2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc

《2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc》由会员分享，可在线阅读，更多相关《2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc（11页珍藏版）》请在三一办公上搜索。

1、虚拟专用网络和Windows Server 2003:部署站点到站点VPN: 部署基于L2TP/IPSec的站点到站点VPN连接 Posted on 2005-05-25 21:49 cunshen 阅读(758) 评论(0) 编辑 收藏 所属分类: Win-Server 部署基于L2TP/IPSec的站点到站点VPN连接使用Windows Server 2003部署基于L2TP/IPSec的站点到站点VPN连接的过程由下列几个步骤组成：部署证书基础构架部署Internet基础构架部署应答路由器部署呼叫路由器部署AAA基础构架部署站点网络基础构架部署站点间网络基础构架部署证书基础构架对于基于L

2、2TP的VPN连接，需要一个证书基础构架来签署执行IPSec身份验证所需的证书。另外，在使用EAP-TLS身份验证时，也需要一个证书基础构架。用于L2TP连接的证书要安装计算机证书，必须拥有一个签署证书的证书颁发机构（CA）。如果这个CA是一个Windows Server 2003 CA，那么您通过下面几种不同的方法，在身份验证服务器的计算机证书存储库中安装证书：1.配置自动地将计算机证书分配给Active Directory域中的计算机。这种方法允许整个域的单点配置。域中所有成员自动地通过组策略获得计算机证书。2.使用证书管理器嵌入式管理单元来请求证书，并存储在证书（本地计算机）个人文件夹中

3、。在这种方法中，每个计算机必须单独地从CA请求计算机证书。您必须拥有管理员权限来使用证书管理器嵌入式管理单元安装证书。3.使用Internet Explorer和web注册来请求证书，并存储在本地机器存储库中。在这种方法中，每个计算机必须单独地从CA请求计算机证书。您必须具有管理员权限来使用web注册来安装证书。根据您公司中的证书策略，您只需要采用其中的一种方式。更多有关使用Windows Server 2003 CA获取计算机证书的信息，请参考Windows Server 2003帮助和支持中的用于L2TP/IPSec VPN连接的计算机证书和通过Web提交高级证书请求。对于第三方CA，请参

4、阅CA软件的文档资料，了解如何创建用户证书并导出，以及如何使呼叫路由器和应答路由器的管理员能够通过证书管理器嵌入式管理单元将证书导入到计算机证书存储库中。另外，您还必须在呼叫路由器和应答路由器上导出和导入根CA证书、签署CA的证书以及所有中间CA的证书。详细信息，请参考Microsoft白皮书“虚拟专用网络和Windows Server 2003：部署远程访问VPN”的附录E。用于EAP-TLS身份验证的证书要对站点到站点VPN连接使用EAP-TLS身份验证，您必须：在每个呼叫路由器计算机上安装一个用户证书。在呼叫路由器上配置EAP-TLS。在身份验证服务器（应答路由器或RADIUS服务器）上

5、安装一个计算机证书。在应答路由器和远程访问策略中配置EAP-TLS。在呼叫路由器上安装用户证书如果您使用Windows Server 2003 CA，那么将创建一个路由器（离线请求）证书（一种用于请求拨号连接的特殊用户证书），并映射到一个Active Directory用户帐户。要为呼叫路由器部署路由器（离线请求）证书，网络管理员必须：1.配置Windows Server 2003 CA来签署路由器（离线请求）证书。2.请求一个路由器（离线请求）证书。3.导出这个路由器（离线请求）证书。4.将这个证书映射到合适的用户帐户。5.将这个路由器（离线请求）证书发送给呼叫路由器的网络管理员。6.将路由

6、器（离线请求）证书导入到呼叫路由器中。更多有关为请求拨号路由部署路由器（离线请求）证书的信息，请参阅Windows Server 2003帮助和支持中的“分公司办公室请求拨号连接”。对于第三方CA，请参阅CA软件的文档资料，了解如何创建具有客户端身份验证增强的密钥使用(OID 1.3.6.1.5.5.7.3.2)的用户证书以及导出证书，并使其能够映射到Active Directory用户帐户，以及发送给呼叫路由器的网络管理员。您还必须导出根CA证书、签署CA的证书以及所有中间CA的证书，并使用证书管理器嵌入式管理单元将它们保存在应答路由器的计算机证书存储库中正确的文件夹下。详细信息，请参考Mi

7、crosoft白皮书“虚拟专用网络和Windows Server 2003：部署远程访问VPN”的附录E。在呼叫路由器上配置EAP-TLS要在呼叫路由器上为用户证书配置EAP-TLS：请求拨号接口必须被配置为使用具有智能卡或其他证书 EAP类型的EAP，您可以通过在请求拨号接口属性的安全性选项卡中配置高级设置来完成。对于智能卡或其他证书EAP类型的属性，请选择使用本机中的证书。如果您希望验证VPN或IAS服务器的计算机证书，请选择 检验服务器证书。如果您希望配置身份验证服务器的名称，请选择连接到这些服务器，然后输入服务器名称。如果需要由指定的信任根CA签署服务器计算机证书，请在信任的根证书颁发

8、机构列表中选择这个CA。 在请求拨号接口上点击右键，然后点击设置凭证。在连接对话框中，在证书中用户名中选择正确的用户或路由器（离线请求）证书，然后点击确定。在身份验证服务器上安装计算机证书如果您的身份验证服务器是应答路由器，您可以使用安装的同一个计算机证书来为EAP-TLS身份验证对L2TP连接进行身份验证，证书中包含有服务器身份验证增强密钥使用(OID 1.3.6.1.5.5.7.3.1)。如果不是应答路由器，那么您必须安装另一个包含服务器身份验证增强密钥使用的计算机证书。如果身份验证服务器是一个IAS服务器，您必须安装一个包含服务器身份验证增强密钥使用的计算机证书。如果这个CA是一个Win

9、dows Server 2003 CA，而身份验证服务器是应答路由器或Windows Server 2003 Internet身份验证服务（IAS）RADIUS服务器，您可以使用本文用于L2TP连接的证书中所介绍的方法来在身份验证服务器的计算机证书存储库中安装证书。对于第三方CA，请参阅CA软件的文档资料，了解如何创建具有服务器身份验证增强的密钥使用(OID 1.3.6.1.5.5.7.3.1)的用户证书以及导出证书，并使其能够由应答路由器的管理员来通过证书管理器嵌入式管理单元导入。另外，您还必须在呼叫路由器上导出和导入根CA证书、签署CA的证书以及所有中间CA的证书。详细信息，请参考Micr

10、osoft白皮书“虚拟专用网络和Windows Server 2003：部署远程访问VPN”的附录E。在应答路由器和远程访问策略中配置EAP-TLS要在应答路由器上配置EAP-TLS身份验证:您必须使用路由和远程访问嵌入式管理单元，在应答路由器属性的安全性选项卡中，将EAP选择为身份验证方法对话框中的一个身份验证类型。要为应答路由器或IAS服务器在远程访问策略中配置EAP-TLS身份验证:在用于站点到站点VPN连接的远程访问策略中，必须在策略配置文件的身份验证选项卡中将智能卡或其他证书EAP类型添加为所选EAP方法。如果这个远程访问策略所配置的计算机安装有所个计算机证书，那么请配置智能卡或其他

11、证书 EAP类型的属性，在EAP-TLS身份验证过程中提交正确的计算机证书。如果您使用第三方RADIUS服务器，请参阅RADIUS服务器的文档，了解如何启用EAP-TLS，以及如何配置EAP-TLS使用正确的计算机证书。部署Internet基础构架部署站点到站点VPN连接的Internet基础构架包括下列几个步骤：将VPN路由器放置在周边网络或Internet中。在VPN路由器计算机上安装Windows Server 2003，并配置Internet接口。将VPN路由器放置在周边网络或Internet中确定如何根据您的Internet防火墙来放置VPN路由器。在大部分常规配置中，VPN路由器都

12、被放置在您站点和Internet间的周边网络中，位于防火墙之后。如果这样，请在防火墙上配置数据包筛选器，允许所有进出VPN路由器周边网络接口IP地址的L2TP/IPSec流量。详细信息，请参阅附录A。在VPN路由器上安装Windows Server 2003，并配置Internet接口在VPN路由器计算机上安装Windows Server 2003，并将它的一个网络适配器连接到Internet或周边网络，将另一个网络适配器连接到站点。如果不运行路由和远程访问服务器安装向导，VPN路由器计算机将不会在Internet和站点之间转发IP数据包。对于连接到Internet或周边网络的连接，请配置TC

13、P/IP协议，使其具有防火墙（如果路由器连接到周边网络）或 ISP路由器（如果路由器直接连接到Internet）的公共IP地址、子网掩码和默认网关。不要使用DNS服务器或WINS服务器IP地址来配置这个连接。部署应答路由器为站点到站点VPN连接部署应答路由器包括下列几个步骤：配置连接到站点的应答路由器连接。运行路由和远程访问服务器安装向导。配置请求拨号接口。配置连接到站点的应答路由器连接使用手动的TCP/IP配置来配置连接到站点的连接，其中包括IP地址、子网掩码、站点DNS服务器和站点WINS服务器。注意，您不能在这个站点连接上配置默认网关，避免默认路由与指向Internet的默认路由相冲突。

14、运行路由和远程访问服务器安装向导运行路由和远程访问服务器安装向导来配置Windows Server 2003应答路由器，步骤如下：1.点击开始，指向程序，指向管理工具，然后点击路由和远程访问。2.在应答路由器名称上点击右键，然后点击配置和启用路由和远程访问。点击下一步。3.在配置中，点击远程访问（拨号或VPN），然后点击下一步。如果您还希望将应答路由器作为网络地址转换器（NAT）、Web服务器或其他功能，请参阅附录B。4.在路由访问中，选择VPN。如果您还希望这个应答路由器支持拨号站点到站点连接，请点击拨号。点击下一步 。5.在VPN连接中，点击对应于连接到Internet或周边网络的接口的连

15、接,然后点击下一步。6.在IP地址分配中，如果应答路由器使用DHCP为远程访问VPN客户端和呼叫路由器获得IP地址，则点击自动。否则，请点击从指定的地址范围，使用一个或多个静态的地址范围。如果其中有的静态地址范围是子网外地址范围，则必须在路由基础构架中添加路由，使得能够到达呼叫路由器的虚拟接口。在完成IP地址分配后，点击下一步 。7.在管理多种远程访问服务器中，如果您将RADIUS用于身份验证和授权，那么请点击是的，设置这个服务器与RADIUS服务器协同工作，然后点击下一步。在RADIUS服务器选择中，配置主（强制的）和替补（可选的）RADIUS服务器以及共享密钥，然后点击下一步。8.点击完成

16、。在默认情况下，只在WAN小端口（PPTP）设备上配置有128个PPTP端口。如果您需要更多的PPTP端口，请在路由和远程访问嵌入式管理单元端口对象的属性中，配置WAN小端口 (PPTP)设备。在默认情况下，也只配置128个L2TP端口。在默认情况下，启用MS-CHAP、MS-CHAP v2和EAP身份验证方式。配置请求拨号接口在应答路由器的路由和远程访问嵌入式管理单元中，执行下列步骤：1.在控制台树中，右键点击网络接口，然后点击新建请求拨号接口。2.在欢迎请求拨号接口向导页中, 点击下一步。3.在接口名称页中，输入请求拨号接口的名称，然后点击下一步。4.在连接类型页中，点击使用虚拟专用网络（

17、VPN）连接，然后点击下一步。5.在VPN类型页中，点击第二层隧道协议(L2TP)，然后点击下一步。6.在目标地址页中，输入呼叫路由器的IP地址。对于双向初始化的路由器到路由器VPN连接，请配置呼叫路由器的IP地址。对于单向初始化的站点到站点VPN连接，您可以跳过这一步，因为应答路由器不会使用这个接口来初始化一个到呼叫路由器的连接。7.在协议和安全性页中，选中在这个接口上路由IP数据包和添加一个远程路由器可以拨号的用户帐户复选框，然后点击下一步。8.在用于远程网络的静态路由页中，点击添加 ，添加分配给请求拨号接口的静态路由（如果需要）。9.在拨入凭证页中，在密码和确认密码中输入呼叫路由器所用用

18、户帐户的密码，然后点击下一步。这一步将自动地创建一个与所创建的请求拨号接口同名的用户帐户。这样做使得在呼叫路由器初始化一个到应答路由器的连接时，它所使用的用户帐户名称与请求拨号接口相一致。因此，应答路由器可以确定来自呼叫路由器的传入连接是请求拨号连接，而不是远程访问连接。10.在拨出凭证页中，在用户名中输入用户名，在域中输入用户帐户域名，在密码和确认密码中输入用户帐户密码。对于双向初始化的路由器到路由器VPN连接，请在路由器作为呼叫路由器时配置名称、域名和密码。对于单向初始化的站点到站点VPN连接，您可以在用户名中输入任意名称，然后跳过剩下的字段，因为这个路由器不会使用这个接口来初始化一个到呼

19、叫路由器的连接。11.在完成请求拨号接口向导页中，点击完成。这种配置的结果是建立了一个基于PPTP的请求拨号接口，并在这个接口上启用了IP路由。会自动地添加与请求拨号接口同名的用户帐户，并具有正确的帐号和拨入设置。部署呼叫路由器为站点到站点VPN连接部署呼叫路由器包括下列步骤:配置连接到站点的呼叫路由器连接。运行路由和远程访问服务器安装向导。配置请求拨号接口。配置连接到站点的呼叫路由器连接使用手动的TCP/IP配置来配置连接到站点的连接，其中包括IP地址、子网掩码、站点DNS服务器和站点WINS服务器。注意，您不能在这个站点连接上配置默认网关，避免默认路由与指向Internet的默认路由相冲突

20、。运行路由和远程访问服务器安装向导运行路由和远程访问服务器安装向导来配置Windows Server 2003呼叫路由器，步骤如下:1.点击开始，指向程序，指向管理工具，然后点击路由和远程访问。2.在服务器名称上点击右键，然后点击配置和启用路由和远程访问。 点击下一步。3.在配置中，点击远程访问（拨号或VPN），然后点击下一步。如果您还希望将应答路由器作为网络地址转换器（NAT）、Web服务器或其他功能，请参阅附录B。 4.在远程访问中，选择VPN。如果您还希望这个应答路由器支持拨号站点到站点连接，请点击拨号。点击下一步。5.在VPN连接中，点击对应于连接到Internet或周边网络的接口的连

21、接,然后点击下一步。6.在IP地址分配中，如果呼叫路由器在作为应答路由器时，使用DHCP为其他呼叫路由器获得IP地址，则点击自动。或者点击从指定的地址范围，使用一个或多个静态的地址范围。如果其中有的静态地址范围是子网外地址范围，则必须在路由基础构架中添加路由，使得能够到达呼叫路由器的虚拟接口。在完成IP地址分配后，点击下一步。7.在管理多种远程访问服务器如果您将RADIUS用于身份验证和授权，那么请点击是的，设置这个服务器与RADIUS服务器协同工作，然后点击下一步。在RADIUS服务器选择中，配置主（强制的）和替补（可选的）RADIUS服务器以及共享密钥，然后点击下一步。8.点击完成。配置请

22、求拨号接口在呼叫路由器的路由和远程访问嵌入式管理单元中，执行下列步骤:1.在控制台树中，右键点击网络接口，然后点击新建请求拨号接口。2.在欢迎请求拨号接口向导页中, 点击下一步。3.在接口名称页中，输入请求拨号接口的名称。对于双向初始化的连接而言，在应答路由器作为呼叫路由器时，这个名称应该与应答路由器所用的用户凭证中的用户名相一致。点击下一步。4.在连接类型页中，点击使用虚拟专用网络（VPN）连接，然后点击下一步。5.在VPN类型页中，点击第二层隧道协议(L2TP)，然后点击下一步。6.在目标地址页中，输入应答路由器的IP地址。7.在协议和安全性页中，选中在这个接口上路由IP数据包复选框。对于

23、双向初始化的连接，请选择添加一个远程路由器可以拨号的用户帐户复选框。点击下一步。8.在用于远程网络的静态路由页中，点击添加，添加分配给请求拨号接口的静态路由（如果需要）。9.对于双向初始化的连接，请在拨入凭证页，在密码和确认密码中输入应答路由器作为呼叫路由器时所使用的用户帐户的密码，然后点击下一步。这一步将自动地创建一个与所创建的请求拨号接口同名的用户帐户。这样做使得在呼叫路由器初始化一个到应答路由器的连接时，它所使用的用户帐户名称与请求拨号接口相一致。因此，应答路由器可以确定来自呼叫路由器的传入连接是请求拨号连接，而不是远程访问连接。10.在拨出凭证页，在用户名中输入用户名，在域中输入用户帐

24、户域名，并在密码和确认密码中输入用户帐户密码。11.在完成请求拨号接口向导页中，点击完成。这种配置的结果是建立了一个基于PPTP的请求拨号接口，并在这个接口上启用了IP路由。会自动地添加与请求拨号接口同名的用户帐户，并具有正确的帐号和拨入设置。部署AAA基础构架为站点到站点VPN连接部署AAA基础构架包括下列步骤:为用户帐户和组配置Active Directory。在域控制器上配置主IAS服务器。在另一个域控制器上配置第二个IAS服务器。这个配置必须在每个包含应答路由器的站点上进行。对于具有少量计算机和单个应答路由器的分公司办公室来说，配置路由和远程访问服务，使其使用Windows身份验证和本

25、地配置的远程策略，这样比配置一个单独的IAS服务器计算机要更方便一些。为用户帐户和组配置Active Directory要为用户帐户和组配置Active Directory，请执行下列操作:1.确信所有呼叫路由器拥有相对应的用户帐户，并具有正确的帐户和拨入设置。这里包括所有用于分公司办公室和商业合作伙伴的呼叫路由器。在您使用请求拨号接口向导，在协议和安全性页面中选中添加一个远程路由器可以拨号的用户帐户复选框时，会自动地创建具有正确帐户和拨入设置的用户帐户。 2.根据呼叫路由器，将用户帐户组织到合适的通用组和嵌套组中，充分发挥基于组的远程访问策略的作用。详细信息，请参阅Windows Serve

26、r 2003帮助和支持的嵌套组。在域控制器上配置主IAS服务器要在域控制器上配置主IAS服务器，请执行下列操作:1.在域控制器上，将IAS作为可选网络组件安装。详细信息，请参阅Windows Server 2003帮助和支持中的安装IAS。2.将IAS服务器计算机（域控制器）配置为读取域中帐户用户的属性。详细信息，请参阅Windows Server 2003帮助和支持的启用IAS服务器来读取Active Directory中的用户对象。3.如果IAS服务器要对来自其他域的用户帐户的连接尝试进行身份验证，请检验这些域与IAS服务器计算机所属域具有双向信任关系。然后，将这个IAS服务器计算机配置为

27、读取其他域中用户帐户的属性。详细信息，请参阅Windows Server 2003帮助和支持的启用IAS服务器来读取Active Directory中的用户对象。更多有关信任关系的信息，请参阅Windows Server 2003帮助和支持的理解域和森林。如果IAS服务器要对来自其他域的用户帐户的连接尝试进行身份验证，但这些域与IAS服务器计算机所属域没有双向信任关系，那么您必须在这两个不信任域之间配置一个RADIUS代理。4.启动帐户和身份验证事件的文件日志。详细信息，请参阅Windows Server 2003帮助和支持的配置日志文件属性。5.添加VPN路由器，作为IAS服务器的RADIU

28、S客户端。详细信息，请参阅Windows Server 2003帮助和支持的添加RADIUS客户端。对于每个VPN路由器的IP地址，请使用分配给VPN路由器的站点IP地址。如果您使用名称，那么请使用VPN路由器的内部名称。并使用强健的共享密钥。6.创建能够反应您远程访问使用情况的远程访问策略。例如，如果要为VPNRouters组的成员配置一个需要基于L2TP的站点到站点VPN连接的远程访问策略，使其使用MS-CHAP v2身份验证和128位加密，则请使用新建远程访问策略向导来创建一个具有下列设置的典型远程访问策略：策略名称：站点到站点VPN连接（示例）访问方法：VPN访问组：VPNRouter

29、s组（示例）身份验证方法：仅启用微软加密身份验证第二版(MS-CHAP v2)策略加密级别：仅选择最强加密如果IAS没有被安装在域控制器上，那么您必须配置这个主IAS服务器计算机来读取域中用户帐户的属性。详细信息，请参阅Windows Server 2003帮助和支持的启用IAS服务器来读取Active Directory中的用户对象。在另一个域控制器上配置第二个IAS服务器要在另一个域控制器上配置第二个IAS服务器，请执行下列操作:1.在另一个域控制器上，将IAS作为可选网络组件安装。详细信息，请参阅Windows Server 2003帮助和支持中的安装IAS。2.将第二个IAS服务器计算

30、机（另一个域控制器）配置为读取域中帐户用户的属性。详细信息，请参阅Windows Server 2003帮助和支持的启用IAS服务器来读取Active Directory中的用户对象。3.如果第二个IAS服务器要对来自其他域的用户帐户的连接尝试进行身份验证，请检验这些域与IAS服务器计算机所属域具有双向信任关系。然后，将第二个IAS服务器计算机配置为读取其他域中用户帐户的属性。详细信息，请参阅Windows Server 2003帮助和支持的启用IAS服务器来读取Active Directory中的用户对象。更多有关信任关系的信息，请参阅Windows Server 2003帮助和支持的理解域

31、和森林。如果第二个IAS服务器要对来自其他域的用户帐户的连接尝试进行身份验证，但这些域与第二个IAS服务器计算机所属域没有双向信任关系，那么您必须在这两个不信任域之间配置一个RADIUS代理。4.要将主IAS服务器上的配置复制到第二个IAS服务器上，请在主IAS服务器的命令行提示符中输入 netsh aaaa show config pathfile.txt 。它将在一个文本文件中存储各种配置设置，包括注册表设置。这个路径可以是相对的、绝对的或是一个网络路径。 5.将在步骤4中创建的文件复制到第二个IAS服务器中。在第二个IAS服务器的命令行提示符中，输入netsh execpathfile.

32、txt。这个操作将把主IAS服务器中的所有设置导入到第二个IAS服务器中。 如果IAS没有被安装在域控制器上，那么您必须配置第二个IAS服务器计算机来读取域中用户帐户的属性。详细信息，请参阅Windows Server 2003帮助和支持的启用IAS服务器来读取Active Directory中的用户对象。部署站点网络基础构架为站点到站点VPN连接部署站点的网络基础构架包括下列步骤:在VPN路由器上配置路由。检验从每个VPN路由器的可到达性.为子网外地址池配置路由。在VPN路由器上配置路由为了使您的VPN路由器能够正确地将流量转发到它们所处的位置，您必须使用总结了站点内所有可能使用的地址的静态

33、路由进行配置，或者使用路由协议进行配置，这样VPN路由器将可以作为一个动态路由器，自动地将站点子网的路由添加到它的路由表中。要添加静态路由，请参阅Windows Server 2003帮助和支持的添加静态路由。要将VPN路由器部署为RIP路由器，请参阅为IP配置RIP。要将VPN路由器部署为OSPF路由器，请参阅Windows Server 2003帮助和支持中的OSPF设计考虑事项和配置OSPF。检验从每个VPN路由器的可到达性从每个VPN路由器，检验这个VPN路由器计算机能够解析名称，并成功地与WPN路由器所属站点中的资源进行通讯，检验的方法包括使用Ping命令、Internet Expl

34、orer以及创建站点中已知服务器的驱动器和打印机连接。为子网外地址池配置路由如果您使用静态地址池来配置VPN路由器，而在这些地址范围中有子网外范围，那么您必须确认在您的站点路由基础构架中拥有代表这些子网外地址范围的路由，使得能够达到呼叫路由器的虚拟接口。为了确保这一点，您可以将代表这些子网外地址范围的静态路由作为静态路由添加在VPN路由器的相邻路由器上，然后使用您站点的路由协议来将这些路由传播到其他路由器。在您添加这些静态路由时，您必须指定网关或下一个跳接地址为这个VPN路由器的站点接口。或者，如果您使用RIP或OSPF，那么您可以将使用子网外地址池的VPN路由器配置为RIP或OSPF路由器。

35、针对OSPF，您必须将这个VPN路由器配置为自治系统边界路由器（ASBR）。详细信息，请参阅Windows Server 2003帮助和支持的OSPF设计考虑事项。部署站点间网络基础构架部署站点间网络基础构架包括部署每个VPN路由器，使它们具有其他站点可以使用的子网路由（跨越每个站点到站点VPN连接）。这个部署工作可以通过下列几种方式来完成：在每个VPN路由器上手动配置静态路由。在每个VPN路由器上执行自动静态更新。配置路由策略，在站点到站点VPN连接上运作。在每个VPN路由器上手动配置静态路由在路由和远程访问嵌入式管理单元中，执行下列步骤:1.在控制台树中，点击IP路由，然后点击静态路由。2

36、.右键点击静态路由，然后点击新建静态路由。3.在静态路由对话框中，选择合适的请求拨号接口名称，然后输入目标、网络掩码和规格。4.点击确定，添加这个路由。5.为添加其他路由，请返回步骤2。注意: 由于请求拨号连接使一个点到点连接，因此无法配置网关IP地址 字段。您也可以在使用新建请求拨号接口向导创建请求拨号接口的过程中添加静态路由。在每个VPN路由器上执行自动静态更新如果在两个VPN路由器的请求拨号接口上都启动了RIP for IP，那么您将可以在VPN连接处于连接状态时，使用自动静态更新来自动地配置静态路由。为自动静态更新所配置的请求拨号端口将通过活动的连接发送一个请求，向连接另一端的路由器请

37、求所有路由。在响应请求时，将请求的路由器的所有路由自动输入为请求路由器路由表中的静态路由。在VPN路由器的路由和远程访问嵌入式管理单元中（假定站点到站点VPN连接是活动的），执行下列步骤:1.在控制台树中，点击IP路由，然后点击常规。2.在详细窗格中，右键点击合适的请求拨号接口，然后点击更新路由。您也可以使用netsh命令来执行自动静态更新。详细信息，请参阅Windows Server 2000帮助和支持中的“计划自动静态更新”。配置路由协议如果站点到站点VPN连接是永久的（总处于活动状态），那么您也可以配置IP路由协议来在这个VPN连接上运作，例如路由信息协议（RIP）或开放式最短路径优先（

38、OSPF）。详细信息，请参阅Windows Server 2003帮助和支持中的设置RIP-for-IP路由的网络和设置OSPF路由的网络。Acknowledgements My deepest gratitude goes first and foremost to Professor aaa , my supervisor, for her constant encouragement and guidance. She has walked me through all the stages of the writing of this thesis. Without her consi

39、stent and illuminating instruction, this thesis could not havereached its present form. Second, I would like to express my heartfelt gratitude to Professor aaa, who led me into the world of translation. I am also greatly indebted to the professors and teachers at the Department of English: Professor

40、 dddd, Professor ssss, who have instructed and helped me a lot in the past two years. Last my thanks would go to my beloved family for their loving considerations and great confidence in me all through these years. I also owe my sincere gratitude to my friends and my fellow classmates who gave me th

41、eir help and time in listening to me and helping me work out my problems during the difficult course of the thesis. My deepest gratitude goes first and foremost to Professor aaa , my supervisor, for her constant encouragement and guidance. She has walked me through all the stages of the writing of t

42、his thesis. Without her consistent and illuminating instruction, this thesis could not havereached its present form. Second, I would like to express my heartfelt gratitude to Professor aaa, who led me into the world of translation. I am also greatly indebted to the professors and teachers at the Dep

43、artment of English: Professor dddd, Professor ssss, who have instructed and helped me a lot in the past two years. Last my thanks would go to my beloved family for their loving considerations and great confidence in me all through these years. I also owe my sincere gratitude to my friends and my fellow classmates who gave me their help and time in listening to me and helping me work out my problems during the difficult course of the thesis.