|
现在,越来越多的人,通过互联网将位于各地的网络连接起来传递信息。人们希望在降低成本、增强功能的同时,又要保证信息的安全和质量。而目前拨号上网的低速、专线网络费用的昂贵以及黑客的侵袭等,使得Internet在系统安全、快速响应、高质量方面面临许多问题。虚拟专用网VPN较好地解决了这一问题。本文就利用Windows 2000 在Internet上实现虚拟专用网的问题进行了较深入地探讨。
2、 VPN技术的原理
2.1 VPN 的概念
VPN技术是指以公用开放网络(如Internet等)作为基本传输介质,利用上层的协议附加的多种技术向最终用户提供类似于专用网络功能的网络服务技术。
通过VPN可以以模拟点对点专用链接的方式,通过共享或公用网络在两台计算机之间传送数据。要模拟点对点链路,应压缩或包装数据,并加上一个提供路由信息的报头,该报头使数据能够通过共享公用网络到达其终点,要模拟专用链路,为保密起见应加密数据。封装和加密专用数据之处的链接是虚拟专用网络(VPN)连接。
以公用网络(如Internet)为通讯基础,在家里或者旅途中工作的用户通过VPN连接可以建立到服务器的远程访问连接。从用户的角度看,VPN是一种在计算机(VPN用户)到团体服务器(VPN服务器)之间的点对点的连接。因为从逻辑上看数据应当是通过专门的链接发出的,因此与共享或公用网络的基础结构是不相关的。
通过VPN连接,单位能够将地理位置分开的部门建立路由连接,或者在保持安全通信的情况下,通过公共网络连接到其他单位。通过Internet被路由的VPN连接逻辑上作为专用的WAN链接来操作。通过路由和远程访问连接,单位可以使用VPN连接将长途拨号或租用线路转换成本地拨号连接或者到本地Internet服务提供者(ISP)租用线路(距离短),这样大大降低单位的费用。
2.2 VPN连接的优点:
● 降低费用 因为ISP维护通讯硬件,用户网络所需购买和管理的硬件很少。
● 外购拨号网络 用户可以打电话或ISP,然后再连接到远程访问服务器和企业网络。
● 网络协议支持 支持最常用的网络协议(如TCP/IP、IPX、NETBEUI),用户可以远程运行任何依赖于这些特殊网络协议的应用程序。
● 增强的安全性 VPN通过Internet的连接是加密和安全的。新的身份验证和加密协议由远程访问服务器强制执行。敏感数据对Internet用户来说是隐藏的,但适当的用户可以通过VPN安全地访问。
● IP地址安全 VPN是加密的,用户指定的地址受到保护,Internet仅能看到外部IP地址。
2.3 VPN连接的类型
有两种,分别是:
2.3.1 远程访问VPN连接
远程访问客户(单用户计算机)建立到专用网络的VPN连接。VPN服务器负责VPN服务器资源或VPN服务器连接的整个网络的访问权。从远程客户发送的数据包来自远程访问的客户计算机。远程访问客户(VPN客户)将自身交给远程服务器(VPN服务器)去验证身份,作为相互验证,服务器也将自身交给客户去验证身份。
运行Windows 2000 、Windows 98等的计算机可以创建远程访问的VPN连接。
2.3.2 路由器到路由器的连接
通过路由器将专用网络的两个部分连接起来。VPN服务器提供到与其相连的路由连接。在路由器到路由器的VPN连接上,每个路由器发送的数据包通常都通过VPN连接发送,而不是有路由器产生。呼叫路由器(VPN客户)向应答路由器(VPN服务器)发出自我验证,为了相互验证,应答路由器也向呼叫路由器发出自我验证。
运行Windows 2000 Server的计算机可以创建路由器到路由器的VPN连接。
2.4 VPN协议
在Windows 2000中支持点对点隧道协议(PPTP)和带有IP协议安全(IPSEC)的第二层隧道协议(L2TP)。
点对点隧道协议PPTP是“点到点协议(PPP)”的扩展,它增强了PPP的身份验证、压缩和加密机制。PPTP与路由和远程访问服务程序一起安装。默认情况下,系统为五个PPTP端口配置PPTP。通过使用路由和远程访问向导,可以为向远程访问和请求拨号路由连接启用PPTP端口。PPTP和Microsoft “点对点加密(MPPE)”提供了对专用数据封装和加密。
第二层隧道协议(L2TP)是即将成为工业标准的隧道协议,与PPTP不同的是,Windows 2000 中的L2TP不利用Microsoft “点对点加密(MPPE)”来加密PPP数据包,L2TP依赖于网际协议安全IPSec加密。L2TP和IPSec的组合被称为基于IPSec的L2TP。
因为基于L2TP的虚拟专用网络连接是L2TP和IPSec的组合,因此,VPN客户机和VPN服务器必须支持L2TP和IPSec隧道协议。
L2TP与路由和远程访问服务程序一起安装,默认情况下,系统为五个L2TP端口配置L2TP。通过使用路由和远程访问向导,可以为传入的远程访问和请求拨号路由连接启用L2TP端口。基于IPSec的L2TP提供专用数据的封装和加密。
2.5 Windows 2000中VPN的新特性
Windows 2000为虚拟专用网络提供下列新功能。
●第二层隧道协议 除了点对点隧道协议(PPTP)之外,还包含行业标准的“第二层隧道协议(L2TP)”。
●远程访问策略 它是一套条件和连接设置,可在设置远程访问权限和连接属性方面向网络管理员提供更大的灵活性。通过远程访问策略,可以强制对VPN用户使用强大的身份验证和加密,以及对拨号用户使用一组不同的身份验证和加密约束。
●MS—CHAP版本2 在远程访问连接的协商过程中主要用于加强安全凭证传递的安全性和生成加密关键字。
● 可扩展的身份验证协议EAP 允许将新的身份验证方法用于远程访问,EAP允许其他身份验证模块插入到Windows远程访问PPP设备的接口。
● 帐户锁定 帐户锁定是一项安全性能,它在对配置号码的身份验证失败后拒绝访问帐号。帐户锁定用于防止非法用户企图使用已知的用户名,借用词典里的常用单词列表作为密码尝试登录。帐户锁定在默认的情况下是禁用的。
2.6 VPN网络组件
Windows 2000 VPN的连接包含下列组件:
● VPN服务器 接受VPN客户VPN连接的计算机。
● VPN客户 将VPN连接初始化VPN服务器的计算机。VPN客户可能是一台单独的计算机,也可能是路由器。
● 隧道协议 VPN客户使用隧道协议创建到VPN服务器的安全连接。Windows 2000包含PPTP和L2TP两种隧道协议。
● LAN和远程访问协议 应用程序使用LAN协议(TCP/IP、IPX、NeTBEUI等)传输信息。远程通讯协议用于协商连接以及在广域网(WAN)链接上为发送LAN协议数据提供帧,Windows 2000支持LAN协议和PPP远程访问协议。
● WAN选项 通过使用永久性WAN连接(如:帧中继),或拨入(电话线或ISDN)到本地Internet服务提供商(ISP),可以将VPN服务器连接到Internet上。
● Internet网 为压缩数据提供传输互联网络。
2.7 基于Internet的VPN连接
典型VPN连接的基础结构有Internet和 Intranet,这里主要讨论前者。使用基于Internet的VPN连接,可以充分利用互联网的作用,同时又降低成本。
● Internet 上的远程访问
远程访问客户先通过呼叫本地ISP建立与本地ISP的物理连接,再通过Internet与VPN服务器建立VPN连接。见附图7
● 通过Internet连接网络 当两个网络通过Internet连接时,通过VPN连接,路由器将数据包发送到其他路由器。见附图8:
3、 创建VPN连接的实例
以图1作为示例,本文仅讨论Windows 2000远程客户端与总公司的网络之间通过Internet创建VPN的过程。假设VPN服务器已经通过专线(如帧中继)连接到Internet上。分三个步骤:
3.1 VPN服务器的配置
(1) 在运行Windows 2000 Server 的计算机上,选择“开始”→“程序”→“管理工具”→“路由和远程访问”,鼠标右击作为远程访问服务器的计算机→“配置并启用路由和远程访问”,出现“路由和远程访问服务器安装向导”对话框时,单击“下一步”;
(2) 在对话框(见图1)中选择“虚拟专用网络(VPN)服务器”,单击“下一步”;
(3) 在“远程客户协议”对话框中,如果客户端的通讯协议已经出现在列表上,直接单击“下一步”,否则,请单击“否”添加通讯协议;
(4) 在“Internet连接”对话框中,选择一个让客户端连接的端口。单击“下一步”;
(5) 在“Internet地址指定”对话框(见图2)中,选择对远程客户指派IP地址的方式,在此选择“自动”,单击“下一步”;在出现的新对话框(见图3)中,选择“不,我现在不想设置服务器使用RADIUS”,单击“下一步”;
(6) 出现“路由和远程访问服务器安装向导”对话框时,单击“完成”。
接下来,必须设置让用户具备拨入的权利,如果是域用户,则使用“Active Directory用户和计算机”管理工具设置,如是本机用户,则使用“计算机管理工具”进行设置。
3.2 客户端通过ISP连接到Internet
(1) 在远程访问的计算机上,选择“开始”→“设置”→“网络和拨号连接”→“新建连接”;
(2) 在“网络连接类型”对话框中,选择“拨号到Internet”,单击“下一步”;
(3) 选择“手动设置Internet连接或通过局域网(LAN)连接”→选择“通过电话线和调制解调器连接”;
(4) 接下来,输入本地ISP的有关信息→输入用来连接ISP的用户帐户和密码,暂不设置Internet邮件帐号等。完成后,在“网络和拨号连接”画面中就会出现刚才新建立的连接。双击此连接,就可以连上Internet。
3.3 建立VPN连接
(1) 在远程访问的计算机上,“开始”→“设置”→“网络和拨号连接”→“新建连接”,出现“欢迎使用网络连接向导”对话框时,单击“下一步”;
(2) 出现“网络连接类型”对话框(见图4)时,选择“通过Internet连接到专用网络”,在“目标地址”对话框中(见图5),输入要连接的VPN服务器的IP地址或主机名称;
(3) 在“可用连接”对话框中选择连接的类型,在此选择“所有用户使用此连接”;
(4) 在“Internet连接共享”对话框中,可选择“启用此连接的Internet共享”,在信息提示框中单击“是”;
(5) 在“完成网络连接向导”对话框中,输入该VPN连接的名称,单击“完成”,即可完成VPN的连接。此时系统打开“连接虚拟专用连接”对话框(见图6),通过该对话框即可进行虚拟连接的操作。
4、 结束语
在Internet普及的今天,充分利用Windows 2000 提供的VPN功能,可以在快速、安全传递数据的同时,又减少了投资、降低了成本,实在是一个很好的选择。
参考文献
〔1〕Windows 2000 组网与系统管理,杨素敏,机械出版社,2001年
〔2〕Windows 2000 网络专业指南,戴有炜,清华大学出版社,2000年
〔3〕中文版Windows 2000 Server网络使用指南,梁晋,机械出版社,2001年
|
|
转播
分享
淘帖
分享到新浪微博
