How to:部署Windows Server 2003中的站點到站點×××連線
阿新 • • 發佈:2020-10-20
站點到站點×××連線是一種請求撥號連線,它使用×××隧道協議(PPTP或L2TP/IPSec)來連線不同的專用網路,連線兩端的每個×××伺服器都提供一個到達自己所屬本地專用網路的路由連線。和遠端訪問×××將一臺單獨的計算機連線到網路中不同,站點到站點×××連線連線整個網路。當兩臺×××伺服器建立站點到站點×××連線後,連線兩端的×××所屬的專用網路均可以訪問另一端的遠端網路,就像訪問本地網路一樣。
預設情況下,站點到站點×××連線是請求撥號連線,只有當網路流量必須通過此介面轉發(需要轉發IP資料包到對應的遠端網路)時才建立連線。此時呼叫路由器(××× 客戶端)初始化這個連線,應答路由器(××× 伺服器)偵聽連線請求,接收來自呼叫路由器的連線請求,並根據請求建立連線,並且在空閒一定時間(預設為5分鐘)後斷開連線。你可以配置連線為永久連線方式,此時,×××伺服器會保持此連線的連線狀態,如果連線中斷則立即重新初始化連線。
為了避免呼叫路由器建立不需要的連線,您可以按照以下兩種方式來限制呼叫路由器建立請求的站點到站點×××連線:
雙向初始化連線 雙向初始化連線可以看做是兩個方向上的單向初始化連線,每個×××路由器同時是呼叫路由器和應答路由器,向對方進行連線初始化和接受對方的站點到站點×××連線請求。當站點到站點連線成功建立後,每個×××路由器上均會新增到達對方路由器所屬專用網路的路由,從而各自的專用網路可以訪問遠端網路。雙向初始化的站點到站點×××連線需要滿足下列條件:
- IP請求撥號篩選器。你可以使用請求撥號篩選來決定哪種型別的IP流量不能導致請求撥號連線的建立,也可以配置哪種型別的IP流量可以導致連線的建立。配置請求撥號篩選的方法是:在路由和遠端訪問管理單元的網路介面節點中右擊請求撥號介面,然後點選設定IP請求撥號篩選器。關於IP請求撥號篩選器更詳細的資訊,請參見深入理解路由和遠端訪問服務中的篩選器和基本防火牆一文。
-
撥出時間。你可以使用撥出時間來配置允許或禁止呼叫路由器建立站點到站點×××連線的時間段。配置撥出時間的方法是:在路由和遠端訪問管理單元的網路介面節點中右擊請求撥號介面,然後點選撥出時間。你還可以使用遠端訪問策略來配置允許傳入請求撥號路由連線的時間。
- 應答路由器被配置為LAN和請求撥號路由器;
- 在應答路由器上為呼叫路由器的身份驗證憑據新增使用者帳戶;在應答路由器上配置了請求撥號介面,並且其名稱與呼叫路由器所使用的使用者帳戶名稱相同。這個請求撥號介面不是用於撥號的,因此它並沒有配置呼叫路由器的主機名或IP地址,也沒有配置有效的撥出使用者身份驗證資訊。
- 如果採用L2TP/IPSec模式的站點到站點×××連線,還需要在呼叫路由器上安裝客戶端身份驗證證書,在應答路由器上安裝伺服器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec金鑰。
雙向初始化連線 雙向初始化連線可以看做是兩個方向上的單向初始化連線,每個×××路由器同時是呼叫路由器和應答路由器,向對方進行連線初始化和接受對方的站點到站點×××連線請求。當站點到站點連線成功建立後,每個×××路由器上均會新增到達對方路由器所屬專用網路的路由,從而各自的專用網路可以訪問遠端網路。雙向初始化的站點到站點×××連線需要滿足下列條件:
- 兩個路由器都被配置為LAN和請求撥號路由器;
- 在每個路由器上為遠端路由器的身份驗證憑據添加了使用者帳戶,並且配置了名字與呼叫路由器所使用的使用者帳戶名稱相同的請求撥號介面;
- 如果採用L2TP/IPSec模式的站點到站點×××連線,還需要在每個路由器上同時安裝客戶端身份驗證證書和伺服器身份驗證證書;如果不安裝證書,則需要配置預共享的IPSec金鑰。
- Internet:61.139.0.1/24
- HQ LAN:10.1.1.1/24
- Internet:61.139.0.8/24
- Branch LAN:172.16.1.1/24
- 在兩臺×××伺服器上分別啟用遠端訪問×××;
- 在兩臺×××伺服器上分別建立請求撥號連線;
- 在兩臺×××伺服器上分別建立遠端×××伺服器用於初始化站點到站點×××連線的撥入使用者賬戶,此使用者必須和本地×××伺服器上建立的請求撥號連線同名;
- 如果使用L2TP/IPSec模式的×××連線,還需要在每臺×××伺服器上安裝伺服器身份驗證證書和客戶端身份驗證證書。
- 在兩臺伺服器上啟用了遠端訪問×××服務;
- 因為需要配置L2TP/IPSec模式的站點到站點×××連線,我已經為每臺×××伺服器安裝好了伺服器身份驗證證書和客戶端身份驗證證書。如下圖所示:
-
以上配置可以參考How to :部署Windows Server 2003中的遠端訪問×××服務一文。
因此,這篇文章中的試驗只是包含建立請求撥號連線和撥入使用者兩部分,在建立請求撥號連線時,嚮導可以幫你自動建立撥入使用者。詳細的試驗步驟如下:
- 在總部的×××伺服器Munich上建立請求撥號連線和撥入使用者;
- 在分部的×××伺服器Perth上建立請求撥號連線和撥入使用者;
- 測試L2TP/IPSec模式的站點到站點連線;
-
測試PPTP模式的站點到站點連線;
在總部的×××伺服器Munich上建立請求撥號連線和撥入使用者
在Munich上的路由和遠端訪問管理控制檯中,點選網路介面,然後在右邊面板空白處右擊,選新建請求撥號介面;
在彈出的歡迎使用請求撥號介面嚮導頁,點選下一步;
在介面名稱頁,由於此請求撥號連線連線到分部網路,所以我取名為Branch,點選下一步;
在連線型別頁,選擇使用虛擬專用網路連線(×××),點選下一步;
在×××型別頁,接受預設的自動選擇,請求撥號連線會先嚐試使用更為安全的L2TP/IPSec協議進行連線,如果連線不成功再使用PPTP進行連線。點選下一步;
在目標地址頁,輸入遠端×××伺服器的IP地址或域名。如果輸入域名,則確保本地×××伺服器可以正確解析。在此我輸入分部×××伺服器的IP地址61.139.0.8,點選下一步;
在協議及安全措施頁,接受預設的選擇在此介面上路由選擇IP資料包,這樣本地×××伺服器可以使用此請求撥號連線進行資料包的路由,由於我們是建立雙向初始化的站點到站點×××連線,所以勾選新增一個使用者賬戶使遠端路由器可以撥入,這樣嚮導會在後面建立一個用於遠端×××伺服器撥入的使用者賬戶。點選下一步;
在遠端網路的靜態路由頁,指定遠端網路所包含的網路地址範圍,當本地網路中的客戶向此地址範圍中的主機發起連線請求時,本地×××伺服器會自動初始化此請求撥號連線。點選新增按鈕,
在彈出的靜態路由對話方塊,輸入目標和網路掩碼分別為分部網路的網路ID和子網掩碼172.16.1.0、255.255.255.0,躍點數接受預設的1,點選確定;
如果分部網路中具有多個網路地址範圍可以重複新增。在此我已完成了分部網路地址範圍的新增,因此在遠端網路的靜態路由頁點選下一步;
在撥入憑據頁,設定遠端×××伺服器撥入本地×××伺服器所使用的使用者賬戶。站點和站點×××連線所使用的撥入使用者的使用者名稱必須和請求撥號連線的名字一致,你可以看到,使用者名稱和連線名一致,固定為Branch,你不能修改。輸入並確認密碼後,點選下一步;
在撥出憑據頁,設定此請求撥號連線用於撥入遠端×××伺服器的使用者賬戶。在此輸入使用者名稱為HeadQuarter和對應的密碼,此賬號我們將稍後在分部×××伺服器上設定,點選下一步;
在完成請求撥號介面嚮導頁,點選完成,此時,總部×××伺服器Munich上的請求撥號連線Branch就建立好了,如下圖所示:
並且,嚮導建立了一個名為Branch的使用者,並且顯示授予了遠端撥入許可權。
在分部的×××伺服器Perth上建立請求撥號連線和撥入使用者
同樣,在Perth上的路由和遠端訪問管理控制檯中,點選網路介面,然後在右邊面板空白處右擊,選新建請求撥號介面;
在介面名稱頁,由於此請求撥號連線連線到分部網路,所以我取名為HeadQuarter,點選下一步;
在連線型別頁,選擇使用虛擬專用網路連線(×××),點選下一步;
在×××型別頁,接受預設的自動選擇,點選下一步;
在目標地址頁,輸入遠端×××伺服器的IP地址或域名。如果輸入域名,則確保本地×××伺服器可以正確解析。在此我輸入總部×××伺服器的IP地址61.139.0.1,點選下一步;
在協議及安全措施頁,接受預設的選擇在此介面上路由選擇IP資料包並勾選新增一個使用者賬戶使遠端路由器可以撥入,點選下一步;
在遠端網路的靜態路由頁,點選新增按鈕新增總部網路的網路地址範圍10.1.1.0/24,然後點選下一步;
在撥入憑據頁,設定遠端×××伺服器撥入本地×××伺服器所使用的使用者賬戶。你同樣可以看到,使用者名稱和連線名一致,固定為HeadQuarter,你不能修改。輸入並確認密碼後,點選下一步;
在撥出憑據頁,設定此請求撥號連線用於撥入遠端×××伺服器的使用者賬戶。在此我輸入總部×××伺服器上建立的撥入使用者Branch和對應的密碼,點選下一步;
在完成請求撥號介面嚮導頁,點選完成,此時,分部×××伺服器Perth上的請求撥號連線HeadQuarter也建立好了,如下圖所示:
測試L2TP/IPSec模式的站點到站點連線
我們在總部網路中的一臺客戶計算機10.1.1.8上,Ping分部網路中的一臺計算機172.16.1.8。注意看,作為閘道器的總部×××伺服器Munich在剛開始時回覆目的主機不可達,此時,Munich向分部網路的×××伺服器Perth初始化請求撥號連線,等幾秒後,連線成功,此時,10.1.1.8發起的Ping請求得到了172.16.1.8的響應。
在分部網路中的主機172.168.1.8上Ping總部網路的主機10.1.1.8試試,一樣成功。這表明總部和分部之間成功建立了站點到站點的×××連線。
看看Munich和Perth上的安全日誌,你可以發現快速模式的IKE安全關聯成功建立的日誌,這表明此站點到站點的×××連線使用的是L2TP/IPSec模式。
現在我們測試一下分部×××伺服器是否可以初始化請求撥號連線,在任意一端×××伺服器的路由和遠端訪問管理控制檯網路介面中右擊對應的請求撥號介面,選擇中斷連線,然後在分部網路客戶計算機172.16.1.8上同樣採用連續Ping總部網路主機的辦法來讓分部×××伺服器初始化請求撥號連線,同樣成功,如下圖所示:
測試PPTP模式的站點到站點連線
在任意一端×××伺服器的路由和遠端訪問管理控制檯網路介面中右擊對應的請求撥號介面,選擇屬性,然後在網路標籤中,修改型別為PPTP ×××。由於另外一段×××伺服器設定請求撥號連線×××型別為自動,因此可以自動使用PPTP模式的×××型別。
同樣分別在10.1.1.8和172.16.1.8上連續Ping進行測試,如下圖所示,測試均成功。並且你可以從不成功的Ping的數量可以看出,PPTP模式站點到站點×××連線的連線速度遠比L2TP/IPSec更快。
至此,本試驗成功完成。
附件:http://down.51cto.com/data/2349607 *** Windows 2003 ***1
分享
微博 QQ 微信收藏
下一篇:虛擬專用網路(×××)連線基礎 jianghua587627篇文章,12W+人氣,0粉絲
關注Ctrl+Enter釋出
釋出
取消
推薦專欄更多
VMware vSAN中小企業應用案例掌握VMware超融合技術
共41章|王春海
¥51.00 346人訂閱
訂閱 基於Kubernetes企業級容器雲平臺落地與實踐容器私有云平臺實踐之路
共15章|李振良OK
¥51.00 595人訂閱
訂閱 網工2.0晉級攻略 ——零基礎入門Python/Ansible網路工程師2.0進階指南
共30章|薑汁啤酒
¥51.00 1557人訂閱
訂閱 負載均衡高手煉成記高併發架構之路
共15章|sery
¥51.00 506人訂閱
訂閱 帶你玩轉高可用前百度高階工程師的架構高可用實戰
共15章|曹林華
¥51.00 461人訂閱
訂閱猜你喜歡
我的友情連結 taskmgr(工作管理員)無法出來的解決辦法 Windows路由表詳解 Windows Server 2012 R2 安裝金鑰 linux加入windows域之完美方案 理解Windows作業系統的KMS與MAK金鑰 ansible自動化管理windows系統實戰 為Windows 7 Professional安裝多語言包 windows7系統封裝教程:Sysprep3.14的使用 今日提供windows 7 產品金鑰,已成功啟用windows 7系統 菜鳥教程之Microsoft Windows Powershell Windows下PATH等環境變數詳解 簡述centOS 7系統使用者和組的管理及配置 解析DELL R710伺服器遷移操作內容 開學季出大事:某教育局丟失3臺虛擬機器 EVA4400儲存虛擬機器+資料庫資料恢復成功案例 伺服器資料恢復通用方法+伺服器分割槽丟失恢復案例 在CentOS7上部署squid快取伺服器及代理功能 EMC 5400伺服器raid陣列癱瘓資料恢復成功案例 伺服器資料恢復案例 / raid5陣列多塊硬碟離線處理方法掃一掃,領取大禮包
1
0
分享 關注 jianghua5876