利用windows 2003 实现×××服务器的搭建(二)  站点到站点之间的×××
 
实验环境:
西安凌云高科技有限公司由于业务快速的发展,在广州成立了分公司:为了保证西安总公司和广州分公司网络的正常通信、资源互访以及方便的管理;最初我们采取DDN数据专线来连通了西安总公司和广州的资源互访和集中的管理;但是这样虽然安全也比较实用、但是DDN的费用是一笔很大的开销;为此总经理非常苦恼;为了解决公司一系列的状况,我们决定采用×××来实现两个公司的正常通信,这样既解决了总经理的苦恼;也更加增加了网络的安全性和资源的可利用性。
 我们曾经在以前的cisco路由器上做过基于三层的IPsec的×××;那么我们在基于windows 2003上来能否实现第二层的L2TP站点到站点的×××解决公司现有的状况呢?答案是肯定的;那么就让我们拭目以待吧!!!
 
实验目的:
能够理解×××的工作原理以及以一些相关的概念;
能够理解第二层(L2TP)协议×××的基本配置;
掌握第二层(L2TP)×××排错的一些基本方法;
能够让西安总公司和广州分公司能够正常的通信;
 
实验拓扑:
实验步骤:
×××的工作原理以及一些相关的概念:
在做基于windows service 2003上的×××的时候我们是不是还记得我们在CISCO上关于IPsec×××的配置呢?现在我们来共同的来做一个比较!!!
了解一下×××的特点;×××的分类;×××的优点;×××的工作原理:
×××是利用Internet上或者一些公共的设施来实现一条虚拟的隧道,而且提供了和专用网络一样的安全保障。×××是通过两种方法来保证网络上的安全的:首先是物理分离,它是只有指定的接收者才能访问信号:另一种是迷惑;虽然能够检测到信号,但是只有指定的接收者才能理解其中的意思(通过密钥或者加密算法)。
×××的特点:×××和传统的区别是在于他是虚拟的不是实际存在的;他是通过Internet来虚拟出来的;×××只是为特定的企业或者用户群体所使用;×××不是一种简单的高层业务。
×××的优点:费用低,不需要租用远程专用线路,也不需要远程拨号接入公司;更加高效的灵活性,他可以方便的组建和扩充分支站点、远程办公室等接入网络;更加简单的方便管理;利用虚拟隧道技术提供网络连接拓扑结构简单明了。
×××结构和分类:站点到站点的×××和远程访问×××。
×××的工作原理:×××技术是以基于安全协议的IP隧道为基础,实现网络的互联,用访问控制列表来进一步增强网络的安全性。密钥的产生、分类及管理、虚拟网络管理等×××安全管理技术增强了×××系统的可维护性和易管理性。×××系统利用不可信任是我公共网络通信,通过安全的IP隧道来保证信息的机密性、完整性及可鉴别性。
第二层隧道协议和第三层隧道协议的比较:
二层隧道协议主要有:PPTP(点到点隧道协议)、L2F(二层转发协议)、L2TP(二层隧道协议)。
三层隧道协议主要有:GRE(通用路由封装协议)、IPsec协议。
区别:第三层和第二层的隧道相比,第三层隧道协议的优势在于它的安全性、可扩展性于可靠性;因为第二层隧道协议一般终止在用户设备上,对于用户的安全来说提出了十分严峻的考验:但是第三层隧道一般是终止在ISP网关上,因此一般情况下不会对用户网的安全技术提出较高要求;从另一个方面来说,第二层隧道协议内封装了整个PPP帧,这可能产生传输效率问题。其次,PPP会话状态与信息,这将对系统符合残生较大的影响,也可能会影响到系统的可扩展性。也因为PPP的LCP和NCP协商对时间是非常的敏感,这样就会出现效率低的问题。但是,第三层隧道协议是终止在ISP的网关内,PPP会话终止在NAS处,用户侧网关无需要管理和维护每个PPP对话的状态,来减轻了系统的负荷。虽然,第二层隧道协议是和第三层隧道协议分开使用的;但是如果把第三层和第二层来一起使用会有更好的效果。
基于第二层L2TP的配置;
为了方便我们实验的完整性;路由远程服务我们已经开启:
2.1.打开路由远程访问界面,进入×××界面在“站点2”上新建接口连接;如图所示:
Win2003R2——site2直连client0
clip_p_w_picpath004
2.2.配置完上一步根据向导界面配置点击下一步:
clip_p_w_picpath006
2.3.在连接的类型中我们来选择×××即可完成,当然我们还可以来使用PPP来完成。
clip_p_w_picpath008
2.4.在×××的配置类型之中我们可以选择“自动选择”即可!!!
clip_p_w_picpath010
2.5.输入对方目的的IP地址;在这里我们要明白输入的是对方连接Internet的接口的IP地址;
clip_p_w_picpath012
2.6.在新建请求拨号的向导中,我们选择第二项,然后会出现如图所示的向导界面:这里的界面是通过手工指定的:如图所示:
clip_p_w_picpath014
2.7.我们在这里所输入的用户名和密码是已经创建好的。并且给了他拨入的权限;
clip_p_w_picpath016
2.8.我们在匹配的时候是不是也要输入对方的用户名和密码;这样就能够提高了网络的高安全性;对方的用户名和密码也是存在的也有相应的拨入权限;因为我们在本地的工作组中,所以我们不需要添加域。
clip_p_w_picpath018
2.9.这样就完成了整个试验的过程:
clip_p_w_picpath020
2.1.1.在完成我们的接口连接;然后我们来验证是是不是能够正确的连接:
clip_p_w_picpath022
2.1.2.在命令行下我们来查看具体的配置:
clip_p_w_picpath024
2.2.1.在“站点1”上的配置和在“站点2”上的配置是一模一样的,因此我们就不详细的介绍了;我们来看这里的创建是不是能够和对端的正常连接:如图:::
Win2003SP1——site1直连真机
clip_p_w_picpath026
掌握第二层(L2TP)×××排错的一些基本方法:
3.1.在client2(XP)上来测试网络的互通性以及查看客户机的配置:
clip_p_w_picpath028
clip_p_w_picpath030
3.2.在真机上来测试网络的互通性;以及查看客户机的配置:
clip_p_w_picpath032
clip_p_w_picpath034
3.3.掌握排错的方法:
3.3.1.硬件是不是正常,像网卡等是不是正常的工作服务器是不是满足要求;
3.3.2.远程访问是不是开启;
3.3.3.用户帐户是不是有拨入的权限;
3.3.4.客户端是不是参数是不是配置正确、用户名是不是正确;
3.3.5.是不是远程策略的条件不满足要求;
3.3.6.密码是不是正确、是不是客户端的验证方式和服务器端的验证方式不匹配。