1、VPN 安装使用图解 尽管术语“虚拟专用网络 (VPN)”定义相当广泛,但大多数业内专家使用 VPN 代表的是通过公用网络(比如 Internet)建立专用虚拟隧道。通过 VPN,数据被封装成数据包,经由公用网络安全地传输,数据包标头包含路由信息。Windows 2000 支持第 2 层(数据链路层)隧道协议,比如 PPTP 和 L2TP,这些协议先将数据封装进 PPP 帧,然后再通过线路进行传输。第 3 层(网络层)隧道协议(如 IPSec)也受支持,在这里 IP 数据包在传输前先被封装进 IP 标头。 VPN 方案 利用 VPN 有许多种方式。但可能最通常的方案是远程用户通过 VPN 隧道
2、访问企业网络。在其他方案中,远程办公室可以使用持续的或请求拨号 VPN 连接方式连接企业网络。VPN 还可以部署在外部网方案中以便与商业伙伴进行安全通讯。本文将讨论第一种方案下的 VPN 部署,即远程用户通过 VPN 隧道连接企业网络。 为 VPN 配置 Windows 2000 Server 要配置 VPN 服务器,计算机必须至少有两个接口。要设置 Windows 2000 server 用于 VPN,请使用以下步骤: 打开“管理工具”中的“ 路由和远程访问 ”控制台 右键单击服务器,然后单击配置并启用路由和远程访问 “安装向导”启动,单击“ 下一步 ” 选择手动配置服务器,如图 1 所示,
3、单击“下一步” 单击“完成”结束安装向导 图 1 在服务器上启用 VPN 请不要使用虚拟专用网络 (VPN) 服务器选项。“路由和远程访问”向导不允许路由,解释请见 Microsoft Knowledge Base 文章 Q243374。VPN 选项为传入 VPN 连接配置服务器,并通过配置筛选器只允许 PPTP 或 L2TP 通信来保护服务器。如果这正是您所需要的,则不必担心。但请注意,使用该选项将导致“路由和远程访问”阻止除 PPTP 和 L2TP 之外的所有数据包。 在用户能够使用 VPN 连接您的服务器前,还需要采取一个步骤。即需要给用户相应的拨入权限以访问网络。这可以通过在“远程访问
4、策略”中授予用户远程访问权限来实现,如图 2 所示;也可以通过在 Active Directory“用户和计算机”中基于每用户配置拨入权限来实现。 图 2 授予远程访问权限 默认情况下,所创建的 VPN 端口数目有所不同,具体取决于是否选择最后一个选项手动配置服务器。如果选择了该选项,则只创建 5 个 PPTP 和 5 个 L2TP 端口,如果选择了中间选项虚拟专用网络 (VPN) 服务器,则创建 128 个 PPTP 和 128 个 L2TP 端口。通过选择“路由和远程访问”控制台中的“端口属性”,您始终可以调整端口数。 备注 如果 VPN 客户端要通过路由器或防火墙,并且使用的是 PPTP
5、,请确保允许 TCP 端口 1723 和 IP 协议 ID 47(GRE - 常规路由封装)通过路由器或防火墙。如果使用的是 L2TP,则需要打开 UDP 端口 500 (IKE)、协议 ID 50 (IPSec ESP) 和协议 ID 51 (IPSec AH)。客户端配置 要连接企业端的 VPN 服务器,首先需要保证能够通过拨入 ISP 连接 Internet,除非拥有对 Internet 的专用连接(比如 DSL)才不需要拨号。连接到 Internet 即让您置身于企业 VPN 服务器所连接的同一全球 Internet 主干网上。然后您建立第二连接以创建 VPN 隧道。 要创建到企业服务
6、器的第二连接,请按以下步骤操作: 转到“开始”,“ 设置”,“网络和拨号连接”,然后选择“建立新连接” 来启动“网络连接向导”。 在“网络连接类型”屏幕上选择通过 Internet 连接到专用网络,如图 3 所示。 在“公用网络”屏幕上,您可以如此配置:建立到企业 VPN 服务器的第二连接之前,首先自动拨叫 ISP。只有在使用调制解调器或 ISDN“拨入”ISP 以连接 Internet 时才可使用该选项。按照屏幕上的说明完成向导。 图 3 网络连接类型 默认情况下,使用该连接时,只具有键入用户名和密码的选项。要添加“域” 选项,请单击“属性”,然后在“ 选项”选项卡上选择包含 Windows
7、 登录域框,如图 4 所示。 视连接 VPN 服务器方式的不同,您将使用 MPPE 加密或 IPSec 加密。如果连接到 PPTP 服务器,则使用 MPPE,但如果连接到 L2TP 服务器,则使用 IPSec。默认情况下,VPN 被配置为自动服务器类型,这意味着在尝试使用 MPPE 加密的 PPTP 之前首先尝试使用 IPSec 加密的 L2TP。MPPE 的工作方式与 IPSec 不同。由于数据包到达目的地的先后顺序不同,MPPE 使用标头中的序列号来跟踪数据包。MPPE 根据序列号来更改每个数据包的加密密钥。使用 L2TP 连接需要 IPSec 证书。如果在建立 VPN 连接时遇到问题,请
8、尝试选择 PPTP 代替默认的“自动”选项作为连接类型。如果选择了“自动”设置而不能协商 IPSec 会话,则在它退到 PPTP 之前可能需要等待很长时间(最长可达 2 分钟)。 通过在“远程访问策略”的“属性”下选择“ 编辑配置文件”可以配置四个加密选项。在 “加密” 选项卡上,您可以选择“无”加密、“基本”、“ 强”或“最强”加密。“最强”加密(128 位)只有在安装了 Windows 2000 High Encryption Pack 的情况下可用(推荐安装 Windows 2000 Service Pack 1)。 下表显示了拨号和 PPTP 与 IPSec 上的 L2TP VPN 连
9、接加密类型的比较: 了解数据包结构 PPTP 数据包结构 图 5(下图)显示了通过隧道时 PPTP 数据包的结构。首先,通过将加密的 PPP 数据与 PPP 标头封装在一起来创建 PPP 帧。然后,将 PPP 帧与 GRE 标头封装在一起。再后,将生成的有效负载与 IP 标头封装在一起,IP 标头中包含源 IP 地址和目标 IP 地址的信息。最后,该 IP 数据文报与数据链路层标头和尾端封装在一起。视所使用技术的不同,数据链路层标头和尾端也有所不同。例如,当通过以太网发送 IP 数据文报时,它与以太网标头和尾端一起封装,当通过模拟电话线路发送时,它与 PPP 标头和尾端一起封装,等等。当数据包
10、到达目的地时,各标头以相反的顺序剥离。首先,数据链路层标头和尾端被除去,然后 IP、GRE 和 PPP 标头被依次剥离。最后, PPP 数据被解密。 图 6 PPTP 数据包结构 L2TP 数据包结构 L2TP 的数据包结构与 PPTP 有些类似,也有一些标头添加到 PPP 数据中。图 6 显示了 L2TP 数据包的结构。请注意,UDP 标头和 IPSec 尾端间的所有数据均被加密。 图 7 L2TP 数据包结构 流行的解决方案 VPN 是远程办公者对企业网络进行安全访问的有效方法。它通过公用网络提供 LAN 的安全扩展,因此在远程分支机构和外部网方案中也很有用。与传统的拨号解决方案相比,VP
11、N 由于其易于管理和总体拥有成本更低而变得非常流行。构建基于 WINDOWS2000 的VPN一VPN 概述 1VPN 的一些基本知识 VPN,全称为 Virtual Private Network,中文翻译为虚拟专用网,这几年非常使流行。它是一个加密或封装的通信过程,两个节点之间所发生的通信都是通过加密的。它也是专用网络的一个扩展,但不需要 ISP 或电话公司设置一个独立的额外的连接来提供连通性。 VPN 通常在Internet 上实现,然而, VPN 也可以通过专用线路,帧中继 /ATM,或普通的旧式电话网POTN(如 ISDN,xDSL 等)来实现。VPN 的通信是依靠加密来实现的,而加
12、密软件对原有的大部分系统来说并不使用,要专用的打包器。 这里主要讨论基于 Internet 上的 VPN 的使用。VPN 不限于站点间的连接,它们还允许远程的客户安全的连接到办公室的网络上。 VPN 为通过公共网络的不安全连接提供安全性和可靠性,VPN 基本用来合作构成一个安全连接的三种技术组成,即:身份验证,隧道和加密。 。身份验证 确保 VPN 会话建立之前的客户和服务器是他们本身,但并不需要相互验 证,在隧道建立和数据传输之前要求成功的验证。要尽可能的提供最强的验证级别。诸如:EAP,MS-CHAP 或 MS-CHAPv2 等身份验证协议。 。隧道 用来将网络协议(TCP/IP,IPX/
13、SPX 等)包装到可在 Internet 上传递的 IP 数据包中。在 windows 2000 中负责创建隧道连接的两个协议是 PPTP 和 L2TP(L2TP 是 PPTP 和L2F 合并而成的)。L2TP 比 PPTP 更为高级,并且使用 IPSec 验证和加密协议。只有在RRAS 的 Windows 2000 版本中才能使用 L2TP,而 Windows 2000 客户是唯一使用它的客户,NT 4.0 和 98 只能用 PPTP。 。加密 Windows 2000 支持两种加密技术:MMPE(Microsoft 点对点加密)和 IPSec.你可以要求远程客户或站点使用其中的一种方法加密
14、,如果它们不使用规定的方法,你可以配置RRAS 拒绝连接。 MMPE 支持三种方案:标准的 40 位和 56 位。在美国个加拿大还使用加强的 128 位加 密。要使用 MMPE,必须使用 MS-CHAP 或 MS-CHAPv2 等身份验证协议。 IPSec 实际上是一基于加密技术的服务和协议的集合。为使用 L2TP 的 VPN 连接提供了身份验证和加密,如 EAP 和 MS-CHAP。在 Windows 2000 中的 IPSec 实现了数据加密标准DES 或 DES3。DES 是在国际上通用的,而 DES3 只能在美国用。因为美国是把加密技术当成军火才出售的,因此其他地区只能使用 DES(由
15、此可见,美国佬确实有点可恨!) 2实现 VPN 的一些考虑 VPN 的应有有四个领域: 。企业内部网 Intranet 。远程访问 。企业外部网 Extranet 。企业内的 VPN 也许前面三个大家都很理解,但是这最后似乎有点不可理喻;内部做 VPN 干什么?其实,这主要是为了安全的考虑。根据调查显示,很多时候网络安全的威胁不仅是来自外部,更多的是来自企业内部。通过在企业内部实现 VPN,可以保证财务,金融等数据的安全性。 但是,如果仅仅因为 VPN 是一个很时髦的技术而采用它,是否有点过于浪费(不过,如果你的公司很有钱的话也很可以这样牛一下)。在考虑是否要采用 VPN 之前请先考虑一下如下
16、几个问题: 。安全 所传递的数据真的需要如此高级别的安全性吗? 。预算 (这个不言而喻。) 。吞吐量 由于数据加密等一些额外的开销,网络的性能可能会下降 30%50%。 如果以上三点你都可以接受的话,那么,你可以考虑实施 VPN 了。 另外,还不得不考虑一些技术上的问题: 。IP 地址问题 你必须拥有已经注册了的合法的 IP 地址空间 。DNS 问题 。路由选择 。网络地址转换 。加密技术 3解决方案 实现 VPN,总的来说有这么三种解决方案: 。拨号 VPN 远程客户 本地 ISP Windows 2000 的 VPN 服务器。可节省远程用户的电话费,还能节省 VPN 服务器站点的许多投资,
17、在许多情况下,能替代所需的大量调制解调器。站点到站点 可使用两个或多个 Windows 2000 VPN 服务器建立它们之间的 VPN 连接,两个站点之间的通信被安全的定义。 。组合方案 组合以上两种方案。 二实施 VPN 自从 Windows NT 4.0 的 RRAS 以来,Microsoft 就支持 VPN 了。在 Windows 2000 中也继续得到了支持。建立 VPN 首先需要安装 RRAS。 1安装和启动 RRAS RRAS 在 Windows 2000 Server 安装的时候已经自动安装了,但是处于禁用状态,要使用 RRAS 需要先启动它。步骤:开始| 程序|系统管理工具|
18、路由与远程访问,在弹出的“ 路由与远程访问”窗口中,选定要启用的服务器,然后单击工具栏中的 “操作”|配置和启用路由与远程访问,启动配置向导。 2如何配置 RRAS 21 配置 Internet 连接服务器 可选 ICS 和 NAT。 2.1.1 如果选择了 ICS,你会被询问通过网络或拨号连接配置 ICS,要通过拨号配置 ICS,按如下过程完成:开始|设置|网络和拨号连接,在拨号或 VPN 上右击-属性,在共享选项卡中,选择“启用此连接的 Internet 连接共享”。该选项允许网络上的另一台计算机使用这个 Internet 连接。然后确定(注意弹出的提示消息!) 2.1.2 如果选择了 N
19、AT 的 ICS 路由器,可以把 Windows 2000 配置成 Internet 连接路由器,这个路由器使用通过一个 NIC(网卡)连接的 NAT,支持以下内容: 。多个 IP 地址 。多个 SOHO 接口 。用于网络客户的可配置的 IP 地址范围 *注意 在一个有其他的 DC,DNS 服务器或者 DHCP 服务器的网络中使用此选项。 这个选项有两个关联的选项可供选择:使用选择的 Internet 连接或创建一个新的请求拨号的 Internet 连接。如果选择了第二个选项,会启动拨号连接向导,按照向导完成配置。 2.2 配置远程访问服务器 (略,可按照向导逐步完成) 2.3 虚拟专用(VP
20、N)服务器 SERVER 端:检查所需的协议是否已经安装,选择用来连接 Internet 的连接方式。如果你有一个 DHCP 服务器,就应当使用这个服务器,如果没有,VPN 服务器将从一个 IP 地址范围内为客户分配一个 IP 地址(下一步将会提示你输入 IP 地址的范围)。如果是使用 DHCP 服务器,下一步将会询问你是否使用一个 RADIUS 服务器,保留默认的 “不”。 CLIENT 端:很多操作系统都可以做为客户端操作系统,如 Windows NT/9X,UNIX 及其变种,Macintosh 等。这里介绍 windows 2000 的客户。确保在配置客户端应用程序之前,已经安装了一个
21、调制解调器和驱动程序。) 执行步骤:开始|设置|网络和拨号连接,双击启动“新建连接”。与 RRAS 服务器相关的选项是“拨号到专用网络”和“ 通过 Internet 连接到专用网络”。可以选择第一个,按照向导完成。请注意不要将“Internet 连接共享”复选框选中。 指定连接的安全设置:如果你觉得不必配置安全性的话,那么,在上一步其实你就已经完成了 VPN 的配置了。但是事实是你还得配置这一步。返回“网络和拨号连接”,双击刚才建立的连接,右键|属性|安全措施,在这里配置客户使用服务器是采用的安全机制。单选 “高级”,设置,在下一屏中配置安全措施和加密协议等。 三VPN 访问策略 远程访问连接
22、根据用户的帐号和远程访问策略被授权访问。当添加远程访问策略时,一个用户只能使用一个策略。 添加策略:在控制台左边,右击远程策略,选择“新建远程访问策略 ”,按照向导完成。 四管理和排除 RRAS 故障 1 管理 如果你有多个 RRAS 服务器,可以将他们放在一个管理单元中进行管理。右击“服务器状态” ,选择“ 添加服务器 ”,或者在“ 操作”中选择“添加新的服务器” 。 2 监视 单击“服务器状态”,可在右边查看服务器的名称,类型,状态,服务器上的端口数量总数,使用中的端口数量等。 3 查看路由选择表 命令行查看:route print 或者在 RRAS 控制台中,展开控制台树,显示出 IP
23、路由选择或者 IPX 路由选择子数下的静态路由条目,右击“静态路由”并选择“显示 IP 路由选择表”或者“显示 IPX 路由选择表” 4添加静态路由表 对于家庭用户或者小型办公环境,可以手工向路由选择表中添加静态 路由,以便能连接到另一个网络 命令行方式:route addWindows 2000 路由和远程访问一、前期准备工作 在配置远程访问之前,需要做一些前期准备工作。路由和远程访问是 Windows 2000 server 下的一个工具,所以我们得先安装 Windows 2000 server,另外还需要一个调制解调器和电话线(当然,ISDN 也行),并为调制解调器安装正确的驱动程序。二
24、、配置远程访问进入我的电脑控制面板管理工具路由和远程访问,右击 FENGYUN(本地)FENGYUN为计算机名,在弹出菜单中选择“ 配置并启用路由和远程访问” (图 1)。图一出现路由和远程访问服务器安装向导,点击“下一步”,出现如图 2 的画面:图二由于我们配置路由和远程访问的目的是为了让远程计算机通过代理上网和文件访问,所以选择“远程访问服务器”,并点击“下一步”继续,根据自己的需求选择“设置一个基本的远程访问服务器”或 “设置一个高级远程访问服务器”,笔者选的是第二项,点击“下一步”继续(图 3)图三然后计算机出现远程客户协议(图 4)对话框,选择“是,所有要求的协议都在此列表中”,并点
25、击“下一步”继续。请注意:这里至少有要有 TCP/IP 和 NetBEUI 两种协议,TCP/IP 协议是用来路由并代理上网,而 NetBEUI 则是用来解析计算机名,这两种协议缺一不可,假如需要添加协议,则可选择 “否,我需要添加协议”,把需要的协议添加进来。图四协议配置完毕后,计算机询问“您想如何对远程客户分配 IP 地址”,笔者选择的是“自动”,并点击“下一步”继续(图 5)图五读者则可根据自己的实际情况进行设置。假如选择“自动”,则在这个子网必须要有一台 DHCP服务器,这台 DHCP 服务器可以是路由和远程访问服务本身,也可以是子网内的其他计算机,假如子网内没有 DHCP 服务器,则只能选择 “来自一个指定的地址范围 ”,手动指定 IP 地址。 IP 地址配置完以后,计算机询问“您想设置此远程访问服务器使用一个现有的 RADIUS 服务器呢”,选择“不,我现在不想设置此服务器使用 RADIUS”,并点击“下一步”继续,出现配置“路由和远程访问”的信息对话框,点击“完成”结束“路由和远程访问”的配置(图六) 。图六
