Данный раздел содержит подробную информацию о том, как при помощи пяти компьютеров создать тестовую лабораторию, при помощи которой можно настроить и протестировать функции виртуальной частной сети (VPN) Windows 2000. Данные инструкции разработаны таким образом, чтобы провести Вас через ряд заданий, позволяющих Вам ознакомиться с VPN-соединениями и их функциональными возможностями. Помимо рассмотрения этого набора задач, инструкции позволяют создать действующую конфигурацию VPN. Также Вы можете использовать данную конфигурацию для экспериментов с параметрами и функциональными возможностями VPN перед развертыванием сети на Вашем предприятии.
На этой странице
| Настройка инфраструктуры сети тестовой лаборатории VPN | |
| Задачи тестовой лаборатории VPN |
Настройка инфраструктуры сети тестовой лаборатории VPN
Инфраструктура сети тестовой лаборатории VPN состоит из пяти компьютеров, на которых запущены следующие службы:
| • | Компьютер под управлением Windows 2000, выполняющий функции контроллера домена, DNS-сервера и центра сертификации (ЦС). Имя данного компьютера – DC1. |
| • | Компьютер под управлением Windows 2000, выполняющий функции RADIUS-сервера. Имя данного компьютера – IAS1. |
| • | Компьютер под управлением Windows 2000, выполняющий функции веб-сервера и файлового сервера. Имя данного компьютера – IIS1. |
| • | Компьютер под управлением Windows 2000, выполняющий функции VPN-сервера. Имя данного компьютера – VPN1. На компьютере VPN1 должно быть установлено два сетевых адаптера. |
| • | Компьютер под управлением Windows 2000, выполняющий функции VPN-клиента. Имя данного компьютера – CLIENT1. |
На рисунке 7 показана конфигурация тестовой лаборатории VPN.
Рисунок 7 – конфигурация тестовой лаборатории VPN
Имеется сегмент сети, представляющий собой интрасеть предприятия, и другой сегмент сети, представляющий собой Интернет. Все компьютеры в интрасети предприятия подключены к обычному концентратору или коммутатору второго уровня. Все компьютеры в Интернете подключены к отдельному общему концентратору или коммутатору второго уровня. В конфигурации тестовой лаборатории используются адреса частной сети. Частная сеть с адресами 172.16.0.0/24 используется в качестве интрасети. Частная сеть с адресами 10.0.0.0/24 используется для имитации Интернета.
На каждом компьютере вручную настроены соответствующие IP-адрес, маска подсети и IP-адрес DNS-сервера. Протокол DHCP (Dynamic Host Configuration Protocol) и серверы WINS (Windows Internet Name Service) не используются.
Ниже описана настройка каждого компьютера тестовой лаборатории. Чтобы воспроизвести конфигурацию тестовой лаборатории, настройте компьютеры в указанном порядке.
| Примечание. Ниже приведены инструкции по настройке тестовой лаборатории с использованием минимального числа компьютеров. Использование отдельных компьютеров необходимо, чтобы отделить службы, предоставляемые сетью, и позволить протестировать только необходимые функциональные возможности. Данную конфигурацию не следует рассматривать как рекомендуемую, она также не предназначена для использования в рабочих сетях. Эта конфигурация, включая IP-адреса и все прочие параметры, предназначена только для использования в изолированной тестовой сети. |
Компьютер DC1
DC1 — это компьютер под управлением Windows 2000, выполняющий следующие функции:
| • | Контроллера домена testlab.microsoft.com. |
| • | DNS-сервера домена testlab.microsoft.com. |
| • | Корневого центра сертификации (ЦС) предприятия домена testlab.microsoft.com. |
Чтобы настроить компьютер DC1 для выполнения этих функций, выполните следующие шаги:
| 1. | Установите операционную систему Windows 2000 в качестве изолированного сервера. |
| 2. | В настройках протокола TCP/IP укажите IP-адрес 172.16.0.1 и маску подсети 255.255.255.0. |
| 3. | Запустите мастер DCPromo для создания нового домена testlab.microsoft.com в новом лесу. Когда будет выведено соответствующее приглашение, установите службу DNS. |
| 4. | Установите компонент Службы сертификации (Certificate Services) в качестве корневого центра сертификации предприятия. |
| 5. | Настройте домен testlab.microsoft.com для автоматической подачи заявок на сертификаты компьютеров. |
Компьютер IAS1
IAS1 — это компьютер под управлением Windows 2000, работающий в качестве RADIUS-сервера и выполняющий проверку подлинности, авторизацию и учет для компьютера VPN1 (VPN-сервера).
Чтобы настроить компьютер IAS1 в качестве RADIUS-сервера, выполните следующие действия:
| 1. | На компьютере DC1 добавьте учетную запись компьютера IAS1. |
| 2. | Установите ОС Windows 2000 в качестве изолированного сервера. |
| 3. | В настройках протокола TCP/IP укажите IP-адрес 172.16.0.2, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1. |
| 4. | Присоедините компьютер IAS1 к домену testlab.microsoft.com. |
| 5. | Установите службу IAS (Internet Authentication Service). |
Компьютер IIS1
IIS1 — это компьютер под управлением Windows 2000, на котором работают службы IIS (Internet Information Services). Он предоставляет услуги веб-сервера клиентам интрасети. Чтобы настроить компьютер IIS1 в качестве веб-сервера, выполните следующие действия:
| 1. | На компьютере DC1 добавьте учетную запись компьютера IIS1. |
| 2. | Установите ОС Windows 2000 в качестве изолированного сервера. |
| 3. | В настройках протокола TCP/IP укажите IP-адрес 172.16.0.3, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1. |
| 4. | Присоедините компьютер IIS1 к домену testlab.microsoft.com. |
| 5. | Установите службы IIS (Internet Information Service). |
| 6. | Чтобы определить, правильно ли работает веб-сервер, запустите на компьютере IAS1 обозреватель Internet Explorer. Когда в мастере подключения к Интернету (Internet Connection wizard) будет выведено соответствующее приглашение, настройте подключение по локальной сети. В строке Адрес (Address) обозревателя введите: http://IIS1.testlab.microsoft.com/win2000.gif. Должен быть отображен логотип Windows 2000. |
| 7. | На компьютере IIS1 в проводнике Windows откройте общий доступ к корневой папке на диске Локальный диск (C:) для группы Все (Everyone) с полным доступом, задав сетевое имя ROOT. |
Компьютер VPN1
VPN1 — это компьютер под управлением Windows 2000, предоставляющий услуги VPN-сервера для VPN-клиентов сети Интернет. Чтобы настроить компьютер VPN1 в качестве VPN-сервера, выполните следующие действия:
| 1. | На компьютере DC1 добавьте учетную запись компьютера VPN1. |
| 2. | Установите ОС Windows 2000 в качестве изолированного сервера. |
| 3. | Для локального подключения к интрасети задайте в конфигурации протокола TCP/IP IP-адрес 172.16.0.4, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1. |
| 4. | Для локального подключения к Интернету задайте в конфигурации протокола TCP/IP IP-адрес 10.0.0.2 и маску подсети 255.255.255.0. |
| 5. | Присоедините компьютер VPN1 к домену testlab.microsoft.com. |
| 6. | Настройте и включите службу маршрутизации и удаленного доступа (Routing and Remote Access service). В мастере установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) выберите в списке стандартных конфигураций значение Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server). Когда будет предложено выбрать метод назначения IP-адреса, выберите значение Из заданного диапазона адресов (From a specified range of addresses) и задайте диапазон адресов от 172.16.0.248 до 172.16.0.255. Не настраивайте проверку подлинности RADIUS. |
Компьютер CLIENT1
CLIENT1 — это компьютер под управлением Windows XP 2000, работающий в качестве VPN-клиента и получающий удаленный доступ к ресурсам интрасети через искусственно смоделированный Интернет. Чтобы настроить CLIENT1 в качестве VPN-клиента, выполните следующие шаги:
| 1. | На компьютере DC1 добавьте учетную запись компьютера CLIENT1. |
| 2. | Подключите компьютер CLIENT1 к сегменту интрасети. |
| 3. | Установите на компьютер CLIENT1 ОС Windows 2000 в режиме рабочей группы. |
| 4. | В настройках протокола TCP/IP укажите IP-адрес 172.16.0.5, маску подсети 255.255.255.0 и IP-адрес DNS-сервера 172.16.0.1. |
| 5. | Присоедините компьютер CLIENT1 к домену testlab.microsoft.com. |
| 6. | В настройках протокола TCP/IP укажите IP-адрес 10.0.0.1, маску подсети 255.255.255.0 и не задавайте IP-адрес DNS-сервера. |
| 7. | Выключите компьютер CLIENT1. |
| 8. | Отключите компьютер CLIENT1 от сегмента интрасети и подключите его к сегменту сети, выступающему в роли Интернета. |
| 9. | Включите компьютер CLIENT1 и войдите в систему с сохраненными учетными данными учетной записи администратора домена testlab.microsoft.com. |
Задачи тестовой лаборатории VPN
Следующие задачи разработаны для ознакомления с самыми распространенными элементами VPN удаленного доступа в ОС Windows 2000.
| • | Удаленный доступ на основе протокола PPTP. |
| • | Удаленный доступ на основе протокола L2TP. |
| • | Проверка подлинности и учет RADIUS. |
| • | Политики удаленного доступа для различных типов VPN-подключений. |
Удаленный доступ на основе протокола PPTP
Чтобы создать VPN-подключение удаленного доступа на основе протокола PPTP между компьютерами CLIENT1 и VPN1 и протестировать доступность ресурсов интрасети, выполните действия, которые будут описаны ниже.
Создайте учетную запись пользователя
На компьютере DC1 с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) создайте учетную запись пользователя PPTPUser и введите пароль. Откройте свойства учетной записи пользователя, перейдите на вкладку Входящие звонки (Dial-in) и установите разрешение на удаленный доступ – Разрешить доступ (Allow access).
Создайте PPTP-подключение
| 1. | На компьютере CLIENT1 с помощью мастера новых подключений (Make New Connection Wizard) создайте новое подключение на основе протокола PPTP с именем PPTPtoCorpnet и IP-адресом 10.0.0.2. |
| 2. | Щелкните правой кнопкой мыши по подключению PPTPtoCorpnet и выберите в контекстном меню команду Свойства (Properties). |
| 3. | Перейдите на вкладку Сеть (Networking). В группе Тип вызываемого сервера VPN (Type of VPN) выберите значение Туннельный протокол точка-точка (PPTP) (Point to Point Tunneling Protocol). |
| 4. | Нажмите кнопку ОК чтобы сохранить изменения свойств подключения PPTPtoCorpnet. |
Установите PPTP-подключение
| 1. | На компьютере CLIENT1 дважды щелкните по подключению PPTPtoCorpnet. |
| 2. | В приглашении для ввода учетных данных подключения PPTPtoCorpnet введите имя пользователя: PPTPUser@testlab.microsoft.com, пароль и установите флажок Сохранить пароль (Save this user name and password to use when). |
| 3. | Нажмите кнопку Подключение (Connect). |
Обратитесь к веб-серверу и к общим файлам в интрасети
| 1. | На компьютере CLIENT1 запустите обозреватель Internet Explorer. |
| 2. | Когда в мастере подключения к Интернету будет выведено соответствующее приглашение, настройте подключение по локальной сети. |
| 3. | В обозревателе введите в строке адреса: http://IIS1.testlab.microsoft.com/win2000.gif. Должен отобразиться логотип Windows 2000. |
| 4. | На компьютере CLIENT1 нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите \\IIS1\ROOT и нажмите кнопку OK. Должно отобразиться содержимое локального диска C: на компьютере IIS1. |
Отключите PPTP-подключение
На компьютере CLIENT1 щелкните правой кнопкой мыши по подключению PPTPtoCorpnet и выберите команду Отключить (Disconnect).
Удаленный доступ на основе протокола L2TP
Чтобы создать VPN-подключение удаленного доступа на основе протокола L2TP между компьютерами CLIENT1 и VPN1 и протестировать доступность ресурсов интрасети, выполните действия, которые будут описаны ниже.
Создайте учетную запись пользователя
На компьютере DC1 с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) создайте учетную запись пользователя L2TPUser и введите пароль. Откройте свойства учетной записи пользователя, перейдите на вкладку Входящие звонки (Dial-in) и установите разрешение на удаленный доступ – Разрешить доступ (Allow access).
Создайте L2TP-подключение
| 1. | На компьютере CLIENT1 с помощью мастера новых подключений создайте новое подключение на основе протокола L2TP с именем L2TPtoCorpnet и IP-адресом VPN-сервера – 10.0.0.2. |
| 2. | Щелкните правой кнопкой мыши по подключение L2TPtoCorpnet и выберите в контекстном меню команду Свойства (Properties). |
| 3. | Перейдите на вкладку Сеть (Networking). В группе Тип вызываемого сервера VPN (Type of VPN) выберите значение Туннельный протокол уровня 2 (L2TP) (Layer 2 Tunneling Protocol). |
| 4. | Нажмите кнопку ОК, чтобы сохранить изменения свойств подключения L2TPtoCorpnet. |
Установите L2TP-подключение
| 1. | На компьютере CLIENT1 дважды щелкните по подключению L2TPtoCorpnet. |
| 2. | В приглашении для ввода учетных данных подключения L2TPtoCorpnet введите имя пользователя: L2TPUser@testlab.microsoft.com, пароль и установите флажок Сохранить пароль (Save this user name and password to use when). |
| 3. | Нажмите кнопку Подключение (Connect). |
Обратитесь к веб-серверу и к общим файлам в интрасети
| 1. | На компьютере CLIENT1 запустите обозреватель Internet Explorer. |
| 2. | В обозревателе введите в строке адреса: http://IIS1.testlab.microsoft.com/win2000.gif. Должен отобразиться логотип Windows 2000. |
| 3. | На компьютере CLIENT1 нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите \\IIS1\ROOT и нажмите кнопку OK. Должно отобразиться содержимое локального диска C: на компьютере IIS1. |
Отключите L2TP-подключение
На компьютере CLIENT1 щелкните правой кнопкой мыши по подключению L2TPtoCorpnet и выберите команду Отключить (Disconnect).
Проверка подлинности и учет RADIUS
Чтобы настроить проверку подлинности и учет RADIUS для VPN-подключений, выполните действия, которые будут описаны ниже.
На компьютере IAS1 добавьте компьютер VPN1 в качестве клиента RADIUS
На компьютере IAS1 добавьте компьютер VPN1 в качестве клиента RADIUS с IP-адресом 172.16.0.4 и задайте общий секрет. Чтобы добавить клиента RADIUS, откройте оснастку Служба проверки подлинности в Интернете (Internet Authentication Service), щелкните правой кнопкой мыши по папке Клиенты (Clients) и выберите команду Новый клиент (New Client).
Настройте компьютер IAS1 для ведения журнала событий проверки подлинности
На компьютере IAS1 включите ведение журнала учета и проверки подлинности. Для этого откройте оснастку Служба проверки подлинности в Интернете (Internet Authentication Service), перейдите в папку Ведение журнала удаленного доступа (Remote Access Logging), откройте свойства объекта Локальный файл (Local File) и выберите вкладку Параметры (Settings).
На компьютере VPN1 добавьте компьютер IAS1 в качестве RADIUS-сервера
На компьютере VPN1 добавьте компьютер IAS1 в качестве RADIUS-сервера для проверки подлинности и учета с IP-адресом 172.16.0.2 и задайте общий секрет. Чтобы настроить службу маршрутизации и удаленного доступа для использования протокола RADIUS, откройте свойства VPN-сервера и перейдите на вкладку Безопасность (Security). Чтобы использовать для учета протокол RADIUS, задайте в качестве службы учета значение RADIUS – учет (RADIUS accounting). Нажмите кнопку Настроить… (Configure) чтобы добавить компьютер IAS1 в качестве RADIUS-сервера.
Установите PPTP- и L2TP-подключения
| 1. | На компьютере CLIENT1 установите PPTP-подключение к компьютеру VPN1 с помощью подключения PPTPtoCorpnet. |
| 2. | Разъедините PPTP-подключение. |
| 3. | На компьютере CLIENT1 установите L2TP-подключение к компьютеру VPN1 с помощью подключения L2TPtoCorpnet. |
| 4. | Отключите L2TP-подключение. |
Проверьте наличие событий RADIUS в журнале системных событий
На компьютере IAS1 с помощью средства просмотра событий просмотрите в системном журнале события службы IAS для PPTP- и L2TP-подключений, созданных ранее с помощью компьютера CLIENT1.
Просмотрите журналы проверки подлинности и учета RADIUS
На компьютере IAS1 с помощью проводника Windows откройте файл %SystemRoot%\System32\Logfiles\Iaslog.log. Просмотрите записи о проверке подлинности и учете для PPTP- и L2TP-подключений, созданных с помощью компьютера CLIENT1.
Политики удаленного доступа для различных VPN-подключений
Чтобы создать отдельные политики удаленного доступа для PPTP- и L2TP-подключений, выполните действия, которые будут описаны ниже.
Создайте отдельные политики удаленного доступа для PPTP- и L2TP-подключений
| 1. | На компьютере IAS1 создайте новую политику удаленного доступа со следующими свойствами: Имя политики: PPTP-подключения Условия: Для атрибута NAS-Port-Type указано значение Virtual (VPN) Для атрибута Tunnel-Type указано значение Point-to-Point Tunneling Protocol (PPTP) Разрешение: Предоставить право удаленного доступа Настройки профиля, вкладка IP Фильтр пакетов – От клиента… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Сеть назначения, IP-адрес: 172.16.0.1 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой (Any) Фильтр пакетов – К клиенту… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Исходная сеть, IP-адрес: 172.16.0.1 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой |
| 2. | Создайте новую пользовательскую политику удаленного доступа со следующими свойствами: Имя политики: L2TP-подключения Условия: Для атрибута NAS-Port-Type указано значение Virtual (VPN) Для атрибута Tunnel-Type указано значение Layer Two Tunneling Protocol (L2TP) Разрешение: Предоставить право удаленного доступа Настройки профиля, вкладка IP Фильтр пакетов – От клиента… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Сеть назначения, IP-адрес: 172.16.0.2 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой Фильтр пакетов – К клиенту… Действие фильтра: Запретить весь трафик, кроме перечисленных ниже Исходная сеть, IP-адрес: 172.16.0.2 Сеть назначения, маска подсети: 255.255.255.255 Протокол: Любой |
Установите PPTP-подключение и проверьте связь
| 1. | На компьютере CLIENT1 установите VPN-подключение к компьютеру VPN1 с помощью подключения PPTPtoCorpnet. |
| 2. | С помощью команды ping проверьте связь с компьютером DC1 (IP-адрес 172.16.0.1). |
| 3. | С помощью команды ping проверьте связь с компьютером IAS1 (IP-адрес 172.16.0.2). Эта команда не может быть выполнена успешно, поскольку фильтрация пакетов для всех подключений, соответствующих политике PPTP-подключения, пропускает только трафик, отправляемый на IP-адрес 172.16.0.1 или с этого адреса. |
| 4. | Разъедините подключение PPTPtoCorpnet. |
Установите L2TP-подключение и проверьте связь
| 1. | На компьютере CLIENT1 установите VPN-подключение к компьютеру VPN1 с помощью подключения L2TPtoCorpnet. |
| 2. | С помощью команды ping проверьте связь с компьютером IAS1 (IP-адрес 172.16.0.2). |
| 3. | С помощью команды ping проверьте связь с компьютером DC1 (IP-адрес 172.16.0.1). Эта команда не может быть выполнена успешно, поскольку фильтрация пакетов для всех подключений, соответствующих политике L2TP-подключения, пропускает только трафик, отправляемых на IP-адрес 172.16.0.2 или с этого адреса. |
| 4. | Отключите подключение L2TPtoCorpnet. |
Проверьте наличие событий IAS в системном журнале событий
На компьютере IAS1 с помощью средства просмотра событий просмотрите в системном журнале события службы IAS для PPTP- и L2TP-подключений, созданных с помощью компьютера CLIENT1. Обратите внимание на то, что текст сообщения о событии проверки подлинности содержит имя политики удаленного доступа, согласно которой подключение было принято.
| Наверх страницы |