返回列表 发帖

[转帖]菜鸟网管实战VPN

彭彭是一个对电脑有点喜爱、对网络有点好奇的半吊子,自诩为小虾,其实是个菜鸟。这不,公司请人建立了局域网,老板为节省请网管的银子,叫住了彭彭,让他兼任公司网管。这样,彭彭开始了他菜鸟网管生活的第一天。彭彭虽然平时对计算机研究得不错,但那都是单机,没有连过网,现在连网的计算机要管什么呢?网管工作只是看看网是否连通?可怎么知道网是连通的呢?网管工作可能没这么简单吧,一个网管到底需要做哪些事情呢?彭彭这心里呀真还没个底。
  为了能胜任这份网管工作,彭彭利用休息时间跑了书店,找了相关的书籍来啃了一下。这才知道,在今天的企业网络中,企业的一些业务甚至大部分业务都要经过网络,所以网络的运行状态、传输效率、安全系数都直接影响到企业业务的运行状况。如果企业网络效率不高或运行状态不佳,数据流就会受到阻塞,关键数据就不能得到有效共享,从而影响企业的生产效率。
  原来网管的工作还真不少,彭彭心想,不是他以前想的仅是保证网通就可以了,而是要规划管理出高速、高效、安全的网络环境。而产生这一环境的前提就是要求网管从操作系统到服务器硬件、从网络布线到交换路由都要门门精通。所以说,网管是一门综合的艺术。
  想到这儿,彭彭既是高兴又是担心,高兴的是自己不仅可以通过网管工作来学习更多的知识,而且这个网管工作在公司还是一个重要的职位。担心的是按自己目前的水平,万一网出了问题该怎么办?好在彭彭一直就是个爱学习、爱动手的人,他有信心能很快地熟悉自己的工作。
  1.1 Windows 2000下的VPN
老板这几天心血来潮,学起别人做起SOHO一族,这不,老板向彭彭要求,让自己在家上网也可以调用公司其他机器的打印机,还要调用局域网中其他机器的文件。这下可苦了彭彭这个半吊子网管了,因为公司的计算机都在代理服务器的后面,外网是没办法直接访问的。不过是老板要求的,而且老板正在兴头上,没办法,彭彭只好找了本书啃起来。
  啃了几天书,搜索了好些个网站,彭彭发现,如果要将外网的机器划入到内网来,好像在局域网内一样进行通信,需要做一个VPN的设置。
1.1.1  VPN到底是什么
  看来老板的要求是可以实现的了。彭彭简单画了一个简略的网络示意图(图1.1.1)。公司采用Windows 2000 Server做代理服务器代理上网和发布网站。而老板则在家中上网,主要是电话拨号等,老板在家连上公网之后,再建立到公司的VPN通道,再由公司的VPN服务器分配公司局域网内部IP给老板的C机,到时候,老板就像在办公室上网一样了。

虚拟专用网(VPN)可以让企业利用现存的Internet来建立自己的内部网,适用于大型的、在各个分散的地方有分公司的而且需要将各地的网络连起来的企业。VPN为这种连接提供了一种安全廉价的高性能解决方案,将企业分散在各地的网络通过现有的公共网络连接起来。VPN适用于任何类型的网络:专用 Intranet 或 Internet。VPN采用的隧道协议有许多优点,比如用户通过拨号网络连入Internet,接受ISP分配的动态IP地址,接着访问企业内部网,而企业网一般均采用防火墙等安全措施来保护自己的网络,那么我们通ISP拨号上网时就不能穿过防火墙访问企业内部网,只能访问企业的Web服务器。而采用隧道协议后,拨号用户不仅可以得到ISP的动态IP地址,还可以得到企业内部网的IP 地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。用户付出的仅仅是拨ISP的市话费用,不必直接拨号到企业内部。传统上,如果远程用户需要访问企业内部网,一般是直接拨号到企业内部的远程访问服务器,建立的费用是很低廉,但使用时拨号是拨的长途电话,费用就很高了。如果用专线,则就更加昂贵了。

1.1.2 在Windows 2000 Server中支持VPN
  彭彭把这一层想通后,说干就干,马上就在公司的服务器上调试了起来。
  1.打开"控制面板"中的"管理工具",可以看到"路由与远程访问"图标,双击该图标(图1.1.2)。

                       图1.1.2 路由与远程访问
  2.打开"路由与远程访问"窗口之后,可以在窗口的右边看到关于"路由与远程访问"的基本操作。例如,该服务器名叫Server5,则可以在左列的"Server5(本地)"上按右键(图1.1.3),选择"配置并启用路由选择选项"。

                   图1.1.3 配置并启用路由选择选项
3.接着可以看到"路由与远程访问服务器"的安装向导,点击"下一步"按钮继续(图1.1.4)。

                    图1.1.4 远程访问向导
  4.在向导中选择"虚拟专用网络(VPN)服务器",并点击"下一步"按钮继续(图1.1.5)。

                  图1.1.5 选择"虚拟专用网络(VPN)服务器"
  5.选择远程客户使用的协议,一般情况下,都是使用TCP/IP协议,所以可以选择"是,所有可用协议都在列表上",并点击"下一步"按钮继续(图1.1.6)。

                   图1.1.6 选择远程客户协议
6.选择Internet连接,一般的VPN服务器都是最少有两块网卡,一块对外网,一块对内部局域网。在这里是指选择对外网的连接(图1.1.7)。

                   图1.1.7 选择外网连接
  7.和上一步的操作一样,需要选择一块对内的网卡连接,选好之后点击"下一步"继续(图1.1.8)。


                     图1.1.8 选择内部网络连接
8.IP地址指定,如果该服务器上已经配置了DHCP服务,可以选择"启动",使用DHCP服务器分配地址。点击"下一步"按钮继续(图1.1.9)。

                      图1.1.9 启用DHCP服务器分配地址
  9.管理多个远程访问服务器,如果有多个远程访问服务器,而且账号非常多的话,可以使用RADIUS服务器,不过一般情况下,可以选择"不,我现在不想设置此服务器使用RADIUS"(1.1.10)。

                         图1.1.10 不使用RADIUS服务器
10.最后,经过一段时间的系统设置后,"远程与路由访问"窗口显示"虚拟专用网络"配置成功,并在左列窗口中显示具体所支持的接口与协议(图1.1.11)。

图1.1.11 配置成功的VPN服务器
1.1.3 配置账号访问策略
  看来也不是很难嘛,彭彭暗自想,以后只要在客户端给装一个VPN客户端拨号程序就可以了,访问的时候只要在客户端填上服务器的地址和服务器的账号就可以了呀。为了验证自己配置的是否正确,彭彭把服务器的一个Users组中的账号和地址给了外网的一个通过Modem拨号上网的朋友,请他来通过VPN客户端来登录服务器测试一下。不一会儿,朋友报告说,不能进入,提示该账号没有远程登录权限。幸亏没有直接推荐给老板,要不准挨骂。
  到底是什么原因呢?提示账号没有远程登录权限,看来与账号设置有关呀,彭彭带着疑问打开了Windows的用户管理。

  一、新增账号
  1.彭彭的服务器为了管理的方便,已经升级到了域模式,需要管理账号的时候要通过打开"管理工具"中的"Active Directory 用户和计算机"(图1.1.12)。

图1.1.12 管理Active Directory 中的对象
  2.在"Active Directory 用户和计算机"窗口中的左边列表中选择"Users"组,可以看到右边列表显示了整个域所有的账号和类型说明。现在需要给VPN服务器专门建立一个访问的账号,在右边列表空白处打开右键菜单,选择"新建"菜单中的"用户"命令(图1.1.13)。

3.在"新建对象-用户"窗口按照提示填入新账号的一些信息,如用户的姓名、登录名等(图1.1.14)。


                    图1.1.14 新建账号
  4.填入该账号的密码(图1.1.15)。密码框下面的四个选项现在可以不选。填好密码之后点击"下一步"继续。

图1.1.15 设置密码
  5.可以看到,在"Active Directory 用户和计算机"窗口中,刚才新建的账号已经成功(图1.1.16)。

图1.1.16 新建成功的账号

  二、修改账号的权限
  在刚刚新建的账号上按右键,选择"属性"(图1.1.17),打开"属性"面板中的"拨入"标签,在"远程访问权限(拨入或VPN)"中选择"允许访问",并按"确定"完成修改。

图1.1.17 修改用户拨入权限
  再一试,OK啦。

[转帖]菜鸟网管实战VPN

好文章

TOP

[转帖]菜鸟网管实战VPN

顶!菜鸟实战篇

TOP

返回列表 回复 发帖