設(shè)置路由及遠(yuǎn)程訪問(wèn)服務(wù)

接下來(lái)我們安裝有關(guān)IKEv2 VPN服務(wù)器，相關(guān)必要的服務(wù)器角色與設(shè)置，這部分操作可以通過(guò)登錄時(shí)自動(dòng)開(kāi)啟的“初始化設(shè)置工作”界面來(lái)進(jìn)行。想要手動(dòng)開(kāi)啟“初始化設(shè)置工作”界面，只要在“開(kāi)始”菜單的搜尋字段中輸入oobe即可。成功開(kāi)啟界面之后，在此頁(yè)面中單擊“新增角色”繼續(xù)。

注意：關(guān)于服務(wù)器角色的新增方法，也可以選擇從“服務(wù)器管理員”界面中的“角色”節(jié)點(diǎn)頁(yè)面中來(lái)完成。

在“選取服務(wù)器角色”頁(yè)面中，請(qǐng)將“網(wǎng)絡(luò)策略與訪問(wèn)服務(wù)”角色勾選并且單擊“下一步”繼續(xù)。在“選取角色服務(wù)”頁(yè)面中，分別勾選“網(wǎng)絡(luò)策略服務(wù)器”以及“路由及遠(yuǎn)程訪問(wèn)服務(wù)”，單擊“下一步”。最后，在“確認(rèn)”頁(yè)面中，一旦確認(rèn)正確選取了所需安裝的角色服務(wù)之后，單擊“安裝”即可。成功完成安裝“網(wǎng)絡(luò)策略與訪問(wèn)服務(wù)”角色之后，單擊“關(guān)閉”按鈕。

接著，在“系統(tǒng)管理工具”頁(yè)面中，單擊開(kāi)啟“路由及遠(yuǎn)程訪問(wèn)”項(xiàng)目繼續(xù)。在“路由及遠(yuǎn)程訪問(wèn)界面”中，在默認(rèn)狀態(tài)下是尚未進(jìn)行任何設(shè)置與啟動(dòng)的，因此必須在服務(wù)器節(jié)點(diǎn)上點(diǎn)擊鼠標(biāo)右鍵，單擊“設(shè)置和啟用路由及遠(yuǎn)程訪問(wèn)”繼續(xù)，將會(huì)開(kāi)啟“路由及遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А薄Ｊ紫?，在“設(shè)置”頁(yè)面中選取“遠(yuǎn)程訪問(wèn)（撥號(hào)或VPN）”項(xiàng)目，單擊“下一步”。在“遠(yuǎn)程訪問(wèn)”頁(yè)面中，勾選“VPN”項(xiàng)目，并單擊“下一步”。

注意：關(guān)于“撥號(hào)”選項(xiàng)是早期通過(guò)調(diào)制解調(diào)器（Modem）的遠(yuǎn)程連接訪問(wèn)方式，雖然有著另一個(gè)層面的安全性優(yōu)點(diǎn)，但傳輸速度慢以及用戶移動(dòng)計(jì)算機(jī)必須通過(guò)電話線路連接才能使用，如今幾乎沒(méi)有公司在使用了。

在“VPN連接”頁(yè)面中，必須選取此服務(wù)器上負(fù)責(zé)連接網(wǎng)際網(wǎng)絡(luò)的網(wǎng)絡(luò)界面，在此由于筆者預(yù)先已經(jīng)修改了內(nèi)外網(wǎng)卡的顯示名稱，因此便顯得較容易識(shí)別與選擇。此外，在這里還必須將“設(shè)置靜態(tài)封包篩選器來(lái)啟用選擇界面的安全性”項(xiàng)目勾選。單擊“下一步”。

在“IP地址指派”頁(yè)面中，您可以選擇要采用“自動(dòng)”還是“從選定范圍的地址”來(lái)指派IP地址給遠(yuǎn)程連接成功的客戶端，如果選擇前者，在內(nèi)部域中必須要有DHCP服務(wù)器。至于后者，則可以自行選定IP地址范圍來(lái)分派，不過(guò)不能與DHCP所設(shè)置的范圍沖突。在此我們選擇“自動(dòng)”。單擊“下一步”繼續(xù)。

在“正在管理多個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器”頁(yè)面中，選取“否，使用路由及遠(yuǎn)程訪問(wèn)來(lái)驗(yàn)證連接要求”項(xiàng)目，主要原因是在我們的網(wǎng)絡(luò)環(huán)境中，并沒(méi)有預(yù)先準(zhǔn)備好另一部專屬的Radius服務(wù)器來(lái)處理身份驗(yàn)證，因此，直接采用本地服務(wù)器來(lái)驗(yàn)證遠(yuǎn)程用戶身分即可。單擊“下一步”繼續(xù)。最后，便可以看到前面的設(shè)置摘要。確認(rèn)無(wú)誤之后，請(qǐng)單擊“完成”即可。

圖1 網(wǎng)絡(luò)連接設(shè)置

完成基本VPN服務(wù)的啟用與設(shè)置之后，可能會(huì)出現(xiàn)遠(yuǎn)程訪問(wèn)警告信息，其主要目的在于告知我們VPN網(wǎng)絡(luò)的連接檢查，可以選擇通過(guò)本機(jī)的“路由及遠(yuǎn)程訪問(wèn)服務(wù)策略”或是內(nèi)部域中另一部專屬的“網(wǎng)絡(luò)策略服務(wù)器（NPS）”來(lái)負(fù)責(zé)這項(xiàng)工作，為了簡(jiǎn)化架構(gòu)設(shè)計(jì)，我們將會(huì)選擇前者。單擊“下一步”繼續(xù)。

設(shè)置網(wǎng)絡(luò)安全策略

在“遠(yuǎn)程訪問(wèn)記錄與策略”節(jié)點(diǎn)上，點(diǎn)擊鼠標(biāo)右鍵，單擊“啟動(dòng)NPS”。接著，將會(huì)開(kāi)啟本地網(wǎng)絡(luò)策略服務(wù)器設(shè)置界面，請(qǐng)?jiān)谧钌蠈庸?jié)點(diǎn)的頁(yè)面中單擊“網(wǎng)絡(luò)訪問(wèn)策略”。在“網(wǎng)絡(luò)策略”頁(yè)面中，默認(rèn)會(huì)有兩個(gè)設(shè)置為拒絕訪問(wèn)的策略項(xiàng)目，連續(xù)單擊開(kāi)啟“Connections to Microsoft Routing and Remote Access server”項(xiàng)目。首先，在“概述”頁(yè)面中將訪問(wèn)權(quán)限部分設(shè)置為“授與訪問(wèn)權(quán)”，然后單擊至“限制”頁(yè)面中繼續(xù)。在“限制”頁(yè)面中，針對(duì)“驗(yàn)證方法”中的設(shè)置惟一保留“Microsoft Secured password（EAPMSCHAPv2）”項(xiàng)目，然后移除“Microsoft智能卡或其他證書(shū)”項(xiàng)目。單擊“確定”完成設(shè)置。

客戶端設(shè)置與連接測(cè)試

終于完成了整個(gè)IKEv2的VPN服務(wù)器證書(shū)與服務(wù)的設(shè)置，接下來(lái)便可以來(lái)到預(yù)先準(zhǔn)備好的遠(yuǎn)程Windows 7客戶端計(jì)算機(jī)，來(lái)進(jìn)行相關(guān)的VPN連接設(shè)置與訪問(wèn)測(cè)試了。首先從“控制面板”頁(yè)面中“網(wǎng)絡(luò)和共享中心”，開(kāi)啟之后單擊位于“變更網(wǎng)絡(luò)設(shè)置”區(qū)域中的“設(shè)置新的連接或網(wǎng)絡(luò)”連接繼續(xù)。

在“選擇連接選項(xiàng)”頁(yè)面中，選取“連接到工作地點(diǎn)”項(xiàng)，單擊“下一步”。在“您要如何連接”頁(yè)面中，單擊“使用我的網(wǎng)際網(wǎng)絡(luò)連接VPN”。輸入所要連接的VPN服務(wù)器網(wǎng)際網(wǎng)絡(luò)FQDN地址，然后輸入自定義的目的地識(shí)別名稱以及將“不要立即連接；先設(shè)置好，我稍后再連接”項(xiàng)目勾選，單擊“下一步”。輸入已允許連接VPN網(wǎng)絡(luò)的用戶賬號(hào)、密碼以及域名稱，如圖1所示，在完成了VPN網(wǎng)絡(luò)連接的建立之后，請(qǐng)?jiān)谠搱D1上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”繼續(xù)。

開(kāi)啟了VPN網(wǎng)絡(luò)的屬性之后，請(qǐng)?jiān)凇鞍踩浴表?yè)面中，將VPN類型變更為“IKEv2”，然 后 確 認(rèn) 在“驗(yàn)證”區(qū)域中已經(jīng)將“使用可延伸的驗(yàn)證通訊協(xié)議（EAP）”設(shè) 置 為“Microsoft Secured password（EAPMSCHAPv2）”。單擊“進(jìn)階設(shè)置”按鈕繼續(xù)。在“進(jìn)階屬性”的頁(yè)面中，可以決定當(dāng)發(fā)生與IKEv2的VPN網(wǎng)絡(luò)連接中斷時(shí)，所允許的網(wǎng)絡(luò)中斷時(shí)間（默認(rèn)=30分鐘）。連續(xù)單擊兩次“確定”完成設(shè)置。

圖2 連接狀態(tài)檢視

接下來(lái)，我們便可以開(kāi)啟所完成建立與設(shè)置的VPN網(wǎng)絡(luò)連接，在此的用戶賬戶、密碼以及域名稱，由于都已經(jīng)預(yù)先設(shè)置好，因此，請(qǐng)直接單擊“連接”即可。成功連接登錄VPN網(wǎng)絡(luò)之后，便可以嘗試訪問(wèn)內(nèi)部的服務(wù)器資源。在這個(gè)測(cè)試環(huán)境中，在搜尋字段中，輸入內(nèi)部共享文檔夾的UNC路徑來(lái)開(kāi)啟連接。當(dāng)成功連接后，將可以看到預(yù)先儲(chǔ)存在內(nèi)部網(wǎng)絡(luò)共享文檔夾中的檔案。

而對(duì)于目前所連接的VPN網(wǎng)絡(luò)詳細(xì)信息，您可以在連接階段中開(kāi)啟此VPN網(wǎng)絡(luò)的狀態(tài)，然后在“詳細(xì)數(shù)據(jù)”中查看即可（如圖2），其中，最重要的是可以看到目前所使用的設(shè)備名稱是“WAN Miniport（IKEv2）”，以 及“Mobile Supported”功能目前是支持的。

最后，建議您可以通過(guò)多網(wǎng)絡(luò)環(huán)境下，選擇停用目前運(yùn)作中的區(qū)域連接，然后再啟用原本已經(jīng)設(shè)置為停用的區(qū)域網(wǎng)絡(luò)（或WiFi網(wǎng)絡(luò)、移動(dòng)網(wǎng)絡(luò)等都可以），來(lái)測(cè)試看看當(dāng)Internet的連接再度恢復(fù)時(shí)，IKEv2的移動(dòng)性特色是否已成功發(fā)揮。

結(jié)論

時(shí)代的不斷發(fā)展，讓信息技術(shù)也得跟著附和人們的需求。從本文的VPN Reconnect技術(shù)部署中，讓我們深知今日企業(yè)的移動(dòng)工作者是越來(lái)越多，想要滿足這一類工作者的需求，最重要的就是要達(dá)到高便利性、高流暢性以及高安全性三大基本需求，就像如今人手一個(gè)的iPhone與Android智能型手機(jī)一樣。這項(xiàng)VPN移動(dòng)連接技術(shù)，也支持了最新Windows 10客戶端的使用，而且可以讓連接的網(wǎng)絡(luò)傳輸速度更快更穩(wěn)。