Typowa konfiguracja serwera sieci VPN

Typowa konfiguracja serwera sieci VPN

Aby wdrożyć rozwiązanie sieci VPN w firmie Electronic Inc., administrator sieci dokonuje analizy i podejmuje stosowne decyzje w następujących kwestiach:

  • Konfiguracja sieci
  • Konfiguracja zasady dostępu zdalnego
  • Konfiguracja domeny
  • Konfiguracja zabezpieczeń

Konfiguracja sieci

Podstawowymi elementami konfiguracji sieci są:

  • Intranet firmy Electronic Inc. używa prywatnych sieci z adresem 172.16.0.0 z maską podsieci 255.240.0.0 i adresem 192.168.0.0 z maską podsieci 255.255.0.0. Segmenty firmowej sieci kampusowej używają podsieci 172.16.0.0, a oddziały firmy używają podsieci 192.168.0.0.
  • Komputer serwera sieci VPN jest podłączony bezpośrednio do Internetu za pomocą wydzielonego łącza WAN T3 (zwanego również łączem DS-3).
  • Adres IP karty WAN w Internecie to 207.209.68.1. Adres ten został przydzielony firmie Electronic Inc. przez usługodawcę internetowego. Adres IP karty WAN jest powiązany w Internecie z nazwą domeny vpn.electronic.microsoft.com.
  • Komputer serwera sieci VPN jest podłączony bezpośrednio do segmentu intranetu, w którym znajduje się serwer RADIUS, serwer plików i serwer sieci Web (do których dostęp mają partnerzy biznesowi) oraz router, który jest połączony z resztą kampusowego intranetu firmy Electronic Inc. Segment intranetu ma identyfikator sieciowy IP 172.31.0.0 z maską podsieci 255.255.0.0.
  • Na komputerze serwera sieci VPN skonfigurowano statyczną pulę adresów IP, które są przydzielane klientom dostępu zdalnego i routerom wywołującym. Statyczna pula adresów IP jest podzestawem segmentu sieci intranetowej (pula adresów podsieci).

Następująca ilustracja przedstawia konfigurację sieci serwera sieci VPN firmy Electronic Inc.

Konfiguracja sieciowa „elektronicznego” serwera wirtualnej sieci prywatnej (VPN)

Uwaga

Zależnie od konfiguracji kampusowego intranetu firmy Electronic Inc., komputer serwera sieci VPN jest konfigurowany w następujący sposób.

1. Instalowanie sprzętu w serwerze sieci VPN

Karta sieciowa używana do łączenia się z segmentem intranetu i karta WAN używana do łączenia się z Internetem są instalowane zgodnie z instrukcjami producentów. Po zainstalowaniu i uruchomieniu sterowników obie karty pojawią się w folderze Połączenia sieciowe jako połączenia lokalne.

2. Konfigurowanie protokołu TCP/IP na kartach LAN i WAN

Kartę LAN skonfigurowano z adresem IP 172.31.0.1 i maską podsieci 255.255.0.0. Kartę WAN skonfigurowano z adresem IP 207.209.68.1 i maską podsieci 255.255.255.255. Dla żadnej z kart nie skonfigurowano bramy domyślnej. Nie skonfigurowano również adresów serwerów DNS i WINS.

3. Instalowanie usługi Routing i dostęp zdalny

Uruchomiono Kreatora instalacji serwera routingu i dostępu zdalnego. W kreatorze wybrano opcję Dostęp zdalny (połączenie telefoniczne lub sieć VPN). Aby uzyskać więcej informacji, zobacz Włączanie usługi Routing i dostęp zdalny.

Za pomocą kreatora skonfigurowano statyczną pulę adresów IP z początkowym adresem IP 172.31.255.1 i końcowym adresem IP 172.31.255.254. Taka statyczna pula adresów może obsłużyć 253 klientów sieci VPN.

Aby uzyskać więcej informacji, zobacz Tworzenie statycznej puli adresów IP.

Domyślną metodą uwierzytelniania połączeń dostępu zdalnego i połączeń z wybieraniem numeru na żądanie jest uwierzytelnianie systemu Windows, które jest odpowiednim rozwiązaniem w przypadku konfiguracji zawierającej tylko jeden serwer sieci VPN. Aby uzyskać informacje o uwierzytelnianiu RADIUS stosowanym w firmie Electronic Inc., zobacz Połączenia telefoniczne i sieci VPN z serwerem RADIUS. Aby uzyskać więcej informacji o stosowaniu uwierzytelniania systemu Windows i uwierzytelniania RADIUS, zobacz Uwierzytelnianie a autoryzacja.

4. Włączanie metody uwierzytelniania EAP

Aby umożliwić korzystanie z klientów sieci VPN dostępu zdalnego opartych na kartach inteligentnych i routerów wywołujących opartych na certyfikatach, administrator sieci włącza protokół uwierzytelniania rozszerzonego (EAP) na serwerze sieci VPN.

Aby uzyskać więcej informacji, zobacz Włączanie protokołu EAP.

5. Konfigurowanie tras statycznych na serwerze sieci VPN w celu uzyskania dostępu do lokalizacji w intranecie i w Internecie

Aby uzyskać dostęp do lokalizacji w intranecie, skonfigurowano trasę statyczną z następującymi ustawieniami:

  • Interfejs: karta LAN podłączona do intranetu
  • Adres docelowy: 172.16.0.0
  • Maska sieci: 255.240.0.0
  • Brama: 172.31.0.2
  • Metryka: 1

Ta trasa statyczna upraszcza routing przez podsumowanie wszystkich lokalizacji docelowych w intranecie firmy Electronic Inc. Sposób użytkowania trasy statycznej umożliwia uniknięcie konieczności konfigurowania serwera sieci VPN z protokołem routingu.

Aby uzyskać dostęp do lokalizacji w Internecie, skonfigurowano trasę statyczną z następującymi ustawieniami:

  • Interfejs: karta WAN podłączona do Internetu
  • Adres docelowy: 0.0.0.0
  • Maska sieci: 0.0.0.0
  • Brama: 0.0.0.0
  • Metryka: 1

Ta trasa statyczna podsumowuje wszystkie lokalizacje docelowe w Internecie. Trasa ta umożliwia serwerowi sieci VPN odpowiadanie na żądania połączeń klientów dostępu zdalnego lub połączeń sieci VPN routera z wybieraniem numeru na żądanie, przesyłane z dowolnej lokalizacji w Internecie.

Uwaga

  • Karta WAN tworzy bezpośrednie połączenie z usługodawcą internetowym, toteż można wprowadzić dowolny adres dla bramy. Adres bramy 0.0.0.0 jest adresem przykładowym. Adres 0.0.0.0 jest nieokreślonym adresem IP.

Ustawianie numeru telefonu dla urządzeń używających protokołu PPTP i L2TP

Aby ułatwić konfigurację zasad dostępu zdalnego połączeń sieci VPN inicjowanych przez użytkowników Internetu, właściwości portu dla urządzeń Miniport WAN (PPTP) i Miniport WAN (L2TP) zmodyfikowano przy użyciu adresu IP interfejsu internetowego serwera sieci VPN w polu Numer telefonu dla tego urządzenia. Aby uzyskać więcej informacji, zobacz Ustawianie numeru telefonu na porcie.

Konfigurowanie trasy statycznej na routerze intranetowym w celu uzyskania dostępu do wszystkich oddziałów firmy

Aby uzyskać dostęp do lokalizacji w oddziałach firmy z routera intranetowego, skonfigurowano trasę statyczną z następującymi ustawieniami:

  • Interfejs: karta LAN podłączona do intranetu
  • Adres docelowy: 192.168.0.0
  • Maska sieci: 255.255.0.0
  • Brama: 172.31.0.1
  • Metryka: 1

Ta trasa statyczna upraszcza routing przed podsumowanie wszystkich lokalizacji docelowych w oddziałach firmy Electronic Inc.

Konfiguracja zasady dostępu zdalnego

W firmie Electronic Inc. dokonano migracji do domeny macierzystej systemu Windows 2000, a administrator sieci firmy Electronic Inc. zdecydował się na zastosowanie modelu administracyjnego „dostęp na podstawie zasady”. Jako uprawnienie do dostępu zdalnego we właściwościach telefonowania dla wszystkich kont użytkowników ustawiono opcję Kontroluj dostęp poprzez zasady dostępu zdalnego. Udzielanie uprawnienia do dostępu zdalnego dotyczącego prób nawiązania połączenia jest kontrolowane przez ustawienie uprawnienia do dostępu zdalnego pierwszej dopasowanej zasady dostępu zdalnego. Zasady dostępu zdalnego są używane do stosowania różnych ustawień połączeń VPN w oparciu o członkostwo grupy, a domyślne zasady dostępu zdalnego są usuwane.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do zasad dostępu zdalnego.

Konfiguracja domeny

Aby korzystać z zalet stosowania różnych ustawień połączeń w odniesieniu do różnych typów połączeń sieci VPN, utworzono następujące grupy usługi Active Directory:

  • Użytkownicy_VPN
    Używana dla połączeń sieci VPN dostępu zdalnego
  • Routery_VPN
    Używana dla połączeń sieci VPN typu router-router oddziałów firmy Electronic Inc.
  • Partnerzy_VPN
    Używana dla połączeń sieci VPN typu router-router partnerów biznesowych firmy Electronic Inc.

Uwaga

  • Wszystkich użytkowników i wszystkie grupy w tym przykładzie implementacji tworzeni się w domenie usługi Active Directory electronic.microsoft.com

Konfiguracja zabezpieczeń

Aby włączyć połączenia L2TP/IPSec, włączyć opcję pozwalającą klientom dostępu zdalnego używać kart inteligentnych oraz umożliwić routerom używanie protokołu EAP-TLS, domenę firmy Electronic Inc. skonfigurowano do autorejestrowania certyfikatów komputerowych dla wszystkich członków domeny.

Aby uzyskać więcej informacji, zobacz Wdrażanie uwierzytelniania opartego na certyfikatach dla połączeń sieci VPN.

Uwagi

  • W systemach Windows Server 2003, Web Edition i Windows Server 2003, Standard Edition można utworzyć maksymalnie 1000 portów PPTP i maksymalnie 1000 portów L2TP. W systemie Windows Server 2003, Web Edition jest jednak akceptowane tylko jedno połączenie wirtualnej sieci prywatnej w danym momencie. W systemie Windows Server 2003, Standard Edition jest akceptowanych do 1000 połączeń VPN równocześnie. Jeśli przyłączonych jest 1000 klientów VPN, kolejne próby połączenia będą odrzucane, dopóki liczba połączeń nie spadnie poniżej 1000.
  • Wymienione w przykładach firmy, organizacje, produkty, osoby i zdarzenia są fikcyjne. Wymienionych firm, organizacji, produktów i osób nie należy kojarzyć z podobnymi podmiotami występującymi w świecie rzeczywistym.
Znaczniki :


Page view tracker