

大家應該知道,使用WIN2003建立的AD(林)的各個域之間的信任關係預設就是雙向信任可傳遞的.那麼如果企業的應用如果出現了兩個林或更多的林時,還要進行相互的資源訪問時,我們該怎麼辦?因為預設只是同在一

WINDOWS SERVER 2003從入門到精通之DHCP中繼代理

DHCP租約過程是靠廣播發送資訊的,就會產生問題,如果給多個網段動態分配IP地址如何規劃DHCP服務呢?

WINDOWS SERVER 2003從入門到精通之活動目錄資料庫的維護

在一個域有多個DC時,這些DC的AD資料庫必須是一模一樣的,這就需要DC之間的自動更新同步來完成(只是要考慮這幾臺DC的系統時間間隔問題而已).這些DC之間要維護相同的活動目錄資料庫,可以實現一定的可靠性和

WINDOWS SERVER 2003從入門到精通之NTFS特性

WINDOWS環境下我們可以使用的檔案系統是FAT和NTFS兩種,那麼有些使用者就會提出疑問,這兩種檔案系統哪個更適合我呢?這就需要我們對這兩種的特性有所瞭解.

WINDOWS SERVER 2003從入門到精通之DNS服務

這次我們來了解DNS伺服器的配置和管理。 首先了解DNS服務的作用,什麼時候用?怎麼用?

WINDOWS SERVER 2003從入門到精通之Windows Media Server流媒體伺服器架建

今天我們來做一個windows media server流媒體格式檔案的流媒體伺服器。   現在市面上能夠買到的一些電影檔案有rm格式和wmv格式。還有一些是DivX技術的avi格式,要想讓你的伺服器對他們通吃,不是沒有辦

windows server 2003 建立 windows

>>> 因為目前還沒有AD(活動目錄),現在是在AD建立第一個域,所以此項應選擇"新域的域控制器":