Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Другое Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» на основе протокола L2TP RSS

Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» на основе протокола L2TP

Текущий рейтинг: 5 (проголосовало 1)
 Посетителей: 5210 | Просмотров: 8088 (сегодня 0)  Шрифт: - +
Club logo

На этой странице

  Развертывание инфраструктуры сертификата
  Развертывание Интернет-инфраструктуры
  Настройка отвечающего маршрутизатора
  Настройка вызывающего маршрутизатора
  Развертывание инфраструктуры служб проверки подлинности, авторизации и учета
  Развертывание сетевой инфраструктуры сайта
  Развертывание межсайтовой сетевой инфраструктуры

Развертывание виртуальных частных сетей «маршрутизатор-маршрутизатор» Windows 2000 на основе протокола L2TP включает в себя:

Развертывание инфраструктуры сертификата
Развертывание Интернет-инфраструктуры
Настройку отвечающего маршрутизатора
Настройку вызывающего маршрутизатора
Развертывание инфраструктуры служб проверки подлинности, авторизации и учета
Развертывание сетевой инфраструктуры сайта
Развертывание межсайтовой сетевой инфраструктуры

Развертывание инфраструктуры сертификата

Для VPN-подключений на основе L2TP необходима инфраструктура сертификата, которая выпускает сертификаты, использующиеся при проверке подлинности IPSec. Также инфраструктура сертификата необходима, если используется проверка подлинности EAP-TLS.

Установка сертификатов для L2TP-подключений

Для установки сертификата компьютера необходимо наличие центра сертификации, который выдает сертификаты. Если этим центром является центр сертификации Windows 2000, Вы можете установить сертификат в хранилище компьютера VPN-сервера одним из следующих способов:

1. Настроить автоматическое размещение сертификатов компьютеров на компьютерах домена Windows 2000. Этот метод позволяет централизованно произвести конфигурацию для всего домена. Все компьютеры домена автоматически получают сертификат компьютера через групповую политику.
2. Использовать оснастку Диспетчер сертификатов (Certificate Manager) для запроса сертификата, который будет помещен в хранилище Личные (Personal) в группе Сертификаты (локальный компьютер) (Certificates (Local Computer)). В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью оснастки Диспетчер сертификатов (Certificate Manager) Вы должны обладать правами администратора.
3. Использовать обозреватель Internet Explorer и веб-заявки для запроса сертификата и помещения его в локальное хранилище компьютера. В этом случае каждый компьютер должен отдельно запросить сертификат компьютера у центра сертификации. Для установки сертификатов с помощью веб-заявок Вы должны обладать правами администратора.

При использовании в Вашей организации политик сертификата Вам нужно воспользоваться одним из этих методов.

Для дополнительной информации о том, как получить сертификаты компьютера, используя центр сертификации Windows 2000, обратитесь к разделам Сертификаты компьютеров для виртуальных частных подключений по протоколу L2TP поверх IPSec (Machine certificates for L2TP over IPSec VPN connections) и Отправка дополнительного запроса сертификата через Интернет (Submit an advanced certificate request via the Web) встроенной справки Windows 2000 Server.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат, экспортировать его, и затем администраторы отвечающих и вызывающих маршрутизаторов должны будут импортировать его в соответствующую папку хранилища компьютера для сертификата, используя оснастку Диспетчер сертификатов (Certificate Manager). Вам также будет необходимо экспортировать и импортировать на отвечающие и вызывающие маршрутизаторы сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС.

Установка сертификатов для проверки подлинности EAP-TLS

Для использования проверки подлинности EAP-TLS для VPN-подключений «маршрутизатор-маршрутизатор» Вам необходимо:

Установить на каждом компьютере вызывающего маршрутизатора сертификат пользователя.
Настроить протокол EAP-TLS на вызывающем маршрутизаторе.
Установить сертификат компьютера на сервере, выполняющем проверку подлинности (отвечающий маршрутизатор или RADIUS-сервер).
Настроить протокол EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа.

Установка сертификата пользователя на вызывающий маршрутизатор

При использовании центра сертификации Windows 2000, создается сертификат маршрутизатора (автономный запрос – специальный тип сертификата пользователя для подключений по требованию) и сопоставляется учетной записи пользователя Active Directory. Для развертывания сертификатов маршрутизатора для вызывающего маршрутизатора сетевой администратор должен сделать следующее:

1. Настроить центр сертификации Windows 2000 для выпуска сертификатов маршрутизатора.
2. Запросить сертификат маршрутизатора.
3. Экспортировать сертификат маршрутизатора.
4. Сопоставить сертификат учетной записи пользователя.
5. Отправить сертификат маршрутизатора сетевому администратору вызывающего маршрутизатора.
6. Импортировать сертификат маршрутизатора на вызывающий маршрутизатор.

Для получения дополнительной информации по развертыванию сертификатов маршрутизатора для подключений вызова по требованию обратитесь к разделу Подключение по требованию офиса подразделения (Branch office demand-dial connection) встроенной справки Windows 2000 Server.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат пользователя с целью «Проверка подлинности клиента» («Client Authentication») (идентификатор объекта для цели «1.3.6.1.5.5.7.3.2»), экспортировать его, сопоставить учетной записи пользователя Active Directory и затем отослать сетевому администратору вызывающего маршрутизатора. Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата отвечающего маршрутизатора, используя оснастку Диспетчер сертификатов (Certificate Manager).

Настройка протокола EAP-TLS на вызывающем маршрутизаторе

Для настройки протокола EAP-TLS на вызывающем маршрутизаторе:

Откройте свойства интерфейса вызова по требованию и перейдите на вкладку Безопасность (Security)
Установите переключатель в положение Дополнительные (особые параметры) (Advanced (custom settings))
Нажмите кнопку Настройка (Settins) и установите переключатель в положение Протокол расширенной проверки подлинности (EAP) (Use Extensible Authentication Protocol (EAP))
Выберите значение Смарт-карта или иной сертификат (шифрование включено) (Smart Card or other Certificate (encryption enabled))
Нажмите кнопку Свойства (Properties) и установите переключатель в положение Использовать сертификат на этом компьютере (Use a certificate on this computer)
Если Вы хотите проверять сертификат компьютера VPN-сервера или IAS-сервера, установите флажок Проверять сертификат сервера (Validate server certificate)
Если Вы хотите удостовериться, что DNS-имя сервера оканчивается определенным набором символов, установите флажок Подключаться только если имя сервера заканчивается на (Connect only if server name ends with), и введите окончание имени
Чтобы принимать от сервера только сертификат компьютера, выпущенный определенным доверенным корневым ЦС, выберите нужный ЦС в списке Доверенный корневой центр сертификации (Trusted root certificate authority)
Закройте все диалоговые окна.
Правой кнопкой мыши нажмите на названии интерфейса вызова по требованию и в контекстном меню выберите Установить учетные данные (Set Credentials). В списке Имя пользователя на сертификате (User name on certificate) выберите подходящий сертификат пользователя или маршрутизатора и нажмите кнопку OK.

Установка сертификата компьютера на сервере, выполняющем проверку подлинности

Если сервер, выполняющий проверку подлинности, является отвечающим маршрутизатором, то Вы можете использовать уже установленный сертификат компьютера, с помощью которого проверяется подлинность L2TP-подключений на основе EAP-TLS, при условии, что он содержит цель «Проверка подлинности сервера» («Server Authentication») (идентификатор объекта для цели «1.3.6.1.5.5.7.3.1»). Если это не так, Вы должны установить дополнительный сертификат компьютера, содержащий цель «Проверка подлинности сервера» («Server Authentication»). Если сервер, выполняющий проверку подлинности, является IAS-сервером, Вы должны установить сертификат компьютера, содержащий цель «Проверка подлинности сервера» («Server Authentication»).

Если центром сертификации, который выдает сертификаты, является центр сертификации Windows 2000, а сервер, выполняющий проверку подлинности, является отвечающим маршрутизатором или RADIUS-сервером службы IAS, Вы можете установить сертификат в хранилище компьютера этого сервера одним из способов, описанных в разделе Установка сертификатов для L2TP-подключений этого документа.

Если Вы работаете со сторонним центром сертификации, обратитесь к документации по использованию программного обеспечения этого центра. Вам будет необходимо создать сертификат с целью «Проверка подлинности сервера» («Server Authentication») (идентификатор объекта для цели «1.3.6.1.5.5.7.3.1»), экспортировать его и отослать сетевому администратору отвечающего маршрутизатора, который должен будет импортировать этот сертификат с помощью оснастки Диспетчер сертификатов (Certificate Manager). Вам также будет необходимо экспортировать сертификат корневого ЦС, сертификат издающего ЦС и сертификаты всех промежуточных ЦС и затем импортировать их в соответствующую папку хранилища компьютера для сертификата вызывающего маршрутизатора.

Настройка протокола EAP-TLS на отвечающем маршрутизаторе и в политике удаленного доступа

Для настройки проверки подлинности EAP-TLS на отвечающем маршрутизаторе необходимо:

Открыть оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), в свойствах отвечающего маршрутизатора перейти на вкладку Безопасность (Security) и в диалоговом окне Методы проверки подлинности (Authentication Methods) выбрать протокол EAP в качестве метода проверки подлинности.

Для настройки проверки подлинности EAP-TLS в политике удаленного доступа, либо на отвечающем маршрутизаторе или IAS-сервере:

В политике удаленного доступа, использующейся для VPN-подключений «маршрутизатор-маршрутизатор», необходимо открыть параметры профиля, перейти на вкладку Проверка подлинности (Authentication) и выбрать протокол EAP в качестве метода проверки подлинности. Если компьютер, на котором настраивается политика удаленного доступа, имеет несколько установленных сертификатов, Вам нужно задать параметры для типа протокола Смарт-карта или иной сертификат (Smart Card or other certificate), выбрав нужный сертификат компьютера для отправки во время процесса проверки подлинности EAP-TLS.

Если Вы работаете со сторонним RADIUS-сервером, обратитесь к документации разработчика для получения информации о том, как задействовать EAP-TLS и использовать соответствующий сертификат компьютера.

Наверх страницы

Развертывание Интернет-инфраструктуры

Развертывание Интернет-инфраструктуры для VPN-подключений «маршрутизатор-маршрутизатор» включает в себя:

Подключение VPN-маршрутизаторов к сети периметра или к Интернету.
Установку операционной системы Windows 2000 Server на компьютеры VPN-маршрутизаторов и настройку интерфейсов подключения к Интернету.

Подключение VPN-маршрутизаторов к сети периметра или Интернету

Определитесь с тем, где Вы будете размещать VPN-маршрутизаторы по отношению к брандмауэру Интернета. В наиболее распространенной конфигурации VPN-маршрутизаторы размещаются за брандмауэром, в сети периметра между Вашим сайтом и Интернетом. Если Вы используете эту конфигурацию, настройте фильтры пакетов на брандмауэре, чтобы разрешить передачу PPTP-трафика в обоих направлениях для интерфейсов сети периметра VPN-маршрутизаторов. Для дополнительной информации обратитесь к Приложению А.

Установка операционной системы Windows 2000 Server на компьютеры VPN-маршрутизаторов и настройка интерфейсов подключения к Интернету

Установите операционную систему Windows 2000 Server на компьютеры VPN-маршрутизаторов и подключите один из сетевых адаптеров каждого маршрутизатора к Интернету или сети периметра, а другой – ко внутренней сети. Для того, чтобы VPN-сервер мог пересылать IP-пакеты между Интернетом и узлами сайта, необходимо запустить мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard). Для интерфейса подключения к Интернету или интерфейса сети периметра задайте параметры протокола TCP/IP, указав публичный IP-адрес, маску подсети и основной шлюз (IP-адрес брандмауэра в случае подключения к сети периметра или IP-адрес маршрутизатора поставщика услуг Интернета в случае прямого подключения к Интернету). Не указывайте IP-адреса серверов DNS или WINS.

Наверх страницы

Настройка отвечающего маршрутизатора

Настройка отвечающего маршрутизатора включает в себя:

Настройку подключения отвечающего маршрутизатора ко внутренней сети.
Запуск мастера установки сервера маршрутизации и удаленного доступа.
Настройку интерфейса вызова по требованию.

Настройка подключения отвечающего маршрутизатора ко внутренней сети

Задайте параметры протокола TCP/IP подключения ко внутренней сети, вручную указав IP-адрес, маску подсети, адреса DNS- и WINS-серверов сайта. Обратите внимание на то, что указывать основной шлюз для внутреннего подключения нельзя, в противном случае возникнут конфликты, связанные с маршрутом по умолчанию, обеспечивающим выход в Интернет.

Запуск мастера установки сервера маршрутизации и удаленного доступа

Для настройки отвечающего маршрутизатора Windows 2000 запустите мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard), выполнив следующие шаги:

1. Нажмите кнопку Пуск (Start), в меню Программы (Programs) выберите Администрирование (Administrative Tools) и откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access).
2. Правой кнопкой мыши щелкните на имени сервера и в контекстном меню выберите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).
3. В окне Общие параметры (Common Configurations) выберите конфигурацию Сервер виртуальной частной сети (VPN) (Virtual Private Network (VPN) server) и нажмите кнопку Далее (Next). Если Вы хотите использовать компьютер отвечающего маршрутизатора в качестве транслятора сетевых адресов, веб-сервера или запускать на нем другие службы, обратитесь к Приложению Б.
4. Убедитесь, что в окне Протоколы удаленных клиентов (Remote Client Protocols) перечислены все необходимые протоколы для работы с VPN-подключениями «маршрутизатор-маршрутизатор». По умолчанию перечислены все протоколы, которые могут использоваться с VPN-подключениями. Нажмите кнопку Далее (Next).
5. В окне Подключение к Интернету (Internet Connection) выберите подключение, соответствующее интерфейсу, который подключен к Интернету или к сети периметра, и нажмите кнопку Далее (Next).
6. В окне Назначение IP-адресов (IP Address Assignment) выберите способ назначения IP-адресов удаленным клиентам. Если для назначения адресов используется DHCP-сервер, выберите значение Автоматически  (Automatic). Для того, чтобы вручную задать один или несколько диапазонов статических IP-адресов, выберите значение Из заданного диапазона адресов (From a specified range of addresses). Если хотя бы один из диапазонов статических IP-адресов является диапазоном адресов, не принадлежащим подсети (off-subnet address range), в инфраструктуру маршрутизации необходимо добавить маршруты, обеспечивающие доступность виртуальных интерфейсов вызывающих маршрутизаторов. После завершения выбора способа назначения IP-адресов нажмите кнопку Далее (Next).
7. Если Вы хотите использовать RADIUS-сервер для проверки подлинности и авторизации, в окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers) выберите значение Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server). Нажмите кнопку Далее (Next).

• В окне Выбор RADIUS-сервера (RADIUS Server Selection) укажите основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и введите общий секрет. Нажмите кнопку Далее (Next)

8. Нажмите кнопку Готово (Finish).
9. Запустите службу маршрутизации и удаленного доступа после того, как Вам будет предложено сделать это.

По умолчанию создается 128 L2TP -портов (устройства Минипорт WAN (L2TP)). Если Вам требуется большее количество L2TP -портов, откройте свойства элемента Порты (Ports) в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) и укажите необходимое количество  устройств Минипорт WAN (L2TP).

По умолчанию включены только протоколы проверки подлинности MS-CHAP и MS-CHAP v2. Если для проверки подлинности используются сертификаты пользователей, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте свойства VPN-севера, перейдите на вкладку Безопасность (Security), нажмите кнопку Проверка подлинности (Authentication Methods) и установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol (EAP)).

Настройка интерфейса вызова по требованию

На отвечающем маршрутизаторе откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) и выполните следующие шаги:

1. В дереве консоли щелкните правой кнопкой мыши на элементе Интерфейсы маршрутизации (Routing Interfaces) и выберите команду Создать новый интерфейс вызова по требованию (New Demand-dial Interface).
2. В диалоговом окне приветствия нажмите кнопку Далее (Next).
3. В окне Выбор интерфейса (Interface Name) введите имя интерфейса вызова по требованию и нажмите кнопку Далее (Next).
4. В окне Тип подключения (Connection Type) выберите значение Подключаться c использованием виртуальной частной сети (VPN) (Connect using virtual private networking (VPN)) и нажмите кнопку Далее (Next).
5. В окне Тип сети VPN (VPN Type) выберите значение Туннельный протокол второго уровня (L2TP) (Layer 2 Tunneling Protocol (L2TP)) и нажмите кнопку Далее (Next).
6. В окне Адрес назначения (Destination Address) введите IP-адрес вызывающего маршрутизатора.

Для двусторонне инициируемых VPN-подключений «маршрутизатор-маршрутизатор» введите IP-адрес вызывающего маршрутизатора. Для односторонне инициируемых подключений этот шаг можно пропустить, поскольку в этом случае отвечающий маршрутизатор не использует этот интерфейс для инициирования подключения к вызывающему маршрутизатору.

7. В окне Протоколы и безопасность (Protocols and Security) установите флажки Перенаправлять пакеты IP на этот интерфейс (Route IP packets on this interface), Перенаправлять пакеты IPX на этот интерфейс (Route IPX packets on this interface) (если требуется) и Дoбaвить учетную запись для входящих звонков удаленного маршрутизатора (Add a user account so that a remote router can dial in). Нажмите кнопку Далее (Next).
8. В окне Учетные данные входящего подключения (Dial In Credentials) введите пароль учетной записи, используемой вызывающим маршрутизатором, и подтвердите его. Нажмите кнопку Далее (Next). На этом шаге автоматически создается учетная запись пользователя, имя которой совпадает с именем создаваемого интерфейса вызова по требованию. Когда вызывающий маршрутизатор инициирует подключение к отвечающему маршрутизатору, он использует имя учетной записи пользователя, которое совпадает с именем интерфейса вызова по требованию. Таким образом отвечающий маршрутизатор определяет, что входящее подключение является подключением по требованию, а не подключением удаленного доступа.
9. В окне Учетные данные исходящего подключения (Dial Out Credentials) введите имя пользователя, имя домена учетной записи пользователя и пароль и подтверждение пароля учетной записи.

Для двусторонне инициируемых VPN-подключений «маршрутизатор-маршрутизатор» введите имя пользователя, имя домена и пароль, если VPN-сервер выступает в роли вызывающего маршрутизатора. Для односторонне инициируемых подключений можно ввести любое имя в поле Имя пользователя (User name) и не заполнять остальные поля, поскольку в этом случае отвечающий маршрутизатор не использует этот интерфейс для инициирования подключения к вызывающему маршрутизатору

10. В окне завершения работы мастера нажмите кнопку Готово (Finish).

В результате выполненных действий Вы получите: настроенный интерфейс вызова по требованию на основе L2TP, через который осуществляется IP-маршрутизация; автоматически добавленную учетную запись с установленными параметрами свойств входящих вызовов и учетными параметрами, имя которой совпадает с именем интерфейса вызова по требованию.

Наверх страницы

Настройка вызывающего маршрутизатора

Настройка вызывающего маршрутизатора включает в себя:

Настройку подключения вызывающего маршрутизатора ко внутренней сети.
Запуск мастера установки сервера маршрутизации и удаленного доступа.
Настройку интерфейса вызова по требованию.

Настройка подключения вызывающего маршрутизатора ко внутренней сети

Задайте параметры протокола TCP/IP внутреннего подключения, вручную указав IP-адрес, маску подсети, адреса DNS- и WINS-серверов сайта. Обратите внимание на то, что указывать основной шлюз для внутреннего подключения нельзя, в противном случае возникнут конфликты , связанные с маршрутом по умолчанию, обеспечивающим выход в Интернет.

Запуск мастера установки сервера маршрутизации и удаленного доступа

Для настройки вызывающего маршрутизатора Windows 2000 запустите мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard), выполнив следующие шаги:

1. Нажмите кнопку Пуск (Start), в меню Программы (Programs) выберите Администрирование (Administrative Tools) и откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access).
2. Правой кнопкой мыши щелкните на имени сервера и в контекстном меню выберите Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access).
3. В окне Общие параметры (Common Configurations) выберите конфигурацию Сервер виртуальной частной сети (VPN) (Virtual Private Network (VPN) server) и нажмите кнопку Далее (Next). Если Вы хотите использовать компьютер вызывающего маршрутизатора в качестве транслятора сетевых адресов, веб-сервера или запускать на нем другие службы, обратитесь к Приложению Б.
4. Убедитесь, что в окне Протоколы удаленных клиентов (Remote Client Protocols) перечислены все необходимые протоколы для работы с VPN-подключениями «маршрутизатор-маршрутизатор». По умолчанию перечислены все протоколы, которые могут использоваться с VPN-подключениями. Нажмите кнопку Далее (Next).
5. В окне Подключение к Интернету (Internet Connection) выберите подключение, соответствующее интерфейсу, который подключен к Интернету или к сети периметра, и нажмите кнопку Далее (Next).
6. В окне Назначение IP-адресов (IP Address Assignment) выберите способ назначения IP-адресов другим вызывающим маршрутизаторам (в случае, когда VPN-сервер выступает в роли отвечающего маршрутизатора). Если для назначения адресов используется DHCP-сервер, выберите значение Автоматически  (Automatic). Для того, чтобы вручную задать один или несколько диапазонов статических IP-адресов, выберите значение Из заданного диапазона адресов (From a specified range of addresses). Если хотя бы один из диапазонов статических IP-адресов является диапазоном адресов, не принадлежащим подсети (off-subnet address range), в инфраструктуру маршрутизации необходимо добавить маршруты, обеспечивающие доступность виртуальных интерфейсов вызывающих маршрутизаторов, обращающихся к данному VPN-серверу. После завершения выбора способа назначения IP-адресов нажмите кнопку Далее (Next).
7. Если Вы хотите использовать RADIUS-сервер для проверки подлинности и авторизации, в окне Управление несколькими серверами удаленного доступа (Managing Multiple Remote Access Servers) выберите значение Да, использовать RADIUS-сервер (Yes, I want to use a RADIUS server). Нажмите кнопку Далее (Next).

• В окне Выбор RADIUS-сервера (RADIUS Server Selection) укажите основной (обязательный) и дополнительный (необязательный) RADIUS-серверы и введите общий секрет. Нажмите кнопку Далее (Next)

8. Нажмите кнопку Готово (Finish).
9. Запустите службу маршрутизации и удаленного доступа после того, как Вам будет предложено сделать это.

По умолчанию создается 128 L2TP -портов (устройства Минипорт WAN (L2TP)). Если Вам требуется большее количество L2TP -портов, откройте свойства элемента Порты (Ports) в оснастке Маршрутизация и удаленный доступ (Routing and Remote Access) и укажите необходимое количество  устройств Минипорт WAN (L2TP).

По умолчанию включены только протоколы проверки подлинности MS-CHAP и MS-CHAP v2. Если для проверки подлинности используются сертификаты пользователя, откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), откройте свойства VPN-севера, перейдите на вкладку Безопасность (Security), нажмите кнопку Проверка подлинности (Authentication Methods) и установите флажок Протокол расширенной проверки подлинности (EAP) (Extensible Authentication Protocol (EAP)).

Настройка интерфейса вызова по требованию

На вызывающем маршрутизаторе откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) и выполните следующие шаги:

1. В дереве консоли щелкните правой кнопкой мыши на элементе Интерфейсы маршрутизации (Routing Interfaces) и выберите команду Создать новый интерфейс вызова по требованию (New Demand-dial Interface).
2. В диалоговом окне приветствия нажмите кнопку Далее (Next).
3. В окне Выбор интерфейса (Interface Name) введите имя интерфейса вызова по требованию. Для двусторонне инициируемых подключений это имя совпадает с именем пользователя в учетных данных отвечающего маршрутизатора, когда он выступает в роли вызывающего маршрутизатора. Нажмите кнопку Далее (Next).
4. В окне Тип подключения (Connection Type) выберите значение Подключаться c использованием виртуальной частной сети (VPN) (Connect using virtual private networking (VPN)) и нажмите кнопку Далее (Next).
5. В окне Тип сети VPN (VPN Type) выберите значение Туннельный протокол второго уровня (L2TP) (Layer 2 Tunneling Protocol (L2TP)) и нажмите кнопку Далее (Next).
6. В окне Адрес назначения (Destination Address) введите IP-адрес отвечающего маршрутизатора.
7. В окне Протоколы и безопасность (Protocols and Security) установите флажки Перенаправлять пакеты IP на этот интерфейс (Route IP packets on this interface), Перенаправлять пакеты IPX на этот интерфейс (Route IPX packets on this interface) (если требуется). Для двусторонне инициируемых подключений установите флажок  Дoбaвить учетную запись для входящих звонков удаленного маршрутизатора (Add a user account so that a remote router can dial in). Нажмите кнопку Далее (Next).
8. Для двусторонне инициируемого подключения в окне Учетные данные входящего подключения (Dial In Credentials) введите и подтвердите пароль учетной записи, используемой отвечающим маршрутизатором, выступающим в роли вызывающего маршрутизатора. Нажмите кнопку Далее (Next). На этом шаге автоматически создается учетная запись пользователя, имя которой совпадает с именем создаваемого интерфейса вызова по требованию. Когда отвечающий маршрутизатор, выступающий в роли вызывающего маршрутизатора, инициирует подключение к данному VPN-серверу, он использует имя учетной записи пользователя, которое совпадает с именем интерфейса вызова по требованию. Таким образом данный VPN-сервер определяет, что входящее подключение является подключением по требованию, а не подключением удаленного доступа.
9. В окне Учетные данные исходящего подключения (Dial Out Credentials) введите имя пользователя, имя домена учетной записи пользователя, пароль и подтверждение пароля учетной записи.
10. В окне завершения работы мастера нажмите кнопку Готово (Finish).

В результате выполненных действий Вы получите: настроенный интерфейс вызова по требованию на основе L2TP, через который осуществляется IP-маршрутизация; автоматически добавленную учетную запись с установленными параметрами входящих вызовов и учетными параметрами, имя которой совпадает с именем интерфейса вызова по требованию.

Наверх страницы

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета

Развертывание инфраструктуры служб проверки подлинности, авторизации и учета для VPN-подключений «маршрутизатор-маршрутизатор» включает в себя:

Настройку службы каталогов Active Directory для хранения учетных записей пользователей и групп.
Настройку основного IAS-сервера на контроллере домена.
Настройку дополнительного IAS-сервера на втором контроллере домена.

Эти шаги должны выполняться для каждого сайта, содержащего отвечающий маршрутизатор. Для подразделений организаций с несколькими компьютерами и одним отвечающим маршрутизатором вместо настройки отдельного IAS-сервера будет проще  настроить службу маршрутизации и удаленного доступа на использование проверки подлинности Windows и локально настроенных политик удаленного доступа.

Настройка службы каталогов Active Directory для хранения учетных записей пользователей и групп

Для настройки службы каталогов Active Directory для хранения учетных записей пользователей и групп выполните следующие шаги:

1. Убедитесь, что все вызывающие маршрутизаторы имеют надлежащую учетную запись пользователя с правильно настроенными учетными параметрами и параметрами входящих вызовов. Это касается маршрутизаторов подразделений организации и маршрутизаторов деловых партнеров. Если в мастере интерфейса вызова по требованию Вы устанавливаете флажок Дoбaвить учетную запись для входящих звонков удаленного маршрутизатора (Add a user account so that a remote router can dial in) на вкладке Протоколы и безопасность (Protocols and Security), учетные записи пользователей с необходимыми настройками создаются автоматически.
2. Упорядочьте учетные записи пользователей, использующиеся вызывающими маршрутизаторами, поместив их в соответствующие универсальные и вложенные группы. Это позволит использовать все преимущества политик удаленного доступа, основанных на работе с группами. Для получения дополнительной информации обратитесь к разделу Вложенность групп (Nesting groups) встроенной справки Windows 2000 Server.

Настройка основного IAS-сервера на контроллере домена

Для настройки основного IAS-сервера на контроллере домена выполните следующие шаги:

1. Установите на контроллере домена службу проверки подлинности в Интернете (IAS) в качестве дополнительного компонента сетевых служб. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) встроенной справки Windows 2000 Server.
2. Настройте компьютер IAS-сервера (контроллер домена) таким образом, чтобы разрешить ему просмотр свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Paзpeшeниe пpocмoтpa oбъeктoв пoльзoвaтeлeй в Active Directory для cepвepa IAS (Enable the IAS server to read user objects in Active Directory) встроенной справки Windows 2000 Server.
3. Если IAS-сервер проверяет подлинность попыток подключения учетных записей, принадлежащих другим доменам, проверьте, что между этими доменами и доменом IAS-сервера установлены двухсторонние доверительные отношения. После этого настройте компьютер IAS-сервера таким образом, чтобы разрешить ему просмотр свойств учетных записей пользователей других доменов. Для получения дополнительной информации обратитесь к разделу Paзpeшeниe пpocмoтpa oбъeктoв пoльзoвaтeлeй в Active Directory для cepвepa IAS (Enable the IAS server to read user objects in Active Directory) встроенной справки Windows 2000 Server. Для получения дополнительной информации по установке доверительных отношений обратитесь к разделу Использование доверительных отношений доменов (Understanding domain trusts) встроенной справки Windows 2000 Server.

Если IAS-сервер проверяет подлинность попыток подключения учетных записей, принадлежащих другим доменам, и между этими доменами и доменом IAS-сервера не установлены двухсторонние доверительные отношения, Вам необходимо настроить RADIUS-прокси между двумя доменами, не имеющими доверительных отношений.

4. Включите протоколирование событий учета и проверки подлинности. Для получения дополнительной информации обратитесь к разделу Настройка параметров файла журнала (Configure log file properties) встроенной справки Windows 2000 Server.
5. Добавьте VPN-маршрутизаторы в качестве RADIUS-клиентов сервера IAS. Для получения дополнительной информации обратитесь к разделу Регистрация клиентов RADIUS (Register RADIUS clients) встроенной справки Windows 2000 Server. В качестве сетевого адреса каждого VPN-маршрутизатора используйте назначенный ему IP-адрес внутренней сети. Если вместо IP-адресов Вы используете имена, используйте внутреннее имя VPN-маршрутизатора. Используйте стойкие общие секреты.
6. Создайте политики удаленного доступа, отражающие сценарии использования удаленного доступа. Предположим, что требуется создать политику удаленного доступа со следующими параметрами: политика применяется к группе пользователей VPNRouters, для этой группы используются VPN-подключения на основе L2TP, и для этих подключений требуется проверка подлинности на основе MS-CHAP v2 и 128-битное шифрование. В этом случае политика должна быть настроена следующим образом:

Имя политики: VPN-подключения «маршрутизатор-маршрутизатор»

Условия:

  • Для атрибута NAS-Port-Type выбрано значение Virtual (VPN)
  • Для атрибута Tunnel-Type выбрано значение Layer Two Tunneling Protocol
  • Для атрибута Windows-Groups добавлена группа VPNRouters (в соответствии с рассматриваемым примером)

Разрешение на удаленный доступ: Предоставить право удаленного доступа (Grant remote access permission)

Параметры профиля, вкладка Проверка подлинности (Authentication):

  • Установите флажок Шифpoвaннaя пpoвepкa (Microsoft, вepcия 2, MS-CHAP v2) (Microsoft Encrypted Authentication (MS-CHAP v2)) и снимите все остальные флажки.

Параметры профиля, вкладка Шифрование (Encryption):

  • Установите флажок Самое стойкое (Strongest) и снимите все остальные флажки.
7. Если Вы создали новые политики удаленного доступа, удалите политику Разрешить доступ, если разрешены входящие подключения (Allow access if dial-up permission is enabled), которая существует по умолчанию, или поставьте ее в конец списка политик, чтобы она применялась в последнюю очередь. Для получения дополнительной информации обратитесь к разделам Удаление политики удаленного доступа (Delete a remote access policy) и Изменение порядка применения политик (Change the policy evaluation order) встроенной справки Windows 2000 Server.

Примечание. Уровень шифрования Самое стойкое (Strongest) доступен только после установки пакета обновлений Service Pack 2 (или выше) или пакета стойкого шифрования (High Encryption Pack) для Windows 2000.

Настройка дополнительного IAS-сервера на втором контроллере домена

Для настройки дополнительного IAS-сервера на втором контроллере домена выполните следующие шаги:

1. Установите на контроллере домена службу проверки подлинности в Интернете (IAS) в качестве дополнительного компонента сетевых служб. Для получения дополнительной информации обратитесь к разделу Установка IAS (Install IAS) встроенной справки Windows 2000 Server.
2. Настройте компьютер дополнительного IAS-сервера (второй контроллер домена) таким образом, чтобы разрешить ему просмотр свойств учетных записей пользователей домена. Для получения дополнительной информации обратитесь к разделу Paзpeшeниe пpocмoтpa oбъeктoв пoльзoвaтeлeй в Active Directory для cepвepa IAS (Enable the IAS server to read user objects in Active Directory) встроенной справки Windows 2000 Server.
3. Если дополнительный IAS-сервер проверяет подлинность попыток подключения учетных записей, принадлежащих другим доменам, проверьте, что между этими доменами и доменом дополнительного IAS-сервера установлены двухсторонние доверительные отношения. После этого настройте компьютер дополнительного IAS-сервера таким образом, чтобы разрешить ему просмотр свойств учетных записей пользователей других доменов. Для получения дополнительной информации обратитесь к разделу Paзpeшeниe пpocмoтpa oбъeктoв пoльзoвaтeлeй в Active Directory для cepвepa IAS (Enable the IAS server to read user objects in Active Directory) встроенной справки Windows 2000 Server. Для получения дополнительной информации по установке доверительных отношений обратитесь к разделу Использование доверительных отношений доменов (Understanding domain trusts) встроенной справки Windows 2000 Server.

Если дополнительный IAS-сервер проверяет подлинность попыток подключения учетных записей, принадлежащих другим доменам, и между этими доменами и доменом дополнительного IAS-сервера не установлены двухсторонние доверительные отношения, Вам необходимо настроить RADIUS-прокси между двумя доменами, не имеющими доверия.

4. Для копирования конфигурации основного IAS-сервера на дополнительный IAS-сервер наберите в командной строке netsh aaaa show config > путь\файл.txt на основном IAS-сервере. С помощью этой команды все параметры конфигурации, включая параметры реестра, будут сохранены в текстовый файл. Можно указать относительный, абсолютный или сетевой путь к текстовому файлу.
5. Скопируйте созданный на предыдущем шаге файл на дополнительный IAS-сервер. На дополнительном IAS-сервере наберите в командной строке netsh exec путь\файл.txt. С помощью этой команды на дополнительный IAS-сервер будут импортированы параметры конфигурации основного IAS-сервера.

Наверх страницы

Развертывание сетевой инфраструктуры сайта

Развертывание сетевой инфраструктуры сайта для VPN-подключений «маршрутизатор-маршрутизатор» включает в себя:

Настройку маршрутизации на VPN-маршрутизаторах.
Проверку доступности сетевых ресурсов сайта для каждого VPN-маршрутизатора.
Настройку маршрутизации для пулов адресов, не принадлежащих подсети.

Настройка маршрутизации на VPN-маршрутизаторах

Для того, чтобы VPN-маршрутизаторы могли правильно перенаправлять трафик к узлам своего сайта, для каждого из них необходимо выполнить одно из следующих действий:

Настроить статические маршруты, которые охватывают все адреса, использующиеся в пределах сайта, к которому подключен маршрутизатор.
Настроить протоколы маршрутизации таким образом, чтобы маршрутизатор выступал в качестве динамического маршрутизатора и автоматически добавлял маршруты к подсетям сайта в свою таблицу маршрутизации.

Для добавления статических маршрутов обратитесь к разделу Добавление статического маршрута (Add a static route) встроенной справки Windows 2000 Server. Для настройки VPN-маршрутизатора в качестве RIP-маршрутизатора обратитесь к разделу Настройка протокола RIP для IP (Configure RIP for IP). Для настройки VPN-маршрутизатора в качестве OSPF-маршрутизатора обратитесь к разделам Вопросы проектирования среды с протоколом OSPF (OSPF design considerations) и Настройка протокола OSPF (Configure OSPF) встроенной справки Windows 2000 Server.

Проверка доступности сетевых ресурсов сайта для каждого VPN-маршрутизатора

Проверьте, что каждый VPN-маршрутизатор может разрешать имена и успешно взаимодействовать со всеми ресурсами сайта. Для этого можно использовать служебную утилиту ping, обозреватель Internet Explorer, а также выполнить подключение к принтеру или сетевому диску какого-либо сервера сайта.

Настройка маршрутизации для пулов адресов, не принадлежащих подсети

Если Вы настроили какой-либо из VPN-серверов на использование статических пулов адресов, и какой-либо из диапазонов адресов пула является диапазоном адресов, не принадлежащим подсети (off-subnet address range), Вам необходимо добавить в инфраструктуру маршрутизации сайта маршруты для этого диапазона адресов, с помощью которых можно получить доступ к виртуальным интерфейсам вызывающих маршрутизаторов. Это можно сделать, добавив на соседнем маршрутизаторе статические маршруты для диапазона адресов, не принадлежащего подсети, и затем использовать протоколы маршрутизации сайта для распространения этих маршрутов на остальные маршрутизаторы. При добавлении статических маршрутов Вам необходимо указать внутренний интерфейс VPN-сервера в качестве основного шлюза или адреса следующего перехода (next hop address).

В случае использования протоколов динамической маршрутизации RIP или OSPF можно настроить VPN-маршрутизаторы, использующие диапазоны адресов, не принадлежащих подсети, в качестве маршрутизаторов RIP или OSPF. Если Вы используете протокол OSPF, VPN-маршрутизатор должен быть настроен в качестве граничного маршрутизатора автономной системы (ASBR). Для дополнительной информации обратитесь к разделу Вопросы проектирования среды с протоколом OSPF (OSPF design considerations) встроенной справки Windows 2000 Server.

Наверх страницы

Развертывание межсайтовой сетевой инфраструктуры

Развертывание межсайтовой сетевой инфраструктуры включает в себя настройку на каждом VPN-маршрутизаторе маршрутов к подсетям других VPN-маршрутизаторов, доступных через VPN-подключения. Для этого можно использовать один из следующих способов:

Ручная настройка статических маршрутов на каждом VPN-маршрутизаторе.
Выполнение автостатических обновлений на каждом VPN-маршрутизаторе.
Настройка работы протоколов маршрутизации через VPN-подключения между маршрутизаторами.

Ручная настройка статических маршрутов на каждом VPN-маршрутизаторе

Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) и выполните следующие действия:

1. В дереве консоли раскройте узел IP-маршрутизация (IP Routing) и выберите Статические маршруты (Static Routes).
2. Правой кнопкой мыши щелкните на элементе Статические маршруты (Static Routes) и в контекстном меню выберите команду Новый статический маршрут (New Static Route).
3. В диалоговом окне Статический маршрут (Static Route) выберите подходящий интерфейс вызова по требованию и введите адрес назначения, маску подсети и метрику.
4. Нажмите кнопку OK, чтобы добавить маршрут.
5. Для добавления дополнительного маршрута повторите действия, начиная с шага 2.
Примечание. Поскольку подключение по требованию является подключением «точка-точка», поле Шлюз (Gateway IP address) недоступно для конфигурирования.

Выполнение автостатических обновлений на каждом VPN-маршрутизаторе

Если для интерфейсов вызова по требованию на обоих VPN-серверах используется протокол RIP для IP, Вы можете использовать автостатические обновления для автоматической настройки статических маршрутов при установленном VPN-подключении. Интерфейс вызова по требованию, настроенный на использование автостатических обновлений,  посылает через активное подключение запрос информации о маршрутах VPN-сервера на другом конце подключения. В ответ на этот запрос все маршруты опрашиваемого VPN-сервера автоматически заносятся в качестве статических маршрутов в таблицу маршрутизации опрашивающего VPN-сервера.

Откройте оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) на VPN-маршрутизаторе (при установленном VPN-соединении «маршрутизатор-маршрутизатор») и выполните следующие шаги:

1. В дереве консоли раскройте узел IP-маршрутизация (IP Routing) и выберите Общие (General).
2. В правой панели правой кнопкой мыши щелкните на нужном интерфейсе вызова по требованию и в контекстном меню выберите команду Обновить маршруты (Update Routes).

Для выполнения автостатического обновления Вы также можете использовать команду netsh interface set interface. Для получения дополнительной информации обратитесь к разделу Планирование автостатических обновлений (Scheduling auto-static updates) встроенной справки Windows 2000 Server.

Настройка протоколов маршрутизации

Если VPN-подключение «маршрутизатор-маршрутизатор является постоянным (всегда активно), для этого подключения Вы можете настроить протоколы IP-маршрутизации, такие как RIP (Routing Information Protocol) или OSPF (Open Shortest Path First). Для получения дополнительной информации обратитесь к разделам Создание объединенной сети с протоколом маршрутизации RIP для IP (Setting up a RIP-for-IP routed internetwork) и Создание объединенной сети с протоколом маршрутизации OSPF (Setting up an OSPF routed internetwork) встроенной справки Windows 2000 Server.

Наверх страницы
Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 13.09.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.