本文來自51CTO專家博客，由博主王春海撰寫。博文地址：

http://wangchunhai.blog.51cto.com/225186/1626375

今天碰到一個(gè)案例，該單位是一個(gè)新開的房產(chǎn)中介門店，需要使用VPN方式連接總公司的內(nèi)網(wǎng)，情況及需求如下：

(1)這家新開的門店在一個(gè)新的小區(qū)中，小區(qū)沒有寬帶接入。為了訪問Internet及總公司的VPN，購買了一個(gè)電信的3G無線上網(wǎng)卡及3G無線路由器。

(2)該單位一共有7、8臺計(jì)算機(jī)，沒有布線，計(jì)算機(jī)都配置了無線網(wǎng)卡，想使用無線網(wǎng)絡(luò)組網(wǎng)，不準(zhǔn)備使用傳統(tǒng)的網(wǎng)線連接。

(3)該門店需要使用VPN的方式，連接到總公司的房產(chǎn)管理系統(tǒng)?？偣镜姆慨a(chǎn)管理系統(tǒng)，安裝在一臺服務(wù)器中，托管在電信機(jī)房。

為了實(shí)現(xiàn)此功能，我設(shè)計(jì)了以下方案，可以達(dá)到需求，現(xiàn)在分別介紹一下。

 

 

圖1-1 采用RRAS做NAT

在圖1-1中，3G無線路由器自己撥號到Internet，一臺Windows Server 2008 R2使用"無線網(wǎng)卡"連接到該3G路由器，以實(shí)現(xiàn)到Internet的連接。在這臺計(jì)算機(jī)中，配置"路由和遠(yuǎn)程訪問服務(wù)(RRAS)"，配置NAT及"請求撥號路由"，來實(shí)現(xiàn)到Internet及VPN的共享接入。

這臺Windows Server 2008 R2的有線網(wǎng)卡，使用一條RJ45網(wǎng)線連接到另外一個(gè)普通的無線寬帶路由器的LAN端口。該門店的其他計(jì)算機(jī)，使用無線網(wǎng)卡連接到這個(gè)普通的無線寬帶路由器，再通過Windows Server 2008 R2的"RRAS(路由和遠(yuǎn)程訪問服務(wù))"的NAT及請求撥號路由功能，連接到Internet及總部內(nèi)部網(wǎng)絡(luò)。在這里，這臺普通的"無線寬帶路由器"只起了一個(gè)類似"無線交換機(jī)"的功能，在該路由器中配置了DHCP，但指定的網(wǎng)關(guān)地址是Windows Server 2008 R2的有線網(wǎng)卡的地址。這樣，所有的工作站，在使用DHCP獲得IP地址的時(shí)候，也指定了正確的網(wǎng)關(guān)地址"配置了RRAS"的Windows Server 2008 R2的地址。#p#

在這個(gè)方案中，有兩個(gè)關(guān)鍵地方，其一是用做RRAS的Windows Server 2008 R2的配置，另一個(gè)是無線寬帶配置。首先介紹用做服務(wù)器的Windows Server 2008 R2的配置，我們一一介紹。

1.1 安裝路由和遠(yuǎn)程訪問服務(wù)

首先要在Windows Server 2008 R2服務(wù)器上安裝路由和遠(yuǎn)程訪問服務(wù)，并啟用NAT及請求撥號路由功能。

(1)將用做服務(wù)器的Windows Server 2008 R2，無線網(wǎng)卡連接到"3G無線上網(wǎng)卡"，該網(wǎng)卡用于連接Internet，我們可以將該無線網(wǎng)卡命名為"WAN"。將另一個(gè)網(wǎng)卡(有線網(wǎng)卡)命名為"LAN"，設(shè)置IP地址為192.168.2.10，子網(wǎng)掩碼為255.255.255.0，不設(shè)置網(wǎng)關(guān)地址。如圖1-2所示。

 

 

圖1-2 重命名網(wǎng)卡

(2)打開"服務(wù)器管理器"，添加角色。在"選擇服務(wù)器角色"對話框，選擇"網(wǎng)絡(luò)策略和訪問服務(wù)"，如圖1-3所示。

 

 

圖1-3 網(wǎng)絡(luò)策略和訪問服務(wù)

(3)在"網(wǎng)絡(luò)策略和訪問服務(wù)"對話框，顯示了網(wǎng)絡(luò)策略和訪問服務(wù)簡介，查看之后單擊"下一步"按鈕，如圖1-4所示。

 

 

圖1-4 網(wǎng)絡(luò)策略和訪問服務(wù)

(4)在"選擇角色服務(wù)"對話框，選中"路由和遠(yuǎn)程訪問服務(wù)"，并選中"遠(yuǎn)程訪問服務(wù)"和"路由"組件，如圖1-5所示。

 

 

圖1-5 選擇角色服務(wù)

(5)在"確認(rèn)安裝選擇"對話框，單擊"安裝"按鈕，如圖1-6所示。

 

 

圖1-6 安裝

(6)在"安裝結(jié)果"對話框，單擊"關(guān)閉"按鈕，完成安裝。如圖1-7所示。

 

 

圖1-7 安裝完成#p#

在安裝完成后，從"管理工具"中運(yùn)行"路由和遠(yuǎn)程訪問"服務(wù)，配置該服務(wù)，主要步驟如下。

(1)在"路由和遠(yuǎn)程訪問"控制臺中，右擊計(jì)算機(jī)名稱，在彈出的快捷菜單中選擇"配置并啟用路由和遠(yuǎn)程訪問"，如圖1-8所示。

 

 

圖1-8 配置并啟用路由和遠(yuǎn)程訪問

(2)在"歡迎使用路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?quot;對話框，單擊"下一步"按鈕。

(3)在"配置"對話框，選擇"網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)"，如圖1-9所示。

 

 

圖1-9 配置

(4)在"NAT Internet連接"對話框，選擇連接到Internet的網(wǎng)卡，在此選擇名為"WAN"的網(wǎng)卡，如圖1-10所示。

 

 

圖1-10 選擇連接Internet的網(wǎng)卡

(5)在"正在完成路由和遠(yuǎn)程訪問服務(wù)安裝向?qū)?quot;對話框，單擊"完成"按鈕，如圖1-11所示。

 

 

圖1-11 完成路由和遠(yuǎn)程服務(wù)安裝

(6)返回到"路由和遠(yuǎn)程訪問"控制臺后，右擊計(jì)算機(jī)名稱，在彈出的快捷菜單中選擇"屬性"，如圖1-12所示。

 

 

圖1-12 配置路由和遠(yuǎn)程訪問屬性

(7)在"常規(guī)"選項(xiàng)卡中，選擇"局域網(wǎng)和請求撥號路由"，如圖1-13所示。

 

 

圖1-13 選擇局域網(wǎng)和請求撥號路由

(8)在彈出的"路由和遠(yuǎn)程訪問"警告對話框中，單擊"是"按鈕，重新啟動(dòng)路由器，如圖1-14所示。

 

#p#[[131058]]

 

圖1-14 重新啟動(dòng)路由器

1.2 創(chuàng)建請求撥號路由

在安裝路由和遠(yuǎn)程訪問服務(wù)之后，要?jiǎng)?chuàng)建一個(gè)VPN的請求撥號路由，連接到VPN服務(wù)器，主要步驟如下。

(1)返回到"路由和遠(yuǎn)程訪問"控制臺后，右擊"網(wǎng)絡(luò)接口"，在彈出的快捷菜單中選擇"新建請求撥號接口"，如圖1-15所示。

 

 

圖1-15 新建請求撥號接口

(2)在"歡迎使用請求撥號接口向?qū)?quot;對話框，單擊"下一步"按鈕，如圖1-16所示。

 

 

圖1-16 請求撥號路由向?qū)?/p>

(3)在"接口名稱"對話框中，為請求撥號路由設(shè)置一個(gè)名稱，此名稱可以隨意設(shè)置，但為了后期管理，可以設(shè)置一個(gè)比較記憶、有意義的名稱。在此命名為VPN，如圖1-17所示。

 

 

圖1-17 設(shè)置接口名稱

(4)在"連接類型"對話框，選擇要?jiǎng)?chuàng)建的請求撥號接口的類型，因?yàn)槲覀円獎(jiǎng)?chuàng)建的是VPN撥號，故在此選擇"使用虛擬專用網(wǎng)絡(luò)連接(VPN)"，如圖1-18所示。

 

 

圖1-18 連接類型

(5)在"VPN類型"對話框，選擇要?jiǎng)?chuàng)建的VPN連接的類型。這要根據(jù)你的VPN服務(wù)器的配置要求選擇。在此選擇"點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)"。

(6)在"目標(biāo)地址"輸入要連接的VPN服務(wù)器的地址，如圖1-19所示。這可以使用域名或IP地址，具體要看你的VPN服務(wù)器的類型及需求。

 

 

圖1-19 指定目標(biāo)VPN服務(wù)器的地址

(7)在"協(xié)議和安全"對話框，選擇"在此接口上路由選擇IP數(shù)據(jù)包"，如圖1-20所示。如果要配置雙向的VPN路由，還要選擇"添加一個(gè)角色帳戶使遠(yuǎn)程路由器可以接入"，因?yàn)槲覀兪莿?chuàng)建請求撥號路由，是單身訪問遠(yuǎn)程的VPN服務(wù)器故此項(xiàng)不做選擇。

 

 

圖1-20 協(xié)議及安全

(8)在"遠(yuǎn)程網(wǎng)絡(luò)的靜態(tài)路由"對話框中，單擊"添加"按鈕，添加VPN客戶端撥號成功后，要訪問的內(nèi)網(wǎng)地址，這通常是VPN服務(wù)器后端的所連接或保護(hù)的服務(wù)器的地址，在此示例中，遠(yuǎn)程網(wǎng)絡(luò)的地址是172.18.96.0/24，添加的"目標(biāo)"則為172.18.96.0，網(wǎng)絡(luò)掩碼則為255.255.255.0，躍點(diǎn)數(shù)設(shè)置為1，如圖1-21所示。設(shè)置之后單擊"確定"按鈕添加到"靜態(tài)路由"列表中，如果有多個(gè)需要訪問的網(wǎng)絡(luò)，則再次單擊"添加"按鈕繼續(xù)添加，直到添加完成。添加之后如圖1-22所示。

 

 

圖1-21 添加遠(yuǎn)程網(wǎng)絡(luò)靜態(tài)路由圖1-22添加靜態(tài)路由之后

(9)在"撥出憑據(jù)"對話框，設(shè)置連接到遠(yuǎn)程VPN服務(wù)器的帳戶名及密碼，如圖1-23所示。

 

 

圖1-23 設(shè)置撥出憑據(jù)

(10)在"完成請求撥號接口向?qū)?quot;對話框，單擊"完成"按鈕，如圖1-24所示。

 

 

圖1-24 完成請求撥號接口向?qū)?/p>

(11)返回到"路由和遠(yuǎn)程訪問"控制臺，在"網(wǎng)絡(luò)接口"中可以看到新建的"請求撥號接口"，當(dāng)前狀態(tài)為"己啟用"，連接狀態(tài)為"己斷開"，如圖1-25所示。當(dāng)有訪問圖1-21的目標(biāo)網(wǎng)絡(luò)時(shí)，會(huì)自動(dòng)撥號。

 

 

圖1-25 請求撥號接口路由#p#

1.3 為VPN添加請求撥號接口

在添加了請求撥號路由之后，默認(rèn)情況下，請求撥號路由不會(huì)自動(dòng)連接。此時(shí)需要在"NAT"中，添加這個(gè)接口，供局域網(wǎng)用戶使用。

(1)在"路由和遠(yuǎn)程訪問"控制臺中，選中"NAT"，在側(cè)空白空格中右擊，在彈出的快捷菜單中選擇"新增接口"，如圖1-28所示。

 

 

圖1-26 新增接口

(2)在"IPNAP的新接口"對話框中，選擇上一節(jié)創(chuàng)建的請求撥號接口。

(3)在"網(wǎng)絡(luò)地址轉(zhuǎn)換-VPN屬性"對話框，選擇"公用接口連接到Internet"，并選中"在此接口上啟用NAT"，如圖1-27所示。

 

 

圖1-27 設(shè)置接口屬性

(4)添加之后如圖1-28所示。

 

 

圖1-28 添加之后

1.4 當(dāng)作無線交換機(jī)使用的路由器配置

為局域網(wǎng)中的工作站提供"無線接入"的普通寬帶路由器，為了管理方便，設(shè)置一個(gè)與服務(wù)器相同網(wǎng)段的IP地址，例如在本例中設(shè)置為192.168.2.254。另外，為了方便工作站接入，需要啟用"DHCP"服務(wù)，但本案例中，用做網(wǎng)關(guān)的是安裝配置了"路由和遠(yuǎn)程訪問服務(wù)"的Windows Server 2008 R2的計(jì)算機(jī)，在本示例中這臺服務(wù)器的IP地址是192.168.2.10，所以要修改普通寬帶路由器的DHCP服務(wù)器，將網(wǎng)關(guān)地址改為192.168.2.10，如圖1-29所示。

 

 

圖1-29 修改DHCP服務(wù)器的網(wǎng)關(guān)地址#p#

1.5 客戶端使用

當(dāng)客戶端訪問VPN內(nèi)網(wǎng)時(shí)，例如使用ping命令ping一個(gè)內(nèi)網(wǎng)服務(wù)器地址時(shí)，在一開始網(wǎng)絡(luò)不通，等VPN請求撥號路由撥通之后，網(wǎng)絡(luò)會(huì)連通，如圖1-30所示。

 

 

圖1-30 網(wǎng)絡(luò)連通

此時(shí)在"路由和遠(yuǎn)程訪問"控制臺，在"網(wǎng)絡(luò)接口"中可以看到，名為VPN的請求撥號接口連接狀態(tài)為"己連接"。

1.6使用支持VPN撥號的路由器實(shí)現(xiàn)Internet及VPN接入功能

在實(shí)現(xiàn)上述功能后，客戶說，用3G無線上網(wǎng)是臨時(shí)方案，后期還是要使用光纖或ADSL上網(wǎng)，為此，我又推薦了下述方案，使用帶VPN功能的路由器，實(shí)現(xiàn)到總公司局域網(wǎng)的接入，方案如下。

 

 

圖2-1 采用支持VPN功能的路由器

在圖2-1中，主要是采用了一個(gè)支持VPN功能的路由器，在此選擇"飛魚星VE760W"無線寬帶路由器。

(1)在TP-Link無線寬帶路由器中，WAN端口根據(jù)實(shí)際情況配置，對于大多數(shù)的ADSL接入來說，需要配置PPPoe撥號，并設(shè)置帳戶和密碼，這些不詳細(xì)介紹。而無線配置、DHCP服務(wù)器配置，則與普通的寬帶路由器一樣，只要能讓計(jì)算機(jī)使用無線(或有線LAN)連接到路由器，通過路由器訪問Internet即可，這些不一一介紹。

(2)在飛魚星路由器中，配置到總公司的VPN接入。稍后我們主要介紹該功能的配置。

(3)所有的計(jì)算機(jī)，連接飛魚星無線寬帶路由器，并從該無線路由器獲得IP地址。在配置好路由器的VPN功能之后，所有的計(jì)算機(jī)都能通過路由器訪問Internet及總公司網(wǎng)絡(luò)。

下面介紹飛魚星寬帶路由器，VPN功能的配置。

(1)在"虛擬專網(wǎng)→PPTP客戶端"，選中"啟用PPTP客戶端"功能，在"PPTP服務(wù)器地址"方框中，輸入要連接的總公司VPN服務(wù)器的IP地址或域名，并在"用戶名"與"密碼"中輸入VPN服務(wù)器分配給該分公司的帳戶。在"PPTP服務(wù)器網(wǎng)段"中，輸入VPN服務(wù)器所連接的局域網(wǎng)的地址段，在本示例中該地址段為172.18.0.0/16，設(shè)置之間單擊"保存"并單擊"連接"按鈕，如果設(shè)置正常，會(huì)連接到總公司的VPN服務(wù)器，并且獲得VPN客戶端地址，如圖2-2所示，在本示例中，VPN服務(wù)器分配給該分公司VPN帳戶的IP地址是172.30.30.200。

 

 

圖2-2 配置PPTP客戶端

(2)在"高級選項(xiàng)→地址轉(zhuǎn)發(fā)"中，選擇"NAT：外出規(guī)則"，單擊"添加新規(guī)則"按鈕，在"源地址"文本框中，輸入當(dāng)前路由器的LAN端口的地址段，例如，當(dāng)前VPN路由器的LAN端口地址是192.168.2.254，子網(wǎng)掩碼是255.255.255.0，則在"IP地址"處輸入192.168.2.0，子網(wǎng)掩碼為255.255.255.0。在"目標(biāo)地址"處，輸入遠(yuǎn)程VPN服務(wù)器局域網(wǎng)的IP地址段，在本示例中為172.18.0.0、子網(wǎng)掩碼為255.255.0.0，這與圖2-2中"PPTP服務(wù)器網(wǎng)段"相一致。在"轉(zhuǎn)換地址"處輸入圖2-2中VPN客戶端獲得的IP地址，在本示例中為172.30.30.200，如圖2-3所示。設(shè)置之后，單擊"保存"按鈕。

 

 

圖2-3 配置地址轉(zhuǎn)換

經(jīng)過上述設(shè)置，局域網(wǎng)中的計(jì)算機(jī)即可以直接訪問172.16.0.0/24的網(wǎng)段。

為了避免每次VPN撥號重要獲得新的地址，所以需要在VPN服務(wù)器上，為指定的VPN客戶端，分配一個(gè)靜態(tài)的IP地址。如果服務(wù)器是"路由和遠(yuǎn)程訪問"服務(wù)器、Forefront TMG 2010或ISA Server 2006配置的VPN服務(wù)器，可以直接在"VPN服務(wù)器"的"本地用戶和組→用戶"中，選擇創(chuàng)建的VPN帳戶，在"撥入"選項(xiàng)卡中，選中"分配靜態(tài)IP地址"，為指定的帳戶分配靜態(tài)IP地址，如圖2-4所示。

 

 

圖2-4 分配靜態(tài)IP地址