由此可见、对于异地分厂局域网数据安全传输的问题,VPN技术具有更大的优势。对于企业而言,VPN可以替代传统的采用架设、租用专有线路来连接网络。VPN技术所具备的优势如下:
1、成本更低廉,VPN技术是将局域网的数据直接在庞大的广域网上跑,相对于DDN专线,他不需要铺设或者租用专门的线路,为企业节省更过的资金成本。
2、安全性更好,运用VPN技术在广域网上跑的数据都是经过加密的,安全性、稳定性都有保障。
3、便于部署和管理,由于在广域网上的VPN虚拟链路都是随时建立的,既能保障分支机构与总部之间的数据“随建随传”,又支持外出的员工在任意利用网络节点能够访问、管理公司的内部局域网。 三、VPN主流技术分类
IPSecVPN:IPSec是“Internet工程任务组”支持的标准,它是基于网络层对数据进行加密。IPSec可以对Internet网络节点间所有的传输数据进行保护,而不管它是哪一类的网络应用。同时,IPSec能够在不同局域网之间,以及远程客户端与中心节点之间,建立安全的传输通道,因此应用比较广泛。
SSL VPN:其优势主要集中在VPN客户端的部署和管理上。相对于IPsec VPN,它无须安装客户端,浏览器内嵌了SSL协议,使用“安全套阶层”提供数据加密,保证数据在公网上
传输的安全,可以直接使用浏览器完成SSL VPN的建立,广泛应用于Web浏览程序和Web服务器程序,所以SSL VPN适合点对网的连接。 四、主要的VPN设备生产厂商
深信服科技:深信服科技有限公司是中国成长最快、创新能力最强的前沿网络设备供应商,公司所开发的上网行为管理、SSL VPN、IPSecVPN产品在国内的市场占有率都居首位
早在2001年,深信服便涉足IPSec VPN领域,经过几年的发展,深信服IPSec VPN已经成为中国VPN领域的第一品牌。SSL VPN产品也是迅猛发展,位列同类产品的前沿。
一、VPN简介
虚拟专用网(Virtual Private Network,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可*性。VPN可分为三大类:(1)企业各部门与远程分支之间的Intranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。 二、VPN的要求 (1)安全性
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。 (2)性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。 (3)管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂
的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。 (4)互操作
在Extranet VPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(Point to Point Tunneling Protocol,PPTP)、第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)等。
三、VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
1.VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。 2.隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。 (1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放入隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。 GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许点到多点,即一个源地址对多个终地址。这时候就要和下一跳路由协议(Next-Hop Routing Protocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中入口地址用的是普通主机网络的地址空间,
而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的――每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进入隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足Extranet VPN以及Intranet VPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F(Layer 2 Forwarding)和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(Network Access Server)隧道。前者一般指“主动”隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。
L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:①用户通过Modem与NAS建立连接;②用户通过NAS的L2TP接入服务器身份认证;③在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入
服务器动态地建立一条L2TP隧道;④用户与L2TP接入服务器之间建立一条点到点协议(Point to Point Protocol,PPP)访问服务隧道;⑤用户通过该隧道获得VPN服务。 与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:①用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;②用户通过路由信息定位PPTP接入服务器;③用户形成一个PPTP虚拟接口;④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;⑤用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。 3.加密技术
使非受权 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。 4.QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧
道。
不同的应用对网络通信有不同的要求,这些要求可用如下参数给予体现: •带宽:网络提供给用户的传输率;
•反应时间:用户所能容忍的数据报传递延时; •抖动:延时的变化; •丢失率:数据包丢失的比率。
网络资源是有限的,有时用户要求的网络资源得不到满足、通过QoS机制对用户的网络资源分配进行控制以满足应用的需求。QoS机制具有通信处理机制以及供应(Provisioning)和配置(Configuration)机制。通信处理机制包括802.1p、区分服务(differentiated service per-hop-behaviors,DiffServ)、综合服务(integrated services,IntServ)等等。现在大多数局域网是基于IEEE802技术的,如以太网、令牌环、FDDI等,802.1p为这些局域网提供了一种支持QoS的机制。802.1p对链路层的802报文定义了一个可表达8种优先级的字段。802.1p优先级只在局域网中有效,一旦出了局域网,通过第三层设备时就被移走。DiffServ则是第三层的QoS机制,它在IP报文中定义了一个字段称DSCP(DiffServ codepoint)。DSCP有六位,用作服务类型和优先级,路由器通过它对报文进行排队和调度。与802.1p、DiffServ不同的是,IntServ是一种服务框架,目前有两种:保证服务和控制负载服务。保证服务许诺在保证的延时下传输一定的通信量;控制负载服务则同意在网络轻负载的情况下传输一定的通信量。典型地,IntServ与资源预留协议(Resource reservation Protocol,RSVP)相关。IntServ服务定义了允许进入的控制算法,决定多少通信量被允许进入网络中。
供应和配置机制包括RSVP、子网带宽管理(subnet bandwidth manager,SBM)、政策机制和协议以及管理工具和协议。这里供应机制指的是比较静态的、比较长期的管理任务,如:网络设备的选择、网络设备的更新、接口添加删除、拓扑结构的改变等等。而配置机制指的是比较动态、比较短期的管理任务,如:流量处理的参数。
RSVP是第三层协议,它独立于各种的网络媒介。因此,RSVP往往被认为介于应用层(或操作系统)与特定网络媒介QoS机制之间的一个抽象层。RSVP有两个重要的消息:PATH消息,从发送者到接收者;RESV消息,从接收者到始发者。 RSVP消息包含如下信息:①网络如何识别一个会话流(分类信息);②描述会话流的定量参数(如数据率);③要求网络为会话流提供的服务类型;④政策信息(如用户标识)。RSVP的工作流程如下: •会话发送者首先发送PATH消息,沿途的设备若支持RSVP则进行处理,否则继续发
送;
•设备若能满足资源要求,并且符合本地管理政策的话,则进行资源分配,PATH消息继续发送,否则向发送者发送拒绝消息;
•会话接收者若对发送者要求的会话流认同,则发送RESV消息,否则发送拒绝消息; •当发送者收到RESV消息时,表示可以进行会话,否则表示失败。
SBM是对RSVP功能的加强,扩大了对共享网络的利用。在共享子网或LAN中包含大量交换机和网络集线器,因此标准的RSVP对资源不能充分利用。支持RSVP的主机和路由器同意或拒绝会话流,是基于它们个人有效的资源而不是基于全局有效的共享资源。结果,共享子网的RSVP请求导致局部资源的负载过重。SBM可以解决这个问题:协调智能设备。包括:具有SBM能力的主机、路由器以及交换机。这些设备自动运行一选举协议,选出最合适的设备作为DSBM(designated SBM)。当交换机参与选举时,它们会根据第二层的拓扑结构对子网进行分割。主机和路由器发现最近的DSBM并把RSVP消息发送给它。然后,DSBM查看所有消息来影响资源的分配并提供允许进入控制机制。
网络管理员基于一定的政策进行QoS机制配置。政策组成部分包括:政策数据,如用户名;有权使用的网络资源;政策决定点(policy decsion point,PDP);政策加强点(policy enforcement point,PEP)以及它们之间的协议。传统的由上而下(TopDown)的政策协议包括简单网络管理协议(Simple Network Management Protocol,SNMP)、命令行接口(Command Line Interface,CLI)、命令开放协议服务(Command Open Protocol Services,COPS)等。这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。 四、结束语
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。
手把手指南 Windows 路由和远程访问实现如何架设VPN
System_Windows 2009-04-01 22:55:02 阅读6718 评论3 字号:大中小 订阅 Win2003路由和远程访问实现VPN
一、 在VPN远程连接之前要做好两个准备。
公司总部采用ADSL虚拟拨号接入Internet,为了保证出差员工能够使用固定的域名随时拨入VPN服务器,申请了88IP动态域名解析服务,88IP作为企业应用还是要稳定可靠些的。
第一:要获得VPN服务器接入Internet的公共IP地址,如果是分配的静态IP,那就简单了,如果是动态IP,那必须在远程能随时获得这个IP地址,本例如图1,192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时,是ISP给自动分配的,且一般被分配到的是动态IP。
第二:要做个端口映射,从图1的拓扑可以看出,本例是通作在ADSL猫中通过NAT转,接入Internet的,通过这种方式一定要在ADSL中作端口映射,由于windows 2003的VPN服务用的是1723端口,所以如图a,将1723端口映射到192.168.0.2这台设有VPN服务的机器。如果用的是直接拨号,那在防火墙中将这个端口放开就行了。
计算机本身如果安装了防火墙,不要限制对本地回环地址127.0.0.1的访问,否则将无法连接虚拟网。
二、 搭建VPN服务器
首先在公司总部的服务器上使用Windows Server 2003作为系统平台,默认情况下“路由和远程访问”服务是已经安装好了的,只须对它进行一些必要的配置就可以启用VPN服务。
第一步:依次点击“开始→管理工具→路由和远程访问”,打开“路由和远程访问”服务窗口。
第二步:右键点击控制台中的Host-name(本机名称),执行“配置并启用路由和远程访问”
命令,进入安装向导并单击“下一步”按钮。在“配置”对话框中选择“自定义配置”选项并点击“下一步”按钮。接着在“自定义配置”对话框中勾选“VPN访问”选项后完成配置操作,等待几秒钟之后VPN服务器即可启动。
第三步:使用静态IP地址池为拨入端分配IP地址可以减少IP地址的解析时间,从而提高连接速度。因此为使VPN的运行效果达到最佳,我们需要对IP地址的分配方式作一下设置。右键点击控制台中的服务器名,执行“属性”命令。在“hostname(本地)属性”对话框中切换至IP标签页。在“IP地址指派”选项中点选“静态地址池”,然后点击“添加”按钮,键入起始IP地址和结束IP地址(如192.168.0.100~192.168.0.150)。
三、 赋予用户拨入权限
外出员工并不能马上拨入刚搭建好的VPN服务器,因为默认情况下只有被赋予拨入权限的用户才能连接VPN服务器。因此为一些员工建立了用户账号,并为他们设置了拨入权限。
右键点击“我的电脑”,执行“管理”命令,打开“计算机管理”对话框。展开“本地用户和组”目录并点击“用户”文件夹,然后右键点击用户列表中的某一个用户名称(如Administrator),执行“属性”命令。在打开的“Administrator属性”对话框中切换至“拨入”标签页,点选“远程访问权限”区域中的“允许访问”选项,然后勾选“分配静态IP地址”选项,并键入“静态地址池”中的一个IP地址(如192.168.0.100),最后点击“确定”按钮完成设置。
四、 创建VPN连接
经过上述几个步骤,在服务器端的配置工作基本结束,接下来需要在使用Windows XP系统的客户端(由于现在使用Windows XP系统的个人用户比较多,我们就以Windows XP为操作平台来举例)建立一个拨入VPN服务器的专用连接。
第一步:在“网络连接”对话框中,双击“网络任务”区域的“创建一个新的连接”选项,点击“下一步”按钮。
第二步:在“网络连接类型”对话框中点选“连接到我的工作场所的网络”选项并点击“下一步”按钮。接着在“网络连接”对话框中选择“虚拟专用网络连接”并点击“下一步”按钮。键入一个连接名称后点击“下一步”按钮。
第三步:在“公用网络”对话框中点选“自动拨此初始连接”选项,在下拉菜单中选中一个拨号连接并点击“下一步”按钮。
第四步:在“VPN服务器选择”对话框中键入VPN服务器端的IP地址或域名,假如我们申请得到的动态域名是kenny.88ip.cn,可将它填入编辑框,接着点击“下一步”按钮。然后勾选“在桌面上创建此连接的快捷方式”并单击“完成”结束创建过程。
第五步:为了避免出现成功连接VPN服务器后客户端不能访问Internet的问题,我们还需要对刚刚创建的“VPN连接”做简单的配置。在“网络连接”窗口中右键点击“VPN连接”图标,执行“属性”命令。在“VPN连接属性”对话框中的“网络”标签页中选中“Internet协议(TCP/IP)”。在“高级TCP/IP设置”对话框中的“常规”标签页中取消对“在远程网络上使用默认网关”的勾选。 五、 拨入VPN服务器
现在外出员工可以用被赋予拨入权限的用户名拨入VPN服务器了。
双击桌面上的“VPN连接”图标,先通过初始连接接入Internet,然后再通过“VPN连接”(键入被赋予拨入权限的用户名和密码)与VPN服务器建立连接。
当然我们的目的不仅仅只是连接到VPN服务器,我们还需要连接到公司局域网内的其他计
算机。这需要在VPN服务器端开启路由器功能并启用IP路由,然后在“网上领居”中找到相应的工作组并连接到需要访问的计算机即可。
提示:成功建立连接后,客户端在访问服务器端的共享资源时可能会出现长时间的搜索过程。这时可使用“搜索计算机”功能对指定计算机进行搜索。
1. 如何将两个局域网连接起来?
在两个局域网的缺省上网网关上安装KDT-HLink软件,分别以不同的号码登录,比如1002号和1003号,这两个网关登录到一个叫做“A公司网”的虚拟网中,如下表:
1002
1003
IP 10.0.0.1 10.0.0.2 所在网络 掩码
那么在1002这边,可以通过在命令行窗口中输入并执行 “route add 192.168.2.0 mask 255.255.255.0 10.0.0.2” 命令建立一条到192.168.2.0网络的路由
那么在1003这边,可以通过在命令行窗口中输入并执行 “route add 192.168.1.0 mask 255.255.255.0 10.0.0.1” 命令建立一条到192.168.1.0网络的路由
192.168.1.0 192.168.2.0 255.255.255.0
255.255.255.0
于是1002和1003这两个网关后的这两个不同局域网就可以互访了
当然,将这样的命令保存在各自软件中有关“A公司网”的虚拟连接的连接脚本中,每次软件启动登录虚拟网后就能够自动执行相应命令,达到简化设置过程的作用。
2、路由脚本
我们可以通过编写脚本来更改路由表,而不需要重新启动电脑。下面是几个常用route命令: route print
本命令用于显示路由表中的当前项目,在单路由器网段上的输出;由于用IP地址配置了网卡,因此所有的这些项目都是自动添加的。但由于无法显示结果,因此在执行了这个命令后您将看不到任何结果。 route add
使用本命令,可以将路由项目添加给路由表。例如,如果要设定一个到目的网络209.98.32.33的路由,其间要经过5个路由器网段,首先要经过本地网络上的一个路由器,其IP为202.96.123.5,子网掩码为255.255.255.224,那么我们应该输入以下命令 route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5 route change
我们可以使用本命令来修改数据的传输路由,不过,我们不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器,它采用一条包含3个网段的更直接的路径
route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3 route delete
使用本命令可以从路由表中删除路由。例如:route delete 209.98.32.33 下面举例说明:
公司有两台路由器可上网,一台是ADSL,其地址是192.168.16.10;另一台ISDN,其IP地址是:192.168.16.11。局域网内电脑的默认网关一般设置为:192.168.16.10,但有时会出现ADSL线路不稳定,想通过ISDN上网的情况,这时您可通过如下方式来快速更改: route delete 0.0.0.0 [执行]
route add 0.0.0.0 mask 0.0.0.0 192.168.16.11 metric 1 [执行]
这样操作后,电脑的默认网关马上就更改成为192.168.16.11,您不需要重新启动电脑。如果想改回使用ADSL,只需要打入命令: route delete 0.0.0.0 [执行]
route add 0.0.0.0 mask 0.0.0.0 192.168.16.10 metric 1 [执行] 这样就可以了。
Windows 2000路由和远程访问 一、前期准备工作
在配置远程访问之前,需要做一些前期准备工作。
路由和远程访问是Windows 2000 server下的一个工具,所以我们得先安装Windows 2000 server,另外还需要一个调制解调器和电话线(当然,ISDN也行),并为调制解调器安装正确的驱动程序。
二、配置远程访问
进入我的电脑→控制面板→管理工具→路由和远程访问,右击FENGYUN(本地)[FENGYUN为计算机名],在弹出菜单中选择“配置并启用路由和远程访问”
出现路由和远程访问服务器安装向导,点击“下一步”,由于我们配置路由和远程访问的目的是为了让远程计算机通过代理上网和文件访问,所以选择“远程访问服务器”,并点击“下
一步”继续,根据自己的需求选择“设置一个基本的远程访问服务器”或 “设置一个高级远程访问服务器”,笔者选的是第二项,点击“下一步”继续
然后计算机出现远程客户协议对话框,选择“是,所有要求的协议都在此列表中”,并点击“下一步”继续。请注意:这里至少有要有TCP/IP和NetBEUI两种协议,TCP/IP协议是用来路由并代理上网,而NetBEUI则是用来解析计算机名,这两种协议缺一不可,假如需要添加协议,则可选择 “否,我需要添加协议”,把需要的协议添加进来。协议配置完毕后,计算机询问“您想如何对远程客户分配IP地址”,笔者选择的是“自动”,并点击“下一步”继续
读者则可根据自己的实际情况进行设置。假如选择“自动”,则在这个子网必须要有一台DHCP服务器,这台DHCP服务器可以是路由和远程访问服务本身,也可以是子网内的其他计算机,假如子网内没有DHCP服务器,则只能选择“来自一个指定的地址范围”,手动指定IP地址。
IP地址配置完以后,计算机询问“您想设置此远程访问服务器使用一个现有的RADIUS服务器呢”,选择“不,我现在不想设置此服务器使用RADIUS”,并点击“下一步”继续,出现配置“路由和远程访问”的信息对话框,点击“完成”结束“路由和远程访问”的配置。
配置完“路由和远程访问”工具以后,我们发现FENGYUN(本地)的箭头变有绿色向上,在没配置之时是红色向下。点击端口,上部分为VPN端口,最下边为调制解调器端口。
三、管理远程访问
配置完“路由和远程访问”以后,工作并没有结束,你想远程客户拔号进来,还得对你的帐户进行设定。
进入我的电脑→控制面板→管理工具→计算机管理,展开“本地用户和组”,点击“用户”,选择一个用户或者新建用户,点击右键→属性→拔入
在“远程访问权限”中选择“允许访问”(必选),假如你想节省电话费,则可在“回拔选项”选择“总是回拔到”,并在这里填入你的电话号码(注意,以后不管是哪部电话拔过来,只要是这个帐户,即会回拔到你指定的号码),然后确定。重复以上这个步骤,为多个帐户建立远程访问服务。
服务端设置现已全部完成,接下来将设置客户端。客户端设置其实与平常大家上互联网设置差不多,同样确定与路由和远程访问服务器一样,要至少有TCP/IP和NetBEUI两种协议。
进入我的电脑→控制面板→网络和拔号连接,双击“新建连接” →下一步→选择“拔号到专用网络”或者“拔号到Internet” →然后填上“路由和远程访问”服务器的电话号码→确定。
四、测试远程访问
在网络和拔号连接中,双击我的连接,输入远程服务器设置的帐户和密码,确定。连接成功后,双击网上邻居,查看远程子网的计算机,然后进入你平常共享的目录去读取你想要的东西吧。恭喜,远程访问测试通过。
如想通过远程服务器代理上网,则需在远程服务器或远程服务器的子网安装代理服务器软件,并配置好相关设置,这里不再累述。
啊,终于可以松口气了,所有的设置均已做完,远程访问服务给你带来的方便体会到了吗?假如你的远程访问服务器和客户端均为内部电话,那么你连电话费都省了,哈哈,在兴奋之余,还请注意安全,不要将帐户和密码给泄漏哦,不然造成商业泄密等等则……
手把手指南:如何架设VPN 作者简介:Brien M. Posey, MCSE
Brien是在他的工作――Windows 2000和IIS方面的微软最有价值专家(Microsoft Most Valuable Professional),他曾经是一家全国性连锁医院的CIO,也曾经负责Fort Knox
的IT安全。作为一个自由的技术撰稿人,他为Microsoft,TechTarget,CNET,ZDNet,MSD2D,Relevant Technologies和其它技术公司供稿。
简介
让远程用户连接Exchange Server的传统解决方案是使用Outlook Web Access。然而,为何不使用虚拟专用网(Virtual Private Network,VPN)让你的远程用户与你的Exchange连接在一起呢?
如果你不熟悉VPN,我将向你介绍,VPN是穿越不安全的网络,譬如Internet的一个逻辑的、安全的网络连接。远程用户能够通过他们的已经存在的Internet连接,安全地连接进入你的网络,就像他们亲自在办公室中一样。另外一个优势是,VPN是交换独立的,这意味着你能够使用VPN连接访问Exchange Server,而不用考虑版本问题,并且你还可以使用VPN连接访问其它网络资源。
VPN技术对机构和很多远程用户来说,是极端有用的,但在设定上,它可能有些复杂。下面的指南将手把手的教你如何建立VPN,它包含各个步骤详细的操作流程。
第一步:系统需求
VPN分为两种,一种是硬件解决方案,一种是软件解决方案,在这个手把手的指南中,我将介绍一种软件解决方案,即使用Microsoft产品建立VPN。
为了架设VPN,你将需要三个独立的Windows 2003服务器和至少一个远程用户,远程用户的机器上需要运行Windows XP操作系统。
你的VPN需要的第一台Windows 2003服务器是一台基本的基础设施服务器,它必须作为一台域控制器(domain controller),DHCP服务器(DHCP server),DNS服务器(DNS Server)和认证中心(certificate authority)。如果你的网络中已经有一台Windows 2003服务器,你就不需要去购买一台服务器担当此角色。
任何Windows 2003域都至少有一台域控制器和一台作为DNS的服务器,多数Windows 2003网络同时运行DHCP服务。如果你所有的这些服务已经到位,你所关心的唯一的事情就是设置一个认证中心(我将在第三步为你说明如何做这件事情)。下载,你只
需知道作为认证中心的那台服务器必需运行Windows Server 2003 Enterprise Edition操作系统。
你需要的第二台服务器将是VPN服务器(VPN server),Windows Server 2003 Standard Edition和Enterprise Edition都提供了VPN服务器的必要软件,因此,你不需要在这台服务器上安装任何特别的软件。唯一特别的是硬件上,这台服务器需要双网卡,一块网卡连接Internet,另一块网卡则连接你的专用企业网络。
你需要的最后一台服务器将是认证服务器(authentication server)。当远程用户通过VPN尝试进入你的企业网络时,他们必需通过认证。远程用户认证的机制可以选择RADIUS服务器(RADIUS server),RADIUS 是Remote Authentication Dial In User Service(远程身份验证拨入用户服务)的首字母缩写。在Windows Server 2003 Standard Edition和Enterprise Edition中,包含有微软自有版本的RADIUS。微软的RADIUS叫做Internet验证服务(Internet Authentication Service,IAS),对这台服务器来说,没有特殊的硬件和软件要求。
在这一部分,最后我想说的是服务器的安置问题。任何一台我谈论到的服务器都将通过Hub或交换机接入你的专用网络,唯一与外界连接的服务器是你的VPN服务器,但将VPN服务器直接与Internet连接将会带来安全风险,因此,在VPN服务器的前面放置一台防火墙是很好的解决办法,你可以用它过滤掉除了VPN通讯外所有其它的信息。
在第二步,我们将开始配置域的过程,所以在进入下一步之前,你的网络中必需包含必需的Windows 2003域控制器和DNS服务器。
第二步:实施DHCP服务
1.打开服务器的控制面板,选择“添加或删除程序”。
2.当“添加或删除程序”对话框出现时,点击“添加/删除Windows组件”按钮。 3.在弹出的窗口中,选择“网络服务”,按下“详细信息”。
4.现在从网络服务列表中选择“动态主机配置协议(DHCP)”,然后单击“确定”,进行下一步操作。
Windows现在将安装DHCP服务,安装结束后,你将要创建一个地址范围,并且启动DHCP服务器,在你的网络上运行。
5.为了做到这些,请在控制面板――管理工具中选择动态主机配置协议(DHCP)配置,打开DHCP管理器。
6.在DHCP管理器中你的服务器上单击右键,选择启动(Authorize)。
7.启动DHCP服务器后,在DHCP管理器的服务器列表窗口中单击右键,选择“新建作用域(New Scope)”,这将启动新建作用域向导。
8.点击下一步略过向导的欢迎界面。
9.输入你正在创建的作用域的名称,并且点击下一步。(你可以输入任何你想到的名称,但在这个教程中,我将命名此作用域为“Corporate Network”。)
10.现在你将需要填入IP地址范围。在这里只需输入你已经使用的起始IP地址和结束IP地址,但注意不要与已经存在的IP地址冲突。长度和子网掩码部分则会自动输入,不需要你的干涉,当然,你也可以手动调节这两者的值。
11.接下来的三个画面包括一些你不必关心的设置,连续三次点击下一步,直到你进入“路由(默认网关)(Router (Default Gateway))”界面。
12.输入你网络网关的IP地址,点击添加,然后下一步。
13.输入你的域的名称和你的DHCP服务器的IP地址(IP address of your DHCP server),然后点击下一步。
14.单击下一步略过WINS配置窗口。
15.最后,根据提示选“是,我想激活作用域(Yes, I Want To Activate The Scope Now)”再点击“完成”即可结束最后设置。
第三步:创建一个企业认证中心
在我向你讲述如何创建一个企业认证中心之前,我将告诉你几个必需注意的事项。安装认证中心并不是一个轻松的过程,如果一个未经授权的用户进入了你的认证中心,他将几乎控制你的所有网络。同样,如果认证中心服务器当机,它可能对给你的网络带来毁灭性的破坏。
所以,一定要像保护原子弹一样保护你的认证中心,确保认证中心尽可能的安全,并频繁的做好全系统的备份,你还需要保护这些备份,以防止它们偶然地出现问题。下面是创建企业认证中心的具体过程。
1. 打开服务器的控制面板,选择“添加或删除程序”,点击其中的“添加/删除Windows组件”按钮。
2.选择Windows组件中的“证书服务”。
3.你将会看到一个警告窗口,上面的信息为:“安装证书服务后,计算机名和域成员身份都不能更改,因为计算机名到CA信息的绑定存储在Active Directory中。更改计算机名或域成员身份将使此CA颁发的证书无效。在安装证书服务前请确认配置了正确的计算机名和域成员身份。您想继续吗?”点击“是”,接受这一警告信息,并点击“下一步”,开始安装证书服务。
4.选择“独立根CA”作为你想安装的CA类型,并点击下一步。
在这里,为自己的CA服务器取个名字,设置证书的有效期限。默认的证书有效期限为5年,不过你可以通过企业安全策略来增加或减少此有效期限。
5.填写好这两个文本框,点击下一步,Windows将开始生成加密密钥。
6.最后指定证书数据库和证书数据库日志的位置,按照默认即可,除非你自己想更换路径,然后点击下一步。
7.现在将出现一则消息,提示Windows必需重新启动IIS服务,才能够让证书服务正常运行。点击“是”,Windows将安装必要的组件。
第四步:安装Internet验证服务
Internet验证服务是Windows Server 2003实施RADIUS的一种服务,Internet验证服务将认证那些通过VPN连接进入你的企业网络的用户,因此,你的Internet验证服务器必需是你的域服务器中的一员,并且运行Windows Server 2003操作系统。为了正确安装IAS,请遵循以下的步骤:
1.定位到开始 | 设置 | 控制面板(Start| Settings | Control Panel)。 2.双击添加或删除程序(Add/Remove Programs)。
3.选择添加/删除Windows组件(Add/Remove Windows Components)。 4.在组件列表中,选择网络服务(Networking Services),并点击详细内容。
5.选择Internet验证服务(Internet Authentication Service)的确认框,然后点击OK,并点击下一步。
完成安装之后,系统中将具有用于因特网认证服务的管理工具的一个新的连接。接着,你必须为每一台机器设置一个客户端,并指定一个远距离访问规范以控制访问。
第五步:配置Internet验证服务
1.进入管理工具(Administrative Tools)-> Internet验证服务(Internet Authentication Service)。
2.在这里,你需要做的第一件事情是在活动目录(Active Directory)中注册你的Internet验证服务器。为了做到这些,请在Internet验证服务器(本地)(Internet Authentication Service (Local))容器上单击右键,选择在活动目录中注册服务器(Register Server in Active Directory)。
3.点击确定完成注册过程。
4.现在,在RADIUS客户(RADIUS Clients)容器上单击右键,选择新RADIUS客户(RADIUS Clients)。如果你正好直到你某台客户端机器的IP地址或DNS名称,继续下去,输入一个友好的名字。否则,暂时将它留空,在随后的设置客户端连接时再进行填写。
5.点击下一步。
6.此时,会提示你输入一个共享的密钥。共享密钥是RADIUS服务器和客户端同时使用的密钥,确定客户端供应商选项设置为RADIUS标准,输入一个共享密钥值,点击完成。
第六步:创建远程访问策略
1. 在Internet验证服务控制台,右击远程访问策略(Remote Access Policies)容器,选择新建远程访问策略(New Remote Access Policy)选项,这将启动新建远程访问策略向导。
2. 在欢迎使用新建远程访问策略向导页,点击下一步。
3.在策略配置方式页,选择使用向导为通用环境建立典型的策略(Typical Policy for a Common Scenario)选项,在策略名字文本框中输入一个名字,在此我们命名为“VPN Access”,点击下一步。
4.在访问方式页,选择VPN 选项,然后点击Next。
5.在访问的组或者用户页,选择组或用户,然后点击添加。如果你还没有做这一步,我建议你花一些事件创建一个建立在能够通过VPN访问网络的用户纸上的活动目录组,然后将这个组添加进入策略。
6.点击下一步,进入认证方法窗口。
7.确认选择了“Microsoft Encrypted Authentication version 2 (MS CHAPV2) ”,然后点击下一步。
8.在策略加密级别页,确认只选择了“Strong encryption”选项,随后点击下一步,根据向导,在完成新建远程访问策略向导页点击完成。
第七步:配置VPN服务器
1.开始,请打开服务器的网络连接(Network Connections)目录,并将连接重命名为有意义的名字,例如,你可以将连接命名为企业和Internet,或者其它你喜欢的名字。
2.进入管理工具(Administrative Tools)->路由和远程访问(Routing and Remote Access),打开路由和远程访问管理器。
3.在管理器目录数中,右键单击你的VPN服务器,选择配置和启用路由和远程访问(Configure and Enable Routing and Remote Access),这将载入路由和远程访问服务器设置向导(Routing and Remote Access Server Setup Wizard)。
4.点击下一步,略过向导的欢迎页面,然后你将看到向导的配置窗口。
5.选择远程访问(拨号或VPN)Remote Access (Dial-Up or VPN),然后点击下一步。 6.选中VPN前面的复选框,点击下一步。
7.现在,你将看到一个窗口,此窗口中显示有你的机器的网络连接。选择连接Internet的那个连接,确认启用安全(Enable Security)复选框被选择,然后单击下一步。
8.确认选中了自动(Automatically),并点击下一步。
9.现在,在选项中选择和设置跟RADIUS服务器一起工作的服务器,并单击下一步。 10.输入你的RADIUS服务器的IP地址,和你为RADIUS服务器分配的共享密钥信息。 11.点击下一步,点击完成。
第八步:使VPN服务器和DHCP服务器关联起来
1.在路由和远程访问控制台目录数中指向你的服务器->IP路由(IP Routing)->DCHP中继代理(DHCP Relay Agent)。
2.在DHCP中继代理上单击右键,选择属性(Properties)。 3.输入你的DHCP服务器的IP地址,点击添加,然后再单击确定。
现在你的VPN服务器已经配置好了。万事俱备,剩下的唯一要做的就是配置你的客户端,使它们与你刚刚创建的VPN服务协同工作。
第九步:配置远程客户端
你应该可以记起,我们必需为那些能够通过VPN访问企业内部网络的用户创建一个特别的安全组。所以,我假设你的远程用户已经被加入必要的组,并且客户端的计算机已经接入了Internet。
允许一台运行Windows XP操作系统的客户端计算机访问你的专用网络,就必需告诉它们如何使用VPN连接。
1.为了做到这些,请打开控制面板(Control Panel),选择网络和Internet连接(Network and Internet Connections)选项。
2.创建一个新连接,在向导中选择连接到我的工作场所的网络(Connection to the Network At Your Workplace)选项。
3.Windows现在将询问你,想创建一个拨号连接(dial-up connection),还是一个虚拟专用网络连接(VPN connection)。选择虚拟专用网络连接,点击下一步。
4.在这一步,你将看到公司名的项目,你能够在这里输入你公司的名字,你连接的服务器的名字,或者其它你用来描述连接的东西。
5.点击下一步,你将被要求输入你正连接的计算机的主机名或IP地址,请填入你的VPN服务器的外网IP地址(即连接进入Internet的IP地址)。
6.再次单击下一步 ,根据向导最后完成你的VPN连接创建。
第十步:测试客户端连接
1.双击可用连接列表中的VPN连接。
2.你将被要求输入用户名和密码。为了更好的使用VPN连接,我们还需要进行一些设置,因此请点击此界面中的属性(Properties)按钮。
3.在属性窗口中,选择网络(Networking)标签。 4.选择VPN类型为PPTP VPN,按下确定按钮。
5.现在你将回到VPN连接登陆窗口,以domain/username格式输入你的用户名 。 6.然后输入你的密码,点击连接(Connect)。
7.这里可能会提供一个机会,让你选择想连接那个网络。如果有提示,选择局域网连接(LAN Connection)选项。
8.一旦连接建立,请在开始->运行中输入\\\\servername\\ROOT命令。
你应该可以看到你的服务器的C盘的内容(假设你有相应的权限)。当然,这种直接访问服务器C盘的方式非常罕见,多数情况下,你只能访问服务器上的特定共享资源,而要做到这些,你应该在开始->运行中输入\\\\servername\\sharename。
第十一步:改变VPN的配置选项
在这个手把手的指南中,我只概述了半打客户端VPN连接类型中的一个,根据不同的加密和认证技术,存在多种多样的VPN连接类型,若是你对此非常有兴趣,则可以参考微软的《Step-by-Step Guide for Setting Up VPN-based Remote Access in a Test Lab》,其网址为http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/rmotevpn.mspx。
因篇幅问题不能全部显示,请点此查看更多更全内容