設(shè)置路由及遠(yuǎn)程訪問服務(wù)

接下來我們安裝有關(guān)IKEv2 VPN服務(wù)器，相關(guān)必要的服務(wù)器角色與設(shè)置，這部分操作可以通過登錄時自動開啟的“初始化設(shè)置工作”界面來進(jìn)行。想要手動開啟“初始化設(shè)置工作”界面，只要在“開始”菜單的搜尋字段中輸入oobe即可。成功開啟界面之后，在此頁面中單擊“新增角色”繼續(xù)。

注意：關(guān)于服務(wù)器角色的新增方法，也可以選擇從“服務(wù)器管理員”界面中的“角色”節(jié)點頁面中來完成。

在“選取服務(wù)器角色”頁面中，請將“網(wǎng)絡(luò)策略與訪問服務(wù)”角色勾選并且單擊“下一步”繼續(xù)。在“選取角色服務(wù)”頁面中，分別勾選“網(wǎng)絡(luò)策略服務(wù)器”以及“路由及遠(yuǎn)程訪問服務(wù)”，單擊“下一步”。最后，在“確認(rèn)”頁面中，一旦確認(rèn)正確選取了所需安裝的角色服務(wù)之后，單擊“安裝”即可。成功完成安裝“網(wǎng)絡(luò)策略與訪問服務(wù)”角色之后，單擊“關(guān)閉”按鈕。

接著，在“系統(tǒng)管理工具”頁面中，單擊開啟“路由及遠(yuǎn)程訪問”項目繼續(xù)。在“路由及遠(yuǎn)程訪問界面”中，在默認(rèn)狀態(tài)下是尚未進(jìn)行任何設(shè)置與啟動的，因此必須在服務(wù)器節(jié)點上點擊鼠標(biāo)右鍵，單擊“設(shè)置和啟用路由及遠(yuǎn)程訪問”繼續(xù)，將會開啟“路由及遠(yuǎn)程訪問服務(wù)器安裝向?qū)А薄Ｊ紫?，在“設(shè)置”頁面中選取“遠(yuǎn)程訪問（撥號或VPN）”項目，單擊“下一步”。在“遠(yuǎn)程訪問”頁面中，勾選“VPN”項目，并單擊“下一步”。

注意：關(guān)于“撥號”選項是早期通過調(diào)制解調(diào)器（Modem）的遠(yuǎn)程連接訪問方式，雖然有著另一個層面的安全性優(yōu)點，但傳輸速度慢以及用戶移動計算機(jī)必須通過電話線路連接才能使用，如今幾乎沒有公司在使用了。

在“VPN連接”頁面中，必須選取此服務(wù)器上負(fù)責(zé)連接網(wǎng)際網(wǎng)絡(luò)的網(wǎng)絡(luò)界面，在此由于筆者預(yù)先已經(jīng)修改了內(nèi)外網(wǎng)卡的顯示名稱，因此便顯得較容易識別與選擇。此外，在這里還必須將“設(shè)置靜態(tài)封包篩選器來啟用選擇界面的安全性”項目勾選。單擊“下一步”。

在“IP地址指派”頁面中，您可以選擇要采用“自動”還是“從選定范圍的地址”來指派IP地址給遠(yuǎn)程連接成功的客戶端，如果選擇前者，在內(nèi)部域中必須要有DHCP服務(wù)器。至于后者，則可以自行選定IP地址范圍來分派，不過不能與DHCP所設(shè)置的范圍沖突。在此我們選擇“自動”。單擊“下一步”繼續(xù)。

在“正在管理多個遠(yuǎn)程訪問服務(wù)器”頁面中，選取“否，使用路由及遠(yuǎn)程訪問來驗證連接要求”項目，主要原因是在我們的網(wǎng)絡(luò)環(huán)境中，并沒有預(yù)先準(zhǔn)備好另一部專屬的Radius服務(wù)器來處理身份驗證，因此，直接采用本地服務(wù)器來驗證遠(yuǎn)程用戶身分即可。單擊“下一步”繼續(xù)。最后，便可以看到前面的設(shè)置摘要。確認(rèn)無誤之后，請單擊“完成”即可。

圖1 網(wǎng)絡(luò)連接設(shè)置

完成基本VPN服務(wù)的啟用與設(shè)置之后，可能會出現(xiàn)遠(yuǎn)程訪問警告信息，其主要目的在于告知我們VPN網(wǎng)絡(luò)的連接檢查，可以選擇通過本機(jī)的“路由及遠(yuǎn)程訪問服務(wù)策略”或是內(nèi)部域中另一部專屬的“網(wǎng)絡(luò)策略服務(wù)器（NPS）”來負(fù)責(zé)這項工作，為了簡化架構(gòu)設(shè)計，我們將會選擇前者。單擊“下一步”繼續(xù)。

設(shè)置網(wǎng)絡(luò)安全策略

在“遠(yuǎn)程訪問記錄與策略”節(jié)點上，點擊鼠標(biāo)右鍵，單擊“啟動NPS”。接著，將會開啟本地網(wǎng)絡(luò)策略服務(wù)器設(shè)置界面，請在最上層節(jié)點的頁面中單擊“網(wǎng)絡(luò)訪問策略”。在“網(wǎng)絡(luò)策略”頁面中，默認(rèn)會有兩個設(shè)置為拒絕訪問的策略項目，連續(xù)單擊開啟“Connections to Microsoft Routing and Remote Access server”項目。首先，在“概述”頁面中將訪問權(quán)限部分設(shè)置為“授與訪問權(quán)”，然后單擊至“限制”頁面中繼續(xù)。在“限制”頁面中，針對“驗證方法”中的設(shè)置惟一保留“Microsoft Secured password（EAPMSCHAPv2）”項目，然后移除“Microsoft智能卡或其他證書”項目。單擊“確定”完成設(shè)置。

客戶端設(shè)置與連接測試

終于完成了整個IKEv2的VPN服務(wù)器證書與服務(wù)的設(shè)置，接下來便可以來到預(yù)先準(zhǔn)備好的遠(yuǎn)程Windows 7客戶端計算機(jī)，來進(jìn)行相關(guān)的VPN連接設(shè)置與訪問測試了。首先從“控制面板”頁面中“網(wǎng)絡(luò)和共享中心”，開啟之后單擊位于“變更網(wǎng)絡(luò)設(shè)置”區(qū)域中的“設(shè)置新的連接或網(wǎng)絡(luò)”連接繼續(xù)。

在“選擇連接選項”頁面中，選取“連接到工作地點”項，單擊“下一步”。在“您要如何連接”頁面中，單擊“使用我的網(wǎng)際網(wǎng)絡(luò)連接VPN”。輸入所要連接的VPN服務(wù)器網(wǎng)際網(wǎng)絡(luò)FQDN地址，然后輸入自定義的目的地識別名稱以及將“不要立即連接；先設(shè)置好，我稍后再連接”項目勾選，單擊“下一步”。輸入已允許連接VPN網(wǎng)絡(luò)的用戶賬號、密碼以及域名稱，如圖1所示，在完成了VPN網(wǎng)絡(luò)連接的建立之后，請在該圖1上點擊鼠標(biāo)右鍵，選擇“屬性”繼續(xù)。

開啟了VPN網(wǎng)絡(luò)的屬性之后，請在“安全性”頁面中，將VPN類型變更為“IKEv2”，然 后 確 認(rèn) 在“驗證”區(qū)域中已經(jīng)將“使用可延伸的驗證通訊協(xié)議（EAP）”設(shè) 置 為“Microsoft Secured password（EAPMSCHAPv2）”。單擊“進(jìn)階設(shè)置”按鈕繼續(xù)。在“進(jìn)階屬性”的頁面中，可以決定當(dāng)發(fā)生與IKEv2的VPN網(wǎng)絡(luò)連接中斷時，所允許的網(wǎng)絡(luò)中斷時間（默認(rèn)=30分鐘）。連續(xù)單擊兩次“確定”完成設(shè)置。

圖2 連接狀態(tài)檢視

接下來，我們便可以開啟所完成建立與設(shè)置的VPN網(wǎng)絡(luò)連接，在此的用戶賬戶、密碼以及域名稱，由于都已經(jīng)預(yù)先設(shè)置好，因此，請直接單擊“連接”即可。成功連接登錄VPN網(wǎng)絡(luò)之后，便可以嘗試訪問內(nèi)部的服務(wù)器資源。在這個測試環(huán)境中，在搜尋字段中，輸入內(nèi)部共享文檔夾的UNC路徑來開啟連接。當(dāng)成功連接后，將可以看到預(yù)先儲存在內(nèi)部網(wǎng)絡(luò)共享文檔夾中的檔案。

而對于目前所連接的VPN網(wǎng)絡(luò)詳細(xì)信息，您可以在連接階段中開啟此VPN網(wǎng)絡(luò)的狀態(tài)，然后在“詳細(xì)數(shù)據(jù)”中查看即可（如圖2），其中，最重要的是可以看到目前所使用的設(shè)備名稱是“WAN Miniport（IKEv2）”，以 及“Mobile Supported”功能目前是支持的。

最后，建議您可以通過多網(wǎng)絡(luò)環(huán)境下，選擇停用目前運(yùn)作中的區(qū)域連接，然后再啟用原本已經(jīng)設(shè)置為停用的區(qū)域網(wǎng)絡(luò)（或WiFi網(wǎng)絡(luò)、移動網(wǎng)絡(luò)等都可以），來測試看看當(dāng)Internet的連接再度恢復(fù)時，IKEv2的移動性特色是否已成功發(fā)揮。

結(jié)論

時代的不斷發(fā)展，讓信息技術(shù)也得跟著附和人們的需求。從本文的VPN Reconnect技術(shù)部署中，讓我們深知今日企業(yè)的移動工作者是越來越多，想要滿足這一類工作者的需求，最重要的就是要達(dá)到高便利性、高流暢性以及高安全性三大基本需求，就像如今人手一個的iPhone與Android智能型手機(jī)一樣。這項VPN移動連接技術(shù)，也支持了最新Windows 10客戶端的使用，而且可以讓連接的網(wǎng)絡(luò)傳輸速度更快更穩(wěn)。