利用windows2003實現VPN伺服器的組建與架構（二）站點到站點之間的VPN

科技小先鋒發表於2017-11-14

利用windows 2003 實現VPN伺服器的組建與架構（二）站點到站點之間的VPN

實驗環境：

西安凌雲高科技有限公司由於業務快速的發展，在廣州成立了分公司：為了保證西安總公司和廣州分公司網路的正常通訊、資源互訪以及方便的管理；最初我們採取DDN資料專線來連通了西安總公司和廣州的資源互訪和集中的管理；但是這樣雖然安全也比較實用、但是DDN的費用是一筆很大的開銷；為此總經理非常苦惱；為了解決公司一系列的狀況，我們決定採用VPN來實現兩個公司的正常通訊，這樣既解決了總經理的苦惱；也更加增加了網路的安全性和資源的可利用性。

我們曾經在以前的cisco路由器上做過基於三層的IPsec的VPN；那麼我們在基於windows 2003上來能否實現第二層的L2TP站點到站點的VPN解決公司現有的狀況呢？答案是肯定的；那麼就讓我們拭目以待吧！！！

實驗目的：

能夠理解VPN的工作原理以及以一些相關的概念；

能夠理解第二層（L2TP）協議VPN的基本配置；

掌握第二層（L2TP）VPN排錯的一些基本方法；

能夠讓西安總公司和廣州分公司能夠正常的通訊；

實驗拓撲：

利用windows2003實現VPN伺服器的組建與架構（二）站點到站點之間的VPN

實驗步驟：

VPN的工作原理以及一些相關的概念：

在做基於windows service 2003上的VPN的時候我們是不是還記得我們在CISCO上關於IPsecVPN的配置呢?現在我們來共同的來做一個比較！！！

瞭解一下VPN的特點；VPN的分類；VPN的優點；VPN的工作原理：

VPN是利用Internet上或者一些公共的設施來實現一條虛擬的隧道，而且提供了和專用網路一樣的安全保障。VPN是通過兩種方法來保證網路上的安全的：首先是物理分離，它是隻有指定的接收者才能訪問訊號：另一種是迷惑；雖然能夠檢測到訊號，但是隻有指定的接收者才能理解其中的意思（通過金鑰或者加密演算法）。

VPN的特點：VPN和傳統的區別是在於他是虛擬的不是實際存在的；他是通過Internet來虛擬出來的；VPN只是為特定的企業或者使用者群體所使用；VPN不是一種簡單的高層業務。

VPN的優點:費用低，不需要租用遠端專用線路，也不需要遠端撥號接入公司；更加高效的靈活性，他可以方便的組建和擴充分支站點、遠端辦公室等接入網路；更加簡單的方便管理；利用虛擬隧道技術提供網路連線拓撲結構簡單明瞭。

VPN接面構和分類：站點到站點的VPN和遠端訪問VPN。

VPN的工作原理：VPN技術是以基於安全協議的IP隧道為基礎，實現網路的互聯，用訪問控制列表來進一步增強網路的安全性。金鑰的產生、分類及管理、虛擬網路管理等VPN安全管理技術增強了VPN系統的可維護性和易管理性。VPN系統利用不可信任是我公共網路通訊，通過安全的IP隧道來保證資訊的機密性、完整性及可鑑別性。

第二層隧道協議和第三層隧道協議的比較：

二層隧道協議主要有：PPTP（點到點隧道協議）、L2F（二層轉發協議）、L2TP（二層隧道協議）。

三層隧道協議主要有：GRE（通用路由封裝協議）、IPsec協議。

區別：第三層和第二層的隧道相比，第三層隧道協議的優勢在於它的安全性、可擴充套件性於可靠性；因為第二層隧道協議一般終止在使用者裝置上，對於使用者的安全來說提出了十分嚴峻的考驗：但是第三層隧道一般是終止在ISP閘道器上，因此一般情況下不會對使用者網的安全技術提出較高要求；從另一個方面來說，第二層隧道協議內封裝了整個PPP幀，這可能產生傳輸效率問題。其次，PPP會話狀態與資訊，這將對系統符合殘生較大的影響，也可能會影響到系統的可擴充套件性。也因為PPP的LCP和NCP協商對時間是非常的敏感，這樣就會出現效率低的問題。但是，第三層隧道協議是終止在ISP的閘道器內，PPP會話終止在NAS處，使用者側閘道器無需要管理和維護每個PPP對話的狀態，來減輕了系統的負荷。雖然，第二層隧道協議是和第三層隧道協議分開使用的；但是如果把第三層和第二層來一起使用會有更好的效果。

基於第二層L2TP的配置；

為了方便我們實驗的完整性；路由遠端服務我們已經開啟:

2.1.開啟路由遠端訪問介面，進入VPN介面在“站點2”上新建介面連線；如圖所示：

Win2003R2——site2直連client0