毕业论文_基于虚拟机的VPN实验环境设计与实现

基于虚拟机的VPN 实验环境设计

1引言

在如今开放式交流日益增多的社会，Internet 成为主要的交流媒介，

随着Internet 和信息技术的快速发展，越来越多的企业职工需要将便携式

计算机随时随地连接到企业的网络，越来越多的企业建立跨国分公司或分

支机构，越来越多的企业依靠网络维护来加强他们与合作伙伴或客户之间

的动态联系。所有这些都增加了远程连接成本、网络复杂性，带来了网络

的管理和安全性问题。VPN （虚拟专用网，Virtual Private Network）技

术就是在这种形势下应运而生的，它使企业、学校、行政部门能够在公共

网络上创建自己的专用网络。于是，各个部门的网络想连接到哪里都可以，保密性、安全性、可管理性的问题也容易解决了，而且还可以降低网络的

使用成本。

为此，本文将首先VPN 做一个全面的介绍，然后对与VPN 技术相关的

理论知识给予介绍，接着对VPN 技术进行了较详细的论述，基于虚拟机软

件的一机多系统运行功能，建立有服务器一种实现方案，有着重要的实际

推广价值和理论研究意义。

2 主要技术

2.1虚拟机技术

虚拟机是指一台在物理计算机上虚拟出来的独立的逻辑计算机，虚拟

机可以通过虚拟机软件进行创建。虚拟机技术的出现及虚拟机软件强大的

虚拟功能，使得利用有限的实验设备开展以前无法开展的实验成为可能。

虚拟技术可以方便地在一个主系统上建立多个同构或者异构的虚拟计算机

系统，而且这些系统可以同时运行和来回切换而无需重新启动系统。还可

以将这些计算机相互连接起来形成网络。能够利用Internet 或其他公共互

联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能

保障，因此，采用计算机虚拟技术可以构建起一个虚拟的实验环境，大部

分计算机的实践活动都可以在这样的虚拟环境中完成。

2.2 VPN技术

2.2.1 VPN概念

VPN 的英文全称是‚Virtual Private Network ‛，翻译过来就是‚虚拟

专用网络‛。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内

部专线。

虚拟专用网（vpn ）被定义为通过一个公用网络（通常是因特网）建立

一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧

道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司

分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保

证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网

接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线

路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.2.2 VPN功能和特点

VPN 可以提供的功能：防火墙功能、认证、加密、隧道化。VPN 可以通

过特殊加密的通讯协议连接到Internet 上，在位于不同地方的两个或多个

企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申

请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN

技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2003等软件里也都支持VPN 功能，一句话，VPN 的核心就是在利用公共网

络建立虚拟私有网。

VPN 主要采用的四项安全保证技术：VPN 主要采用隧道技术、加解密技

术、密钥管理技术和使用者与设备身份认证技术。

虽然实现VPN 的技术和方式很多，但所有的VPN 均应保证通过公用网

络平台传输数据的专用性和安全性。在安全性方面，由于VPN 直接构建在

公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业

必须确保其VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用

户对网络资源或私有信息的访问。

VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业

务对服务质量保证的要求差别较大。在网络优化方面，构建VPN 的另一重

要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻

塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量

的网络带宽空闲。

QoS 通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，

使得各类数据能够被合理地先后发送，并预防阻塞的发生。

VPN 必须能够支持通过Intranet 和Extranet 的任何类型的数据流，方

便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图

像和数据等新应用对高质量传输以及带宽增加的需求。

从用户角度和运营商角度应可方便地进行管理、维护。VPN 管理的目标

为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，

VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS

管理等内容。

2.2.3 VPN需求

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同

公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据

流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地

减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的

设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现

有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方

案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可

用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实

现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙

伴和用户的安全外联网虚拟专用网。目前很多单位都面临着这样的挑战：

分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访

问公司的资源，这些资源包括：公司的内部资料、办公OA 、ERP 系统、CRM

系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总

部和分支机构以及移动工作人员之间安全连接。

2.2.4 VPN技术的可行性和必要性

VPN 的目的在于，利用公共通信网络设施在某一相同的安全策略下将具

有某种共同利益的网络和/或主机连接成一个可管理的‚自己‛的网络。这

样一种‚自己专用‛的网络，无需花钱投资建立和维护远程通信线路和网

络设备，同时可在一定程度上对穿过公共通信区域（这是一个充满危险的

互不信任的环境）的数据内容保持隐蔽性。这就是说，可以利用VPN 技术

在公共通信网络基础设施中‚虚拟‛出一组织机构内通信的某些部分，在

利用公共基础设施（带宽、中继或转发设备等）的同时，使通信的部分或

全部在外部观察者看来是‚不可见的‛。

由此可见，相对专用网，VPN 可以大大降低成本；相对因特网通信，VPN

又具有很好的安全性。因此，对于企事业单位、党政机关、金融系统等跨

地域组建‚自己专用‛的网络提供了经济能力可承受且相对安全的技术手

段。可以预见，这将是企事业单位、党政机关、金融系统等组成内联网、

外联网和实现远程接入网的基本的、主要的方法，与此同时，各种ISP 也

必将投入更大的力量，为各种用户提供VPN 服务。

3系统软件安装

虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全

隔离环境中的完整计算机系统。虚拟机支持多系统安装和多系统运行，并

且支持所有系统的安装和多网卡扩展，能节省网卡扩展成本，虚拟系统不

会降低电脑的性能，启动虚拟系统不需要像启动windows 系统那样耗费时

间，运行程序更加方便快捷。和更方便的操作。

3.1虚拟机安装

双击打开虚拟机安装包文件，打开后出现一些提示性息，记录此性息

后点击确定按钮，然后选择继续安装虚拟机，再点击系一步。

文选用VMware Workstation V6.0.2 Build 50824，出现虚拟机安装向

导。

如下图：

图3.1 虚拟机安装向导

点击Next 继续，为方便实验，这里选用安装地址为默认C 盘，安装类

型选择典型安装，弹出注册性息后输入注册码再Next 直到点击Install 后

开始安装，等待几分钟后安装完成，点击Finish 后提示重启电脑，选择是

重启PC ，虚拟机安装完成。

图3.2 完成安装

重启系统后虚拟机就可以正常运行，这时需要在虚拟机里面安装新的

系统，这里选择Windows Server 2003 Enterprise Edition SP1，打开虚

拟机后，在虚拟机平台右侧点击新建虚拟机，也可以文件—新建—虚拟机

创建新的虚拟机。

图3.3 虚拟机

出现新建虚拟机安装向导，一直默认下一步直到虚拟机新建完成，接

着安装上下载完成的Windows Server 2003 Enterprise Edition SP1.iso

镜像，配置两块网卡（后面VPN 建设时需要，这里先配置好，方便下面创

建），然后点击左侧窗口的启动该虚拟机，开始安装系统，安装步骤和主机

PC 安装系统一样。安装完成后启动系统如下图：

图3.4 Windows Server 2003

这里安装系统时计算机名为VPN ，用户名vpn-fwq ，密码123，进入系

统后便可建立VPN 。

4实验环境设计

上面基于虚拟机的VPN 试验环境已经顺利设计完成，下面就是VPN 实

例建设，以校园网VPN 建设为例子建立。

4.1软硬件配置

服务器端：Windows Server 2003系统平台且该机器需配有两块网卡。

客户端：Windows 系列的系统平台且需配有网卡或者调制解调器，能够通过

ISP 连接到Internet 。

4.2实现步骤

实现步骤为：

1、使用Windows Server 2003服务器的RRAS 服务配置VPN 服务器；

2、在Windows Server 2003上配置VPN 客户端。

4.3Windows Server 2003配置VPN(PPTP)服务器

Windows Server 2003路由和远程访问服务(RRAS)可用来建立使用PPTP

或L2TP 的VPN 连接。VPN 连接可以通过两种方法建立：

1) 路由器到路由器，使两个网络能够通过一个安全链接进行通信。

2) 用户到远程访问服务器(RAS)，使用户能够通过Interne 连接到远程

服务器。

两种类型的VPN 连接都作为使用RAS 拨号连接建立。事实上，RRAS 处

理一个导入申请来建立一个VPN 连接的方法类似于处理一个与远程服务器

的拨号连接。在这个例子中使用的是第二种方法，即“用户到远程访问服务

器(RAS)”。使用Windows Server 2003配置VPN(PPTP)远程访问服务器，首

先可以通过向导完成VPN 服务器的基本配置，然后再对其“属性”、“端口”、“接口筛选器”和“访问策略”等进行配置。其中“接口筛选器”和“访问策略”的

设置对服务器的安全以及用户的访问权限起到了关键作用。

4.4VPN 远程访问服务器基本配置

首先，由程序令管理工具令路由和远程访问进入Windows Server 2003

的“路由和远程访可”的微软管理控制台(MMC)，如图4.1：

图4.1 路由和远程访问界面

选择‚配置并启用路由和远程访问‛运行‚路由和远程访问服务器安

装向导‛。上述过程中可以完成VPN 服务器的基本设置。上图为已经安装了

服务器，没有通过‚路由和远程访问服务器安装向导‛时就不存在VPN （本

地）选项。如选择用于和Internet 连接的网卡(IP为192.168.1.104) 、选

择用户获取IP 的方法或者指定VPN 服务器为远程用户提供的地址范围(本

例中使用的是静态地址段：192.168.1.100-143) 、选择是否配置目前还没

有建立的RADIUS 服务器。这些设置在VPN 服务器向导结束后，都是可以在

RRAS 的MMC 中服务器的‚属性‛中进行更改的。VPN 服务器的基本配置完

成后，界面如图4.2所示。

图4.2 路由配置服务器

4.5VPN 服务器属性

VPN 服务器基本配置完成后，可以在服务器控制台中对其属性进行配置

或更改。

在服务器‚属性‛中，可以从‚常规‛、‚安全‛、‚IP ‛等方面对服务

器进行配置。在‚常规‛中可以对服务器的用途和使用方式进行选择，在

‚安全‛中对服务器的身份验证方法进行选择，在‚IP ‛中可以选择用户

获得IP 地址的方法或者更改分配给远程用户的IP 地址范围。

1) ‚常规‛标签页

①路由器

如果RRAS 将充当网络路由器，则启用该选项。启用后，有两个路由模

式供选择：

a 、仅用于局域网(LAN)路由选择。

如果所有的路由都在局域网中进行，则选中该项。

b 、用于局域网和请求拨号路由选择。

如果路由器还需要配置用来同远程网络建立按需路由器连接，则选中

该项。

②远程访问服务器

如果将RRAS 配置成一个供用户远程访问该网络的拨入访问服务入口，

则启用该选项。只要选择了‚远程访问服务器‛，RRAS 就将支持VPN 用户，如果这里没有选择‚远程访问服务器‛，那么后面VPN 远程访问操作便会失

败，但是一般情况下，‚路由和远程访问服务器安装向导‛被安装完成后，‚远程访问服务器‛选项是默认打开的，这里检查是否打开，如果没有打

开就选上打开，一般选择默认就可以。如图4.3。

图4.3 VPN（本地）属性常规界面

2) ‚安全‛标签页

这一页含有身份验证和记帐的设置。在这里，可以选择‚Windows 身份

认证‛或‚RADIUS 身份认证‛，以对用户身份进行认证。如果在向导配置时

没有选择‚RADIUS 身份认证‛，可在这里选择，并点击‚配置‛按钮来添加

RADIUS 服务器。本例中选择‚Windows 身份认证‛。同样，记帐程序也有

‚Windows 记帐‛和‚RADIUS 记帐‛方法，还可以选择‚无‛不进行记帐。记帐程序记录了连接活动的日志。在这里，需要选择‚身份验证方法‛。当

网络用户和VPN 服务器建立连接时，用户和服务器进行协商，决定进行身

份验证的方法。只有当用户和服务器至少有一个相同的身份验证方法时，

协商才会成功。

本例中，选择的是‚Microsoft 加密身份验证版本2(MS-CHAPv2)‛和

‚Microsoft 加密身份验证(MS-CHAP)‛，这也是微软的推荐选项。在图中所

示的身份验证方法中，由下到上其安全性依次增强。最下面一个选项‚未

经身份验证的访问‛可使用户在无需提供用户名和密码的情况下进行验证。只有当用户能够进行的活动受到严格限制时才允许未经身份验证用户的访

问。点击‚EAP 方法‛按钮可查看‚可扩充的身份验证协议(EAP)‛所支持

的方法。一般都包含有‚MD5-质询‛方法，而另一种方法‚智能卡或其它

证书属性‛只有当服务器加入到‚域‛之后才会出现。

①MD5-质询

质询握手验证协议(EA-MD5CHAP)应用CHAP 协议，以EAP 消息的形式发

送质询和响应. 该协议通过用户名和密码验证用户身份。

②智能卡或其它证书属性

该方法支持基于硬件或软件形式的数字签名。如果要对智能卡使用典

型设置，请在“安全”选项卡上单击“典型（推荐设置）”，并在“验证我的身份为”中单击“使用智能卡”，然后点击“确定”。如果要使用驻留在智能卡上

的证书，请单击“使用我的智能卡”。果要使用驻留在计算机证书存储中的证

书，请单击“在此计算机上使用证书”。

图4.4 VPN（本地）属性安全界面

3)IP 标签页

在该页上选择服务器分配给用户IP 地址的方法是使用动态地址分配还

是静态地址分配，如果是静态方法，需要确定分配的地址范围。其它按默

认设置即可。其它的标签页：IPX ，PPP 和事件日志使用默认设置就可以。

基于虚拟机的VPN 实验环境设计

1引言

在如今开放式交流日益增多的社会，Internet 成为主要的交流媒介，

随着Internet 和信息技术的快速发展，越来越多的企业职工需要将便携式

计算机随时随地连接到企业的网络，越来越多的企业建立跨国分公司或分

支机构，越来越多的企业依靠网络维护来加强他们与合作伙伴或客户之间

的动态联系。所有这些都增加了远程连接成本、网络复杂性，带来了网络

的管理和安全性问题。VPN （虚拟专用网，Virtual Private Network）技

术就是在这种形势下应运而生的，它使企业、学校、行政部门能够在公共

网络上创建自己的专用网络。于是，各个部门的网络想连接到哪里都可以，保密性、安全性、可管理性的问题也容易解决了，而且还可以降低网络的

使用成本。

为此，本文将首先VPN 做一个全面的介绍，然后对与VPN 技术相关的

理论知识给予介绍，接着对VPN 技术进行了较详细的论述，基于虚拟机软

件的一机多系统运行功能，建立有服务器一种实现方案，有着重要的实际

推广价值和理论研究意义。

2 主要技术

2.1虚拟机技术

虚拟机是指一台在物理计算机上虚拟出来的独立的逻辑计算机，虚拟

机可以通过虚拟机软件进行创建。虚拟机技术的出现及虚拟机软件强大的

虚拟功能，使得利用有限的实验设备开展以前无法开展的实验成为可能。

虚拟技术可以方便地在一个主系统上建立多个同构或者异构的虚拟计算机

系统，而且这些系统可以同时运行和来回切换而无需重新启动系统。还可

以将这些计算机相互连接起来形成网络。能够利用Internet 或其他公共互

联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能

保障，因此，采用计算机虚拟技术可以构建起一个虚拟的实验环境，大部

分计算机的实践活动都可以在这样的虚拟环境中完成。

2.2 VPN技术

2.2.1 VPN概念

VPN 的英文全称是‚Virtual Private Network ‛，翻译过来就是‚虚拟

专用网络‛。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内

部专线。

虚拟专用网（vpn ）被定义为通过一个公用网络（通常是因特网）建立

一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧

道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司

分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保

证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网

接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线

路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.2.2 VPN功能和特点

VPN 可以提供的功能：防火墙功能、认证、加密、隧道化。VPN 可以通

过特殊加密的通讯协议连接到Internet 上，在位于不同地方的两个或多个

企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申

请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN

技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2003等软件里也都支持VPN 功能，一句话，VPN 的核心就是在利用公共网

络建立虚拟私有网。

VPN 主要采用的四项安全保证技术：VPN 主要采用隧道技术、加解密技

术、密钥管理技术和使用者与设备身份认证技术。

虽然实现VPN 的技术和方式很多，但所有的VPN 均应保证通过公用网

络平台传输数据的专用性和安全性。在安全性方面，由于VPN 直接构建在

公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业

必须确保其VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用

户对网络资源或私有信息的访问。

VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业

务对服务质量保证的要求差别较大。在网络优化方面，构建VPN 的另一重

要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻

塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量

的网络带宽空闲。

QoS 通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，

使得各类数据能够被合理地先后发送，并预防阻塞的发生。

VPN 必须能够支持通过Intranet 和Extranet 的任何类型的数据流，方

便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图

像和数据等新应用对高质量传输以及带宽增加的需求。

从用户角度和运营商角度应可方便地进行管理、维护。VPN 管理的目标

为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，

VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS

管理等内容。

2.2.3 VPN需求

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同

公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据

流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地

减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的

设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现

有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方

案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可

用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实

现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙

伴和用户的安全外联网虚拟专用网。目前很多单位都面临着这样的挑战：

分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访

问公司的资源，这些资源包括：公司的内部资料、办公OA 、ERP 系统、CRM

系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总

部和分支机构以及移动工作人员之间安全连接。

2.2.4 VPN技术的可行性和必要性

VPN 的目的在于，利用公共通信网络设施在某一相同的安全策略下将具

有某种共同利益的网络和/或主机连接成一个可管理的‚自己‛的网络。这

样一种‚自己专用‛的网络，无需花钱投资建立和维护远程通信线路和网

络设备，同时可在一定程度上对穿过公共通信区域（这是一个充满危险的

互不信任的环境）的数据内容保持隐蔽性。这就是说，可以利用VPN 技术

在公共通信网络基础设施中‚虚拟‛出一组织机构内通信的某些部分，在

利用公共基础设施（带宽、中继或转发设备等）的同时，使通信的部分或

全部在外部观察者看来是‚不可见的‛。

由此可见，相对专用网，VPN 可以大大降低成本；相对因特网通信，VPN

又具有很好的安全性。因此，对于企事业单位、党政机关、金融系统等跨

地域组建‚自己专用‛的网络提供了经济能力可承受且相对安全的技术手

段。可以预见，这将是企事业单位、党政机关、金融系统等组成内联网、

外联网和实现远程接入网的基本的、主要的方法，与此同时，各种ISP 也

必将投入更大的力量，为各种用户提供VPN 服务。

3系统软件安装

虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全

隔离环境中的完整计算机系统。虚拟机支持多系统安装和多系统运行，并

且支持所有系统的安装和多网卡扩展，能节省网卡扩展成本，虚拟系统不

会降低电脑的性能，启动虚拟系统不需要像启动windows 系统那样耗费时

间，运行程序更加方便快捷。和更方便的操作。

3.1虚拟机安装

双击打开虚拟机安装包文件，打开后出现一些提示性息，记录此性息

后点击确定按钮，然后选择继续安装虚拟机，再点击系一步。

文选用VMware Workstation V6.0.2 Build 50824，出现虚拟机安装向

导。

如下图：

图3.1 虚拟机安装向导

点击Next 继续，为方便实验，这里选用安装地址为默认C 盘，安装类

型选择典型安装，弹出注册性息后输入注册码再Next 直到点击Install 后

开始安装，等待几分钟后安装完成，点击Finish 后提示重启电脑，选择是

重启PC ，虚拟机安装完成。

图3.2 完成安装

重启系统后虚拟机就可以正常运行，这时需要在虚拟机里面安装新的

系统，这里选择Windows Server 2003 Enterprise Edition SP1，打开虚

拟机后，在虚拟机平台右侧点击新建虚拟机，也可以文件—新建—虚拟机

创建新的虚拟机。

图3.3 虚拟机

出现新建虚拟机安装向导，一直默认下一步直到虚拟机新建完成，接

着安装上下载完成的Windows Server 2003 Enterprise Edition SP1.iso

镜像，配置两块网卡（后面VPN 建设时需要，这里先配置好，方便下面创

建），然后点击左侧窗口的启动该虚拟机，开始安装系统，安装步骤和主机

PC 安装系统一样。安装完成后启动系统如下图：

图3.4 Windows Server 2003

这里安装系统时计算机名为VPN ，用户名vpn-fwq ，密码123，进入系

统后便可建立VPN 。

4实验环境设计

上面基于虚拟机的VPN 试验环境已经顺利设计完成，下面就是VPN 实

例建设，以校园网VPN 建设为例子建立。

4.1软硬件配置

服务器端：Windows Server 2003系统平台且该机器需配有两块网卡。

客户端：Windows 系列的系统平台且需配有网卡或者调制解调器，能够通过

ISP 连接到Internet 。

4.2实现步骤

实现步骤为：

1、使用Windows Server 2003服务器的RRAS 服务配置VPN 服务器；

2、在Windows Server 2003上配置VPN 客户端。

4.3Windows Server 2003配置VPN(PPTP)服务器

Windows Server 2003路由和远程访问服务(RRAS)可用来建立使用PPTP

或L2TP 的VPN 连接。VPN 连接可以通过两种方法建立：

1) 路由器到路由器，使两个网络能够通过一个安全链接进行通信。

2) 用户到远程访问服务器(RAS)，使用户能够通过Interne 连接到远程

服务器。

两种类型的VPN 连接都作为使用RAS 拨号连接建立。事实上，RRAS 处

理一个导入申请来建立一个VPN 连接的方法类似于处理一个与远程服务器

的拨号连接。在这个例子中使用的是第二种方法，即“用户到远程访问服务

器(RAS)”。使用Windows Server 2003配置VPN(PPTP)远程访问服务器，首

先可以通过向导完成VPN 服务器的基本配置，然后再对其“属性”、“端口”、“接口筛选器”和“访问策略”等进行配置。其中“接口筛选器”和“访问策略”的

设置对服务器的安全以及用户的访问权限起到了关键作用。

4.4VPN 远程访问服务器基本配置

首先，由程序令管理工具令路由和远程访问进入Windows Server 2003

的“路由和远程访可”的微软管理控制台(MMC)，如图4.1：

图4.1 路由和远程访问界面

选择‚配置并启用路由和远程访问‛运行‚路由和远程访问服务器安

装向导‛。上述过程中可以完成VPN 服务器的基本设置。上图为已经安装了

服务器，没有通过‚路由和远程访问服务器安装向导‛时就不存在VPN （本

地）选项。如选择用于和Internet 连接的网卡(IP为192.168.1.104) 、选

择用户获取IP 的方法或者指定VPN 服务器为远程用户提供的地址范围(本

例中使用的是静态地址段：192.168.1.100-143) 、选择是否配置目前还没

有建立的RADIUS 服务器。这些设置在VPN 服务器向导结束后，都是可以在

RRAS 的MMC 中服务器的‚属性‛中进行更改的。VPN 服务器的基本配置完

成后，界面如图4.2所示。

图4.2 路由配置服务器

4.5VPN 服务器属性

VPN 服务器基本配置完成后，可以在服务器控制台中对其属性进行配置

或更改。

在服务器‚属性‛中，可以从‚常规‛、‚安全‛、‚IP ‛等方面对服务

器进行配置。在‚常规‛中可以对服务器的用途和使用方式进行选择，在

‚安全‛中对服务器的身份验证方法进行选择，在‚IP ‛中可以选择用户

获得IP 地址的方法或者更改分配给远程用户的IP 地址范围。

1) ‚常规‛标签页

①路由器

如果RRAS 将充当网络路由器，则启用该选项。启用后，有两个路由模

式供选择：

a 、仅用于局域网(LAN)路由选择。

如果所有的路由都在局域网中进行，则选中该项。

b 、用于局域网和请求拨号路由选择。

如果路由器还需要配置用来同远程网络建立按需路由器连接，则选中

该项。

②远程访问服务器

如果将RRAS 配置成一个供用户远程访问该网络的拨入访问服务入口，

则启用该选项。只要选择了‚远程访问服务器‛，RRAS 就将支持VPN 用户，如果这里没有选择‚远程访问服务器‛，那么后面VPN 远程访问操作便会失

败，但是一般情况下，‚路由和远程访问服务器安装向导‛被安装完成后，‚远程访问服务器‛选项是默认打开的，这里检查是否打开，如果没有打

开就选上打开，一般选择默认就可以。如图4.3。

图4.3 VPN（本地）属性常规界面

2) ‚安全‛标签页

这一页含有身份验证和记帐的设置。在这里，可以选择‚Windows 身份

认证‛或‚RADIUS 身份认证‛，以对用户身份进行认证。如果在向导配置时

没有选择‚RADIUS 身份认证‛，可在这里选择，并点击‚配置‛按钮来添加

RADIUS 服务器。本例中选择‚Windows 身份认证‛。同样，记帐程序也有

‚Windows 记帐‛和‚RADIUS 记帐‛方法，还可以选择‚无‛不进行记帐。记帐程序记录了连接活动的日志。在这里，需要选择‚身份验证方法‛。当

网络用户和VPN 服务器建立连接时，用户和服务器进行协商，决定进行身

份验证的方法。只有当用户和服务器至少有一个相同的身份验证方法时，

协商才会成功。

本例中，选择的是‚Microsoft 加密身份验证版本2(MS-CHAPv2)‛和

‚Microsoft 加密身份验证(MS-CHAP)‛，这也是微软的推荐选项。在图中所

示的身份验证方法中，由下到上其安全性依次增强。最下面一个选项‚未

经身份验证的访问‛可使用户在无需提供用户名和密码的情况下进行验证。只有当用户能够进行的活动受到严格限制时才允许未经身份验证用户的访

问。点击‚EAP 方法‛按钮可查看‚可扩充的身份验证协议(EAP)‛所支持

的方法。一般都包含有‚MD5-质询‛方法，而另一种方法‚智能卡或其它

证书属性‛只有当服务器加入到‚域‛之后才会出现。

①MD5-质询

质询握手验证协议(EA-MD5CHAP)应用CHAP 协议，以EAP 消息的形式发

送质询和响应. 该协议通过用户名和密码验证用户身份。

②智能卡或其它证书属性

该方法支持基于硬件或软件形式的数字签名。如果要对智能卡使用典

型设置，请在“安全”选项卡上单击“典型（推荐设置）”，并在“验证我的身份为”中单击“使用智能卡”，然后点击“确定”。如果要使用驻留在智能卡上

的证书，请单击“使用我的智能卡”。果要使用驻留在计算机证书存储中的证

书，请单击“在此计算机上使用证书”。

图4.4 VPN（本地）属性安全界面

3)IP 标签页

在该页上选择服务器分配给用户IP 地址的方法是使用动态地址分配还

是静态地址分配，如果是静态方法，需要确定分配的地址范围。其它按默

认设置即可。其它的标签页：IPX ，PPP 和事件日志使用默认设置就可以。