Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...

Приложение В. Создание тестовой лаборатории VPN

Текущий рейтинг: 5 (проголосовало 2)
 Посетителей: 2055 | Просмотров: 2684 (сегодня 0)  Шрифт: - +
Club logo

Данный раздел содержит подробную информацию о том, как при помощи пяти компьютеров создать тестовую лабораторию, при помощи которой можно настроить и протестировать функции виртуальной частной сети (VPN) Windows 2000. Данные инструкции разработаны таким образом, чтобы провести Вас через ряд заданий, позволяющих Вам ознакомиться с VPN-соединениями и их функциональными возможностями. Помимо рассмотрения этого набора задач, инструкции позволяют создать действующую конфигурацию VPN. Также Вы можете использовать данную конфигурацию для экспериментов с параметрами и функциональными возможностями VPN перед развертыванием сети на Вашем предприятии.

На этой странице

  Настройка инфраструктуры сети тестовой лаборатории VPN
  Задачи тестовой лаборатории VPN

Настройка инфраструктуры сети тестовой лаборатории VPN

Инфраструктура сети тестовой лаборатории VPN состоит из пяти компьютеров, на которых запущены следующие службы:

Компьютер под управлением Windows 2000, выполняющий функции контроллера домена, DNS-сервера и центра сертификации (ЦС). Имя данного компьютера – DC1.
Компьютер под управлением Windows 2000, выполняющий функции RADIUS-сервера. Имя данного компьютера – IAS1.
Компьютер под управлением Windows 2000, выполняющий функции веб-сервера и файлового сервера. Имя данного компьютера – IIS1.
Компьютер под управлением Windows 2000, выполняющий функции VPN-сервера. Имя данного компьютера – VPN1. На компьютере VPN1 должно быть установлено два сетевых адаптера.
Компьютер под управлением Windows 2000, выполняющий функции VPN-клиента. Имя данного компьютера – CLIENT1.

На рисунке 7 показана конфигурация тестовой лаборатории VPN. 

Рисунок 7 – конфигурация тестовой лаборатории VPN

Имеется сегмент сети, представляющий собой интрасеть предприятия, и другой сегмент сети, представляющий собой Интернет. Все компьютеры в интрасети предприятия подключены к обычному концентратору или коммутатору второго уровня. Все компьютеры в Интернете подключены к отдельному общему концентратору или коммутатору второго уровня. В конфигурации тестовой лаборатории используются адреса частной сети. Частная сеть с адресами 172.16.0.0/24 используется в качестве интрасети. Частная сеть с адресами 10.0.0.0/24 используется для имитации Интернета.

На каждом компьютере вручную настроены соответствующие IP-адрес, маска подсети и IP-адрес DNS-сервера. Протокол DHCP (Dynamic Host Configuration Protocol) и серверы WINS (Windows Internet Name Service) не используются.

Ниже описана настройка каждого компьютера тестовой лаборатории. Чтобы воспроизвести конфигурацию тестовой лаборатории, настройте компьютеры в указанном порядке.

Примечание. Ниже приведены инструкции по настройке тестовой лаборатории с использованием минимального числа компьютеров. Использование отдельных компьютеров необходимо, чтобы отделить службы, предоставляемые сетью, и позволить протестировать только необходимые функциональные возможности. Данную конфигурацию не следует рассматривать как рекомендуемую, она также не предназначена для использования в рабочих сетях. Эта конфигурация, включая IP-адреса и все прочие параметры, предназначена только для использования в изолированной тестовой сети.

Компьютер DC1 
DC1 — это компьютер под управлением Windows 2000, выполняющий следующие функции:

Контроллера домена testlab.microsoft.com.
DNS-сервера домена testlab.microsoft.com.
Корневого центра сертификации (ЦС) предприятия домена testlab.microsoft.com.

Чтобы настроить компьютер DC1 для выполнения этих функций, выполните следующие шаги:

1. Установите операционную систему Windows 2000 в качестве изолированного сервера.
2. В настройках протокола TCP/IP укажите IP-адрес 172.16.0.1 и маску подсети 255.255.255.0.
3. Запустите мастер DCPromo для создания нового домена testlab.microsoft.com в новом лесу. Когда будет выведено соответствующее приглашение, установите службу DNS.
4. Установите компонент Службы сертификации (Certificate Services) в качестве корневого центра сертификации предприятия.
5. Настройте домен testlab.microsoft.com для автоматической подачи заявок на сертификаты компьютеров.

Компьютер IAS1 
IAS1 — это компьютер под управлением Windows 2000, работающий в качестве RADIUS-сервера и выполняющий проверку подлинности, авторизацию и учет для компьютера VPN1 (VPN-сервера).

Чтобы настроить компьютер IAS1 в качестве RADIUS-сервера, выполните следующие действия:

1. На компьютере DC1 добавьте учетную запись компьютера IAS1.
2. Установите ОС Windows 2000 в качестве изолированного сервера.
3. В настройках протокола TCP/IP укажите IP-адрес 172.16.0.2, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1.
4. Присоедините компьютер IAS1 к домену testlab.microsoft.com.
5. Установите службу IAS (Internet Authentication Service).

Компьютер IIS1 
IIS1 — это компьютер под управлением Windows 2000, на котором работают службы IIS (Internet Information Services). Он предоставляет услуги веб-сервера клиентам интрасети. Чтобы настроить компьютер IIS1 в качестве веб-сервера, выполните следующие действия:

1. На компьютере DC1 добавьте учетную запись компьютера IIS1.
2. Установите ОС Windows 2000 в качестве изолированного сервера.
3. В настройках протокола TCP/IP укажите IP-адрес 172.16.0.3, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1.
4. Присоедините компьютер IIS1 к домену testlab.microsoft.com.
5. Установите службы IIS (Internet Information Service).
6. Чтобы определить, правильно ли работает веб-сервер, запустите на компьютере IAS1 обозреватель Internet Explorer. Когда в мастере подключения к Интернету (Internet Connection wizard) будет выведено соответствующее приглашение, настройте подключение по локальной сети. В строке Адрес (Address) обозревателя введите: http://IIS1.testlab.microsoft.com/win2000.gif. Должен быть отображен логотип Windows 2000.
7. На компьютере IIS1 в проводнике Windows откройте общий доступ к корневой папке на диске Локальный диск (C:) для группы Все (Everyone) с полным доступом, задав сетевое имя ROOT.

Компьютер VPN1 
VPN1 — это компьютер под управлением Windows 2000, предоставляющий услуги VPN-сервера для VPN-клиентов сети Интернет. Чтобы настроить компьютер VPN1 в качестве VPN-сервера, выполните следующие действия:

1. На компьютере DC1 добавьте учетную запись компьютера VPN1.
2. Установите ОС Windows 2000 в качестве изолированного сервера.
3. Для локального подключения к интрасети задайте в конфигурации протокола TCP/IP IP-адрес 172.16.0.4, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1.
4. Для локального подключения к Интернету задайте в конфигурации протокола TCP/IP IP-адрес 10.0.0.2 и маску подсети 255.255.255.0.
5. Присоедините компьютер VPN1 к домену testlab.microsoft.com.
6. Настройте и включите службу маршрутизации и удаленного доступа (Routing and Remote Access service). В мастере установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) выберите в списке стандартных конфигураций значение Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server). Когда будет предложено выбрать метод назначения IP-адреса, выберите значение Из заданного диапазона адресов (From a specified range of addresses) и задайте диапазон адресов от 172.16.0.248 до 172.16.0.255. Не настраивайте проверку подлинности RADIUS.

Компьютер CLIENT1 
CLIENT1 — это компьютер под управлением Windows XP 2000, работающий в качестве VPN-клиента и получающий удаленный доступ к ресурсам интрасети через искусственно смоделированный Интернет. Чтобы настроить CLIENT1 в качестве VPN-клиента, выполните следующие шаги:

1. На компьютере DC1 добавьте учетную запись компьютера CLIENT1.
2. Подключите компьютер CLIENT1 к сегменту интрасети.
3. Установите на компьютер CLIENT1 ОС Windows 2000 в режиме рабочей группы.
4. В настройках протокола TCP/IP укажите IP-адрес 172.16.0.5, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1.
5. Присоедините компьютер CLIENT1 к домену testlab.microsoft.com.
6. В настройках протокола TCP/IP укажите IP-адрес 10.0.0.1, маску подсети 255.255.255.0 и не задавайте IP-адрес DNS-сервера.
7. Выключите компьютер CLIENT1.
8. Отключите компьютер CLIENT1 от сегмента интрасети и подключите его к сегменту сети, выступающему в роли Интернета.
9. Включите компьютер CLIENT1 и войдите в систему с сохраненными учетными данными учетной записи администратора домена testlab.microsoft.com.

Наверх страницы

Задачи тестовой лаборатории VPN

Следующие задачи разработаны для ознакомления с самыми распространенными элементами VPN удаленного доступа в ОС Windows 2000.

Удаленный доступ на основе протокола PPTP.
Удаленный доступ на основе протокола L2TP.
Проверка подлинности и учет RADIUS.
Политики удаленного доступа для различных типов VPN-подключений.

Удаленный доступ на основе протокола PPTP 
Чтобы создать VPN-подключение удаленного доступа на основе протокола PPTP между компьютерами CLIENT1 и VPN1 и протестировать доступность ресурсов интрасети, выполните действия, которые будут описаны ниже.

Создайте учетную запись пользователя 
На компьютере DC1 с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) создайте учетную запись пользователя PPTPUser и введите пароль. Откройте свойства учетной записи пользователя, перейдите на вкладку Входящие звонки (Dial-in) и установите разрешение на удаленный доступ – Разрешить доступ (Allow access).

Создайте PPTP-подключение

1. На компьютере CLIENT1 с помощью мастера новых подключений (Make New Connection Wizard) создайте новое подключение на основе протокола PPTP с именем PPTPtoCorpnet и IP-адресом 10.0.0.2.
2. Щелкните правой кнопкой мыши по подключению PPTPtoCorpnet и выберите в контекстном меню команду Свойства (Properties).
3. Перейдите на вкладку Сеть (Networking). В группе Тип вызываемого сервера VPN (Type of VPN) выберите значение Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol).
4. Нажмите кнопку ОК чтобы сохранить изменения свойств подключения PPTPtoCorpnet.

Установите PPTP-подключение

1. На компьютере CLIENT1 дважды щелкните по подключению PPTPtoCorpnet.
2. В приглашении для ввода учетных данных подключения PPTPtoCorpnet введите имя пользователя: PPTPUser@testlab.microsoft.com, пароль и установите флажок Сохранить пароль (Save this user name and password to use when).
3. Нажмите кнопку Подключение (Connect).

Обратитесь к веб-серверу и к общим файлам в интрасети

1. На компьютере CLIENT1 запустите обозреватель Internet Explorer.
2. Когда в мастере подключения к Интернету будет выведено соответствующее приглашение, настройте подключение по локальной сети.
3. В обозревателе введите в строке адреса: http://IIS1.testlab.microsoft.com/win2000.gif. Должен отобразиться логотип Windows 2000.
4. На компьютере CLIENT1 нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите \\IIS1\ROOT и нажмите кнопку OK. Должно отобразиться содержимое локального диска C: на компьютере IIS1.

Отключите PPTP-подключение 
На компьютере CLIENT1 щелкните правой кнопкой мыши по подключению PPTPtoCorpnet и выберите команду Отключить (Disconnect).

Удаленный доступ на основе протокола L2TP  
Чтобы создать VPN-подключение удаленного доступа на основе протокола L2TP между компьютерами CLIENT1 и VPN1 и протестировать доступность ресурсов интрасети, выполните действия, которые будут описаны ниже.

Создайте учетную запись пользователя 
На компьютере DC1 с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) создайте учетную запись пользователя L2TPUser и введите пароль. Откройте свойства учетной записи пользователя, перейдите на вкладку Входящие звонки (Dial-in) и установите разрешение на удаленный доступ – Разрешить доступ (Allow access).

Создайте L2TP-подключение

1. На компьютере CLIENT1 с помощью мастера новых подключений создайте новое подключение на основе протокола L2TP с именем L2TPtoCorpnet и IP-адресом VPN-сервера – 10.0.0.2.
2. Щелкните правой кнопкой мыши по подключение L2TPtoCorpnet и выберите в контекстном меню команду Свойства (Properties).
3. Перейдите на вкладку Сеть (Networking). В группе Тип вызываемого сервера VPN (Type of VPN) выберите значение Туннельный протокол уровня 2 (L2TP) (Layer 2 Tunneling Protocol).
4. Нажмите кнопку ОК, чтобы сохранить изменения свойств подключения L2TPtoCorpnet.

Установите L2TP-подключение

1. На компьютере CLIENT1 дважды щелкните по подключению L2TPtoCorpnet.
2. В приглашении для ввода учетных данных подключения L2TPtoCorpnet введите имя пользователя: L2TPUser@testlab.microsoft.com, пароль и установите флажок Сохранить пароль (Save this user name and password to use when).
3. Нажмите кнопку Подключение (Connect).

Обратитесь к веб-серверу и к общим файлам в интрасети

1. На компьютере CLIENT1 запустите обозреватель Internet Explorer.
2. В обозревателе введите в строке адреса: http://IIS1.testlab.microsoft.com/win2000.gif. Должен отобразиться логотип Windows 2000.
3. На компьютере CLIENT1 нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите \\IIS1\ROOT и нажмите кнопку OK. Должно отобразиться содержимое локального диска C: на компьютере IIS1.

Отключите L2TP-подключение 
На компьютере CLIENT1 щелкните правой кнопкой мыши по подключению L2TPtoCorpnet и выберите команду Отключить (Disconnect).

Проверка подлинности и учет RADIUS 
Чтобы настроить проверку подлинности и учет RADIUS для VPN-подключений, выполните действия, которые будут описаны ниже.

На компьютере IAS1 добавьте компьютер VPN1 в качестве клиента RADIUS 
На компьютере IAS1 добавьте компьютер VPN1 в качестве клиента RADIUS с IP-адресом 172.16.0.4 и задайте общий секрет. Чтобы добавить клиента RADIUS, откройте оснастку Служба проверки подлинности в Интернете (Internet Authentication Service), щелкните правой кнопкой мыши по папке Клиенты (Clients) и выберите команду Новый клиент (New Client).

Настройте компьютер IAS1 для ведения журнала событий проверки подлинности 
На компьютере IAS1 включите ведение журнала учета и проверки подлинности. Для этого откройте оснастку Служба проверки подлинности в Интернете (Internet Authentication Service), перейдите в папку Ведение журнала удаленного доступа (Remote Access Logging), откройте свойства объекта Локальный файл (Local File) и выберите вкладку Параметры (Settings).

На компьютере VPN1 добавьте компьютер IAS1 в качестве RADIUS-сервера 
На компьютере VPN1 добавьте компьютер IAS1 в качестве RADIUS-сервера для проверки подлинности и учета с IP-адресом 172.16.0.2 и задайте общий секрет. Чтобы настроить службу маршрутизации и удаленного доступа для использования протокола RADIUS, откройте свойства VPN-сервера и перейдите на вкладку Безопасность (Security). Чтобы использовать для учета протокол RADIUS, задайте в качестве службы учета значение RADIUS – учет (RADIUS accounting). Нажмите кнопку Настроить… (Configure) чтобы добавить компьютер IAS1 в качестве RADIUS-сервера.

Установите PPTP- и L2TP-подключения

1. На компьютере CLIENT1 установите PPTP-подключение к компьютеру VPN1 с помощью подключения PPTPtoCorpnet.
2. Разъедините PPTP-подключение.
3. На компьютере CLIENT1 установите L2TP-подключение к компьютеру VPN1 с помощью подключения L2TPtoCorpnet.
4. Отключите L2TP-подключение.

Проверьте наличие событий RADIUS в журнале системных событий 
На компьютере IAS1 с помощью средства просмотра событий просмотрите в системном журнале события службы IAS для PPTP- и L2TP-подключений, созданных ранее с помощью компьютера CLIENT1.

Просмотрите журналы проверки подлинности и учета RADIUS 
На компьютере IAS1 с помощью проводника Windows откройте файл %SystemRoot%\System32\Logfiles\Iaslog.log. Просмотрите записи о проверке подлинности и учете для PPTP- и L2TP-подключений, созданных с помощью компьютера CLIENT1.

Политики удаленного доступа для различных VPN-подключений 
Чтобы создать отдельные политики удаленного доступа для PPTP- и L2TP-подключений, выполните действия, которые будут описаны ниже.

Создайте отдельные политики удаленного доступа для PPTP- и L2TP-подключений

1. На компьютере IAS1 создайте новую политику удаленного доступа со следующими свойствами:

Имя политики: PPTP-подключения

Условия:

     Для атрибута NAS-Port-Type указано значение Virtual (VPN)

     Для атрибута Tunnel-Type указано значение Point-to-Point Tunneling Protocol (PPTP)

Разрешение: Предоставить право удаленного доступа

Настройки профиля, вкладка IP

     Фильтр пакетов – От клиента…

         Действие фильтра: Запретить весь трафик, кроме перечисленных ниже

          Сеть назначения, IP-адрес: 172.16.0.1

          Сеть назначения, маска подсети: 255.255.255.255

          Протокол: Любой (Any)

     Фильтр пакетов – К клиенту…

          Действие фильтра: Запретить весь трафик, кроме перечисленных ниже

          Исходная сеть, IP-адрес: 172.16.0.1

          Сеть назначения, маска подсети: 255.255.255.255

          Протокол: Любой

2. Создайте новую пользовательскую политику удаленного доступа со следующими свойствами:

Имя политики: L2TP-подключения

Условия:

     Для атрибута NAS-Port-Type указано значение Virtual (VPN)

     Для атрибута Tunnel-Type указано значение Layer Two Tunneling Protocol (L2TP)

Разрешение: Предоставить право удаленного доступа

Настройки профиля, вкладка IP

     Фильтр пакетов – От клиента…

          Действие фильтра: Запретить весь трафик, кроме перечисленных ниже

          Сеть назначения, IP-адрес: 172.16.0.2

          Сеть назначения, маска подсети: 255.255.255.255

          Протокол: Любой

     Фильтр пакетов – К клиенту…

          Действие фильтра: Запретить весь трафик, кроме перечисленных ниже

          Исходная сеть, IP-адрес: 172.16.0.2

          Сеть назначения, маска подсети: 255.255.255.255

          Протокол: Любой

Установите PPTP-подключение и проверьте связь

1. На компьютере CLIENT1 установите VPN-подключение к компьютеру VPN1 с помощью подключения PPTPtoCorpnet.
2. С помощью команды ping проверьте связь с компьютером DC1 (IP-адрес 172.16.0.1).
3. С помощью команды ping проверьте связь с компьютером IAS1 (IP-адрес 172.16.0.2). Эта команда не может быть выполнена успешно, поскольку фильтрация пакетов для всех подключений, соответствующих политике PPTP-подключения, пропускает только трафик, отправляемый на IP-адрес 172.16.0.1 или с этого адреса.
4. Разъедините подключение PPTPtoCorpnet.

Установите L2TP-подключение и проверьте связь

1. На компьютере CLIENT1 установите VPN-подключение к компьютеру VPN1 с помощью подключения L2TPtoCorpnet.
2. С помощью команды ping проверьте связь с компьютером IAS1 (IP-адрес 172.16.0.2).
3. С помощью команды ping проверьте связь с компьютером DC1 (IP-адрес 172.16.0.1). Эта команда не может быть выполнена успешно, поскольку фильтрация пакетов для всех подключений, соответствующих политике L2TP-подключения, пропускает только трафик, отправляемых на IP-адрес 172.16.0.2 или с этого адреса.
4. Отключите подключение L2TPtoCorpnet.

Проверьте наличие событий IAS в системном журнале событий 
На компьютере IAS1 с помощью средства просмотра событий просмотрите в системном журнале события службы IAS для PPTP- и L2TP-подключений, созданных с помощью компьютера CLIENT1. Обратите внимание на то, что текст сообщения о событии проверки подлинности содержит имя политики удаленного доступа, согласно которой подключение было принято.

 

Наверх страницы
Автор: (переведено с англ.) Microsoft Technet  •  Иcточник: Артем Васьков aka Fanzuga  •  Опубликована: 03.09.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.