概述

組網拓撲、限定條件和訪問需求如下圖所示，如何解決訪問需求呢？本期文章就windows Server 2016部署VPN服務和NAT服務的方案向各位小伙伴實戰演練、總結分享。

實戰模擬組網拓撲

模擬組網拓撲中，Windows10 物理主機無法直接訪問互聯網資源，但是它可以通過三層路由訪問Windows Server 2016虛擬機；

Windows Server 2016虛擬機可訪問互聯網資源；

分配IP：172.16.20.2的網關IP，172.16.20.254；

分配IP：192.168.254.9的網關IP，192.168.254.254；

Windows Server 2016部署VPN服務和NAT服務

備注：Windows Server 2016系統防火墻處于關閉狀態；

創建VPN組和VPN用戶

在命令提示符（CMD）中輸入命令“compmgmt”打開計算機管理，添加VPN組及VPN賬戶，如下圖所示；

系統添加遠程訪問功能

打開系統“服務器管理器”，點擊“添加角色和功能”，如下圖所示；

在“添加角色和功能向導”頁面中的“服務器角色”選擇中，選中“遠程訪問”，如下圖所示；其它步驟點擊下一步操作即可；

在“添加角色和功能向導”頁面中的“角色服務”選擇中，選中“DirectAccess和VPN（RAS）”和“路由”，如下圖所示；其它步驟點擊下一步操作即可；

路由和遠程訪問功能配置

路由和遠程訪問初始化配置

打開系統“服務器管理器”，點擊“工具”，選中“路由和遠程訪問”，如下圖所示；

在“路由和遠程訪問”頁面，右鍵點擊“本地”，然后點擊“配置并啟用路由和遠程訪問”，如下圖所示；

在“路由和遠程訪問服務器安裝向導”頁面中，選中“自定義”，如下圖所示;

在“路由和遠程訪問服務器安裝向導”“自定義配置”頁面中，選中“VPN訪問(V)”“NAT(A)”和“LAN路由(L)”，如下圖所示;省略步驟截圖，默認下一步即可，直至配置完成；

VPN服務配置

在“路由和遠程訪問”頁面中，右鍵點擊“遠程訪問日志記錄和策略”，然后點擊“啟動NPS”并進行配置，相關配置如下圖所示；

­在“條件”頁面中，添加用戶組和隧道類型，用戶組選擇前期創建的vpn組，隧道類型選擇“PPTP”，如下圖所示；

創建VPN服務虛擬地址池，如下圖所示；

重啟VPN服務，如下圖所示；

NAT服務配置

在“路由和遠程訪問”頁面“IPv4”列表中，右鍵點擊“NAT”，然后“新建接口”，把網卡“Ethe.NET0”添加進來，如下圖所示；

省略步驟截圖，默認下一步即可，直至配置完成；

Windows 10 物理主機連接VPN及查看狀態

連接VPN

打開Windows 設置，如下圖所示；

查看連接VPN前后的狀態

系統連接VPN前，通過命令“route print”查看系統路由表得知，存在一條默認路由，如下圖所示；

系統連接VPN前，通過命令“ipconfig /all”查看系統IP地址配置得知：無DNS地址，如下圖所示；

系統連接VPN后，通過命令“route print”再次查看系統路由表得知，存在兩條默認路由，如下圖所示；

系統連接VPN后，通過命令“ipconfig /all”查看系統IP地址得知，系統獲取了VPN服務下發的虛擬IP及DNS地址，如下圖所示；

測試訪問外網資源

系統連接VPN后，通過命令“nslookup www.baidu.com”查看系統解析外網資源得知：該DNS解析由系統獲取的DNS地址遞歸查詢；通過命令“ping www.baidu.com ”可得知，系統能正常ping通外網資源，詳情如下圖所示；

查看Windows Server 2016 VPN服務和NAT服務的工作狀態

Windows 10 物理主機連接VPN后，在“路由和遠程訪問”頁面中，點擊“遠端口”可查看VPN的活動端口；點擊“遠程訪問客戶端”可查看客戶端連接情況；點擊“NAT”可查看地址轉換的情況，詳情如下圖所示；

總結

本期實戰演練過程中，首先，Windows 10 物理主機通過PPTP方式連接VPN服務，獲取虛擬IP和DNS；其次，利用建立好的VPN隧道，Windows 10 物理主機把訪問互聯網的流量轉發到Windows Server 2016虛擬機；最后，Windows Server 2016虛擬機的NAT服務接管、處理此訪問并最終把該流量轉發到互聯網。

PPTP使用傳輸控制協議（TCP 1723端口）創建控制通道來發送控制命令，以及利用通用路由封裝（GRE）通道來封裝點對點協議（PPP）數據包以發送數據。若Windows Server 2016系統開啟防火墻，系統防火墻策略需放通TCP 1723端口和GRE協議。

以上實戰總結分享，希望各位小伙伴有收獲，不足之處，多多留言指正。