设置路由及远程访问服务

接下来我们安装有关IKEv2 VPN服务器，相关必要的服务器角色与设置，这部分操作可以通过登录时自动开启的“初始化设置工作”界面来进行。想要手动开启“初始化设置工作”界面，只要在“开始”菜单的搜寻字段中输入oobe即可。成功开启界面之后，在此页面中单击“新增角色”继续。

注意：关于服务器角色的新增方法，也可以选择从“服务器管理员”界面中的“角色”节点页面中来完成。

在“选取服务器角色”页面中，请将“网络策略与访问服务”角色勾选并且单击“下一步”继续。在“选取角色服务”页面中，分别勾选“网络策略服务器”以及“路由及远程访问服务”，单击“下一步”。最后，在“确认”页面中，一旦确认正确选取了所需安装的角色服务之后，单击“安装”即可。成功完成安装“网络策略与访问服务”角色之后，单击“关闭”按钮。

接着，在“系统管理工具”页面中，单击开启“路由及远程访问”项目继续。在“路由及远程访问界面”中，在默认状态下是尚未进行任何设置与启动的，因此必须在服务器节点上点击鼠标右键，单击“设置和启用路由及远程访问”继续，将会开启“路由及远程访问服务器安装向导”。首先，在“设置”页面中选取“远程访问（拨号或VPN）”项目，单击“下一步”。在“远程访问”页面中，勾选“VPN”项目，并单击“下一步”。

注意：关于“拨号”选项是早期通过调制解调器（Modem）的远程连接访问方式，虽然有着另一个层面的安全性优点，但传输速度慢以及用户移动计算机必须通过电话线路连接才能使用，如今几乎没有公司在使用了。

在“VPN连接”页面中，必须选取此服务器上负责连接网际网络的网络界面，在此由于笔者预先已经修改了内外网卡的显示名称，因此便显得较容易识别与选择。此外，在这里还必须将“设置静态封包筛选器来启用选择界面的安全性”项目勾选。单击“下一步”。

在“IP地址指派”页面中，您可以选择要采用“自动”还是“从选定范围的地址”来指派IP地址给远程连接成功的客户端，如果选择前者，在内部域中必须要有DHCP服务器。至于后者，则可以自行选定IP地址范围来分派，不过不能与DHCP所设置的范围冲突。在此我们选择“自动”。单击“下一步”继续。

在“正在管理多个远程访问服务器”页面中，选取“否，使用路由及远程访问来验证连接要求”项目，主要原因是在我们的网络环境中，并没有预先准备好另一部专属的Radius服务器来处理身份验证，因此，直接采用本地服务器来验证远程用户身分即可。单击“下一步”继续。最后，便可以看到前面的设置摘要。确认无误之后，请单击“完成”即可。

图1 网络连接设置

完成基本VPN服务的启用与设置之后，可能会出现远程访问警告信息，其主要目的在于告知我们VPN网络的连接检查，可以选择通过本机的“路由及远程访问服务策略”或是内部域中另一部专属的“网络策略服务器（NPS）”来负责这项工作，为了简化架构设计，我们将会选择前者。单击“下一步”继续。

设置网络安全策略

在“远程访问记录与策略”节点上，点击鼠标右键，单击“启动NPS”。接着，将会开启本地网络策略服务器设置界面，请在最上层节点的页面中单击“网络访问策略”。在“网络策略”页面中，默认会有两个设置为拒绝访问的策略项目，连续单击开启“Connections to Microsoft Routing and Remote Access server”项目。首先，在“概述”页面中将访问权限部分设置为“授与访问权”，然后单击至“限制”页面中继续。在“限制”页面中，针对“验证方法”中的设置惟一保留“Microsoft Secured password（EAPMSCHAPv2）”项目，然后移除“Microsoft智能卡或其他证书”项目。单击“确定”完成设置。

客户端设置与连接测试

终于完成了整个IKEv2的VPN服务器证书与服务的设置，接下来便可以来到预先准备好的远程Windows 7客户端计算机，来进行相关的VPN连接设置与访问测试了。首先从“控制面板”页面中“网络和共享中心”，开启之后单击位于“变更网络设置”区域中的“设置新的连接或网络”连接继续。

在“选择连接选项”页面中，选取“连接到工作地点”项，单击“下一步”。在“您要如何连接”页面中，单击“使用我的网际网络连接VPN”。输入所要连接的VPN服务器网际网络FQDN地址，然后输入自定义的目的地识别名称以及将“不要立即连接；先设置好，我稍后再连接”项目勾选，单击“下一步”。输入已允许连接VPN网络的用户账号、密码以及域名称，如图1所示，在完成了VPN网络连接的建立之后，请在该图1上点击鼠标右键，选择“属性”继续。

开启了VPN网络的属性之后，请在“安全性”页面中，将VPN类型变更为“IKEv2”，然 后 确 认 在“验证”区域中已经将“使用可延伸的验证通讯协议（EAP）”设 置 为“Microsoft Secured password（EAPMSCHAPv2）”。单击“进阶设置”按钮继续。在“进阶属性”的页面中，可以决定当发生与IKEv2的VPN网络连接中断时，所允许的网络中断时间（默认=30分钟）。连续单击两次“确定”完成设置。

图2 连接状态检视

接下来，我们便可以开启所完成建立与设置的VPN网络连接，在此的用户账户、密码以及域名称，由于都已经预先设置好，因此，请直接单击“连接”即可。成功连接登录VPN网络之后，便可以尝试访问内部的服务器资源。在这个测试环境中，在搜寻字段中，输入内部共享文档夹的UNC路径来开启连接。当成功连接后，将可以看到预先储存在内部网络共享文档夹中的档案。

而对于目前所连接的VPN网络详细信息，您可以在连接阶段中开启此VPN网络的状态，然后在“详细数据”中查看即可（如图2），其中，最重要的是可以看到目前所使用的设备名称是“WAN Miniport（IKEv2）”，以 及“Mobile Supported”功能目前是支持的。

最后，建议您可以通过多网络环境下，选择停用目前运作中的区域连接，然后再启用原本已经设置为停用的区域网络（或WiFi网络、移动网络等都可以），来测试看看当Internet的连接再度恢复时，IKEv2的移动性特色是否已成功发挥。

结论

时代的不断发展，让信息技术也得跟着附和人们的需求。从本文的VPN Reconnect技术部署中，让我们深知今日企业的移动工作者是越来越多，想要满足这一类工作者的需求，最重要的就是要达到高便利性、高流畅性以及高安全性三大基本需求，就像如今人手一个的iPhone与Android智能型手机一样。这项VPN移动连接技术，也支持了最新Windows 10客户端的使用，而且可以让连接的网络传输速度更快更稳。