六. Windows NT下的VPN实现
1. VPN构建环境
a.软件: Windows NT 4.0 Server, Service Pack 3(当然sp4更好, 前两天出的
sp5最好了, 也许BUG又改了不少), Routing and Remote Access Service
(可以到ftp://oans.cic.tsinghua.edu.cn/Work.For.China/Network
/Routing&RAS下载, 软件名mpri386.exe).
b.硬件环境: NT4.0所需的.
c.实例的Internet环境:
假设有两个(多个也一样)Internet上的NT SERVER 主机A, 主机B, 它们的外
部IP地址为:
A_E_IP: 202.112.0.1 mask 255.255.255.0
B_E_IP: 202.112.100.1 mask 255.255.255.0
A的内部局域网(Network A, NA)私有网络地址为: 10.0.0.0, mask 255.255.255.0
B的内部局域网(Network A, NA)私有网络地址为: 10.0.1.0, mask 255.255.255.0
A, B的内部私有网络地址:
A_I_IP: 10.0.0.1 mask 255.255.255.0
B_I_IP: 10.0.1.1 mask 255.255.255.0
(为了说明方便, 随便设的外部Internet地址, A_E_IP, B_E_IP位于不同的物理
网段内, 用双网关是不可能实现其内部私有IP间的通信的, 只有虚拟专用网VPN了.
注意A, B的私有网络地址要相互独立的. )
注: 至于为什么这样设MASK, ROUTE TABLE, 这些问题可以找相关的书籍自
己琢磨.
2. VPN的安装
安装"PPTP 协议"和"Routing and Remote Access Service"(Routing&RAS).
.安装PPTP协议, 设置"虚拟私人网络号"个数, 至少为"2", 这是两个节点相
连, 如果三个节点两两相连,至少为"6"了, PPTP的"去", "来"是分开的(提法不
准确, 大概意思吧). .运行Routing&RAS安装程序, 安装服务, 可能系统会要
求启动数次机器, 不要着急, 慢慢来.
.设置Routing&RAS属性:
.加入2个VPN通道, VPN1,VPN2, 设置均为: "Recieve calls as a RAS
server", "Dial out and recieve calls as a demand dial router".
.设置"Network...", 存取范围, 允许的协议, 授权方案, IP的的分配(建
议使用DHCP)等等.
如果你熟悉RAS的设置, 这个很Easy的. 如果不熟悉, 那还是先看看帮助吧.
(Host A, B的安装方法相同.)
提示: 安装完后, 最好重新安装一下Service Pack 3(4, 或5), Pack中是这
么说的, 不过有时也是如此, 不重装,可能由于某些东西被覆盖,出现些莫名其
妙的错误, 如服务起不来等等. 倒霉! 我就碰到了.
3. 主机A上的Routing&RAS的配置
<<< 主机A (A_E_IP: 202.112.0.1, A_I_IP: 10.0.0.1) >>
.运行管理工具"Administrative Tools\Routing and RAS Admin". (前提是你的
Routing&RAS服务已经启动了; 如果没启动, 惨, 自己找找原因吧).
.右击"LAN and Demand Dial Interfaces", (先点击关掉"Use demand wizard"),
"Add Interface..", 主要设置如下:
"Interface name" = "vpn_router_1",
"Phone number or address of remote router" = "202.112.100.1"
"Connect Using" = "RASPPTPM(VPN1)" (任选一个)
其他的用缺省值即可, 如果你高兴或需要也可以改改, 比如增加安全性等等.
.右击刚加入的Interface "vpn_router_1", "Set Credentials..",
填入远程帐号(主机B上NT域中帐号):
"User name" = "vpn"
"Domain" = 主机B上的NT域名
"Password", "Confirm Password" = vpn's password
(补充, 分别在NT server 主机A, 主机B中用"域用户管理器"添加域用户,
用户名 = "vpn", 设置相应的口令, 注意使"vpn"用户具有"拨入"的权利.)
.在"IP rouging - Static routes" 添加静态路由表项(注意是"静态路由", 这是
使用Demand Dial Interface必需的.)
Detination = "10.0.1.0" (主机B的私有网络地址, 我们的目标)
Network mask = "255.255.255.0"
Gateway = "10.0.1.1" (主机B私有网络中缺省网关, 可别没有啊)
Metric = "4" (大点无所谓)
Interface = "vpn_router_1" (刚才加入的Interface)
Ok, 搞定一台主机.
4. 主机B的Routing&RAS设置(类似)
<<< 主机B (B_E_IP: 202.112.100.1, B_I_IP: 10.0.1.1) >>
.在"Add Interface"中,
"Interface name" = "vpn_router_1" (随便呢, 不过应和下面的一致)
"Phone number or address of remote router" = "202.112.0.1"
"Connect Using" = "RASPPTPM(VPN1)" (任选一个)
.右击刚加入的Interface "vpn_router_1", "Set Credentials..",
填入远程帐号(主机A上NT域中帐号):
"User name" = "vpn"
"Domain" = 主机A上NT域名
"Password", "Confirm Password" = vpn's password
.在"IP rouging - Static routes" 添加静态路由(注意是"静态路由", 这是
使用Demand Dial Interface所需的.)
Detination = "10.0.0.0" (主机A的私有网络地址, 我们的目标二了)
Network mask = "255.255.255.0"
Gateway = "10.0.0.1" (主机A私有网络中缺省网关, 可别没有啊)
Metric = "4" (大点无所谓)
Interface = "vpn_router_1" (刚才加入的Interface)
OK. 搞定, 心里好激动.
5. 测试NT下的VPN
在主机A上, 或者A下面局域网内的任何一台机器(注意其缺省网关为A,
即为A_I_IP: 10.0.0.1) PING一下试一试.
ping 10.0.1.1 (可以是主机B在的私有网中任何一台机器的IP,别忘开机!?)
嗯, "time-out", 这就对了, 这才是VPN, 第一次Ping位于其他局域网的
IP时, VPN有个建立连接的过程, 你在"Routing&RAS Admin"可以看到Interface
"vpn_router_1"由"Disconnected", "Connecting..", "Connected". OK. VPN
通了, 一个虚拟网生成. 再ping一下试一试.
ping 10.0.1.1
熟悉的:
Reply from 10.0.1.1: bytes=32 time<10ms TTL=128
出现了. 好了.. 虚拟专用网(VPN)成功, 恭喜, 恭喜!
6. NT VPN的各种协议配置
以上主要讲的是VPN的一个简单实现, IP-VPN. 至于其他的, 如IPX, RIP,
OSPF, RIP for IPX等等, 都可以在Routing&RAS中好长, 好长的帮助和文档
中找到, 实现方法大同小异.
更多请看Cisco与华为技术网(Vlan9.com)VPN技术、SSL VPN详细知识介绍专题专题,或进入论坛讨论。
1. VPN构建环境
a.软件: Windows NT 4.0 Server, Service Pack 3(当然sp4更好, 前两天出的
sp5最好了, 也许BUG又改了不少), Routing and Remote Access Service
(可以到ftp://oans.cic.tsinghua.edu.cn/Work.For.China/Network
b.硬件环境: NT4.0所需的.
c.实例的Internet环境:
假设有两个(多个也一样)Internet上的NT SERVER 主机A, 主机B, 它们的外
部IP地址为:
A_E_IP: 202.112.0.1 mask 255.255.255.0
B_E_IP: 202.112.100.1 mask 255.255.255.0
A的内部局域网(Network A, NA)私有网络地址为: 10.0.0.0, mask 255.255.255.0
B的内部局域网(Network A, NA)私有网络地址为: 10.0.1.0, mask 255.255.255.0
A, B的内部私有网络地址:
A_I_IP: 10.0.0.1 mask 255.255.255.0
B_I_IP: 10.0.1.1 mask 255.255.255.0
(为了说明方便, 随便设的外部Internet地址, A_E_IP, B_E_IP位于不同的物理
网段内, 用双网关是不可能实现其内部私有IP间的通信的, 只有虚拟专用网VPN了.
注意A, B的私有网络地址要相互独立的. )
注: 至于为什么这样设MASK, ROUTE TABLE, 这些问题可以找相关的书籍自
己琢磨.
2. VPN的安装
安装"PPTP 协议"和"Routing and Remote Access Service"(Routing&RAS).
.安装PPTP协议, 设置"虚拟私人网络号"个数, 至少为"2", 这是两个节点相
连, 如果三个节点两两相连,至少为"6"了, PPTP的"去", "来"是分开的(提法不
准确, 大概意思吧). .运行Routing&RAS安装程序, 安装服务, 可能系统会要
求启动数次机器, 不要着急, 慢慢来.
.设置Routing&RAS属性:
.加入2个VPN通道, VPN1,VPN2, 设置均为: "Recieve calls as a RAS
server", "Dial out and recieve calls as a demand dial router".
.设置"Network...", 存取范围, 允许的协议, 授权方案, IP的的分配(建
议使用DHCP)等等.
如果你熟悉RAS的设置, 这个很Easy的. 如果不熟悉, 那还是先看看帮助吧.
(Host A, B的安装方法相同.)
提示: 安装完后, 最好重新安装一下Service Pack 3(4, 或5), Pack中是这
么说的, 不过有时也是如此, 不重装,可能由于某些东西被覆盖,出现些莫名其
妙的错误, 如服务起不来等等. 倒霉! 我就碰到了.
3. 主机A上的Routing&RAS的配置
<<< 主机A (A_E_IP: 202.112.0.1, A_I_IP: 10.0.0.1) >>
.运行管理工具"Administrative Tools\Routing and RAS Admin". (前提是你的
Routing&RAS服务已经启动了; 如果没启动, 惨, 自己找找原因吧).
.右击"LAN and Demand Dial Interfaces", (先点击关掉"Use demand wizard"),
"Add Interface..", 主要设置如下:
"Interface name" = "vpn_router_1",
"Phone number or address of remote router" = "202.112.100.1"
"Connect Using" = "RASPPTPM(VPN1)" (任选一个)
其他的用缺省值即可, 如果你高兴或需要也可以改改, 比如增加安全性等等.
.右击刚加入的Interface "vpn_router_1", "Set Credentials..",
填入远程帐号(主机B上NT域中帐号):
"User name" = "vpn"
"Domain" = 主机B上的NT域名
"Password", "Confirm Password" = vpn's password
(补充, 分别在NT server 主机A, 主机B中用"域用户管理器"添加域用户,
用户名 = "vpn", 设置相应的口令, 注意使"vpn"用户具有"拨入"的权利.)
.在"IP rouging - Static routes" 添加静态路由表项(注意是"静态路由", 这是
使用Demand Dial Interface必需的.)
Detination = "10.0.1.0" (主机B的私有网络地址, 我们的目标)
Network mask = "255.255.255.0"
Gateway = "10.0.1.1" (主机B私有网络中缺省网关, 可别没有啊)
Metric = "4" (大点无所谓)
Interface = "vpn_router_1" (刚才加入的Interface)
Ok, 搞定一台主机.
4. 主机B的Routing&RAS设置(类似)
<<< 主机B (B_E_IP: 202.112.100.1, B_I_IP: 10.0.1.1) >>
.在"Add Interface"中,
"Interface name" = "vpn_router_1" (随便呢, 不过应和下面的一致)
"Phone number or address of remote router" = "202.112.0.1"
"Connect Using" = "RASPPTPM(VPN1)" (任选一个)
.右击刚加入的Interface "vpn_router_1", "Set Credentials..",
填入远程帐号(主机A上NT域中帐号):
"User name" = "vpn"
"Domain" = 主机A上NT域名
"Password", "Confirm Password" = vpn's password
.在"IP rouging - Static routes" 添加静态路由(注意是"静态路由", 这是
使用Demand Dial Interface所需的.)
Detination = "10.0.0.0" (主机A的私有网络地址, 我们的目标二了)
Network mask = "255.255.255.0"
Gateway = "10.0.0.1" (主机A私有网络中缺省网关, 可别没有啊)
Metric = "4" (大点无所谓)
Interface = "vpn_router_1" (刚才加入的Interface)
OK. 搞定, 心里好激动.
5. 测试NT下的VPN
在主机A上, 或者A下面局域网内的任何一台机器(注意其缺省网关为A,
即为A_I_IP: 10.0.0.1) PING一下试一试.
ping 10.0.1.1 (可以是主机B在的私有网中任何一台机器的IP,别忘开机!?)
嗯, "time-out", 这就对了, 这才是VPN, 第一次Ping位于其他局域网的
IP时, VPN有个建立连接的过程, 你在"Routing&RAS Admin"可以看到Interface
"vpn_router_1"由"Disconnected", "Connecting..", "Connected". OK. VPN
通了, 一个虚拟网生成. 再ping一下试一试.
ping 10.0.1.1
熟悉的:
Reply from 10.0.1.1: bytes=32 time<10ms TTL=128
出现了. 好了.. 虚拟专用网(VPN)成功, 恭喜, 恭喜!
6. NT VPN的各种协议配置
以上主要讲的是VPN的一个简单实现, IP-VPN. 至于其他的, 如IPX, RIP,
OSPF, RIP for IPX等等, 都可以在Routing&RAS中好长, 好长的帮助和文档
中找到, 实现方法大同小异.
更多请看Cisco与华为技术网(Vlan9.com)VPN技术、SSL VPN详细知识介绍专题专题,或进入论坛讨论。
相关专题
- VPN技术 (1104篇文章)
- SSL VPN详细知识介绍专题 (1104篇文章)
论坛精华
阅读排行榜
- “时间管理”无线路由器不能忽视的功能 (46次浏览)
- 城域光传送网光缆组网方案研究 (31次浏览)
最新技术文档
- 城域光传送网光缆组网方案研究 04-14
- “时间管理”无线路由器不能忽视的功能 04-11
- 网线缠绕,也能引发上网频繁掉线? 04-07
- 网络数据丢包严重 线路环路是“祸首” 03-29
- 网管支招:从本地入手解决双线路由设置 03-29
- 家用网络难点 无线路由自动掉线巧解决 03-27
- 加速交换机端口初始化进程的介绍 03-19
- 关于加速交换机端口初始化进程的介绍 03-19
- 网线的制作和连接 03-14
- 网线的制作和连接:网管员必须掌握 03-13
热门关键字导读