【Windows Server 2019】企业虚拟专用网络服务的配置和管理（上）

企业虚拟专用网服务的配置和管理

1、企业虚拟专用网部署的目的

大多数企业都有属于自己的企业内网，内网中有着很多共享资源。企业员工在上班时可以通过连接内网访问共享资源，但是如果员工回家后，该如果访问企业内网资源，直接访问显然是行不通的，那么如何让员工在家中，使用公网网络访问企业内网资源？人们发明了虚拟专用网来解决该问题。

2、虚拟专用网络

Virtual Private Network，在公用网络上建立专用网络，这就好比架设了一条专线一样，但是它并不需要真正的去铺设光纤之类的物理线路，它通过对数据包的加密和数据包目标地址的转换实现远程访问，简单的说虚拟专用网的核心就是利用公共网络建立虚拟私有网。

3、企业虚拟专用网支持设备

企业虚拟专用网可以通过硬件或者软件方式实现。在Windows Server 2019中支持软件定义虚拟专用网功能。虚拟专用网设备一般采用双网卡结构，内网卡接入公司的内部局域网，外网卡使用公网IP接入互联网。

4、网络拓扑及说明（工作原理简述）

PC2：

• 企业员工家中电脑，具有公网IP：192.168.83.39，可以访问互联网。其上安装了企业虚拟专用网客户端。

虚拟专用网服务器

• 企业虚拟专用网服务器，有两个网卡，其中网卡1具有公网IP：192.168.83.47，并连接互联网；网卡2为企业内部网卡，其地址为内网IP：192.168.82.13。其上部署了虚拟专用网服务端。

FTP服务器

• 公司内部服务器，只有一个内网IP地址，且IP地址在192.168.82.0/24网段中。IP地址为：192.168.82.220。

家电脑访问公司服务器具体过程

当企业员工家中电脑想通过虚拟专用网访问公司内部服务器时，数据包1经过互联网转发到虚拟专用网服务器的网卡1中，经过虚拟专用网技术进行封装，将数据包1的源地址由公网IP转换成了一个内网IP。然后网卡2会把这个数据包1发送给公司内部服务器。当公司内部服务器返回数据包2时，经过虚拟专用网服务器，虚拟专用网服务会将数据包2的目的地址由内网地址转换为公网IP。

5、搭建企业虚拟专用网服务器

5.1、准备工作

（1）企业虚拟专用网服务器

企业虚拟专用网服务器中存在两张网卡，Eth0和Eth1。其中Eth0是公网IP网卡，Eth1是公网IP网卡。

（2）FTP服务器

FTP服务器是为企业内部提供资源共享的服务器，IP地址为：192.168.82.220

（3）PC2

PC2是企业员工家中电脑，可以访问互联网，其IP地址为：192.168.83.39

5.2、配置防火墙

Windows Server 2019防火墙默认开启，因此我们需要新建一条规则允许外界连接虚拟专用网服务所涉及的端口，并启动该规则。

（1）打开防火墙高级设置

打开【控制面板】——>【系统与安全】——>【Window Defender 防火墙】——>【高级设置】

（2）新建入站规则

①点击【入站规则】，在右侧的【操作】栏中点击【新建规则】，进入向导后选择【端口】，点击【下一步】。

②进入【协议和端口】界面，默认选择【TCP】，点击【特定本地端口】，输入：1723,500,4500,1701，点击【下一步】

端口1723为PPTP协议的端口；

端口500，4500,1701是L2TP协议的端口。

③进入【操作】界面，默认选择【允许连接】，点击【下一步】。

④进入【配置文件】界面，默认全部勾选，点击【下一步】。

⑤进入【名称】界面，设置规则名称为：server，点击【完成】。

⑥返回【高级设置】后，发现企业虚拟专用网规则已经创建成功并启动。

5.3、安装企业虚拟专用网服务

（1）打开服务器管理器，点击【添加角色和功能】，进入向导后直接点击【下一步】至【服务器选择】界面。

可以看到在服务器确认界面中，虚拟专用网服务器有两个IP地址，分别是外网IP地址192.168.83.47，用于连接用户PC2和内网IP地址192.168.82.12，用于连接FTP服务器。

点击【下一步】。

（2）进入【服务器角色】界面，勾选【远程访问】，点击【下一步】

（3）进入【功能】界面，这里不做设置，点击【下一步】。

（4）进入【远程访问】界面，显示了远程访问的说明，点击【下一步】。

（5）进入【角色服务】界面，勾选【DirectAccess】和【路由】，对弹出的对话框点击【确定】，然后点击【下一步】。

（6）进入【Web服务器角色】界面，显示了Web的说明，点击【下一步】。

（7）进入【角色服务】界面，IIS功能默认即可，点击【下一步】。

（8）进入【确认】界面，确认无误后，点击【安装】。

（9）安装完成，关闭向导