VPN 方案
利用 VPN 有許多種方式。但可能最通常的方案是遠程用戶通過 VPN 隧道訪問企業網絡。在其他方案中,遠程辦公室可以使用持續的或請求撥號 VPN 連接方式連接企業網絡。VPN 還可以部署在外部網方案中以便與商業伙伴進行安全通訊。本文將討論第一種方案下的 VPN 部署,即遠程用戶通過 VPN 隧道連接企業網絡。
為 VPN 配置 Windows 2000 Server
要配置 VPN 服務器,計算機必須至少有兩個接口。要設置 Windows 2000 server 用于 VPN,請使用以下步驟:
打開“管理工具”中的“路由和遠程訪問”控制臺
右鍵單擊服務器,然后單擊配置并啟用路由和遠程訪問
“安裝向導”啟動,單擊“下一步”
選擇手動配置服務器,如圖 1 所示,單擊“下一步”
單擊“完成”結束安裝向導
圖 1 在服務器上啟用 VPN
請不要使用虛擬專用網絡 (VPN) 服務器選項。“路由和遠程訪問”向導不允許路由,解釋請見 Microsoft Knowledge Base 文章 Q243374。VPN 選項為傳入 VPN 連接配置服務器,并通過配置篩選器只允許 PPTP 或 L2TP 通信來保護服務器。如果這正是您所需要的,則不必擔心。但請注意,使用該選項將導致“路由和遠程訪問”阻止除 PPTP 和 L2TP 之外的所有數據包。
在用戶能夠使用 VPN 連接您的服務器前,還需要采取一個步驟。即需要給用戶相應的撥入權限以訪問網絡。這可以通過在“遠程訪問策略”中授予用戶遠程訪問權限來實現,如圖 2 所示;也可以通過在 Active Directory“用戶和計算機”中基于每用戶配置撥入權限來實現。
圖 2 授予遠程訪問權限
默認情況下,所創建的 VPN 端口數目有所不同,具體取決于是否選擇最后一個選項手動配置服務器。如果選擇了該選項,則只創建 5 個 PPTP 和 5 個 L2TP 端口,如果選擇了中間選項虛擬專用網絡 (VPN) 服務器,則創建 128 個 PPTP 和 128 個 L2TP 端口。通過選擇“路由和遠程訪問”控制臺中的“端口屬性”,您始終可以調整端口數。
備注 如果 VPN 客戶端要通過路由器或防火墻,并且使用的是 PPTP,請確保允許 TCP 端口 1723 和 IP 協議 ID 47(GRE - 常規路由封裝)通過路由器或防火墻。如果使用的是 L2TP,則需要打開 UDP 端口 500 (IKE)、協議 ID 50 (IPSec ESP) 和協議 ID 51 (IPSec AH)。
客戶端配置
要連接企業端的 VPN 服務器,首先需要保證能夠通過撥入 ISP 連接 Internet,除非擁有對 Internet 的專用連接(比如 DSL)才不需要撥號。連接到 Internet 即讓您置身于企業 VPN 服務器所連接的同一全球 Internet 主干網上。然后您建立第二連接以創建 VPN 隧道。
要創建到企業服務器的第二連接,請按以下步驟操作:
轉到“開始”,“設置”,“網絡和撥號連接”,然后選擇“建立新連接”來啟動“網絡連接向導”。
在“網絡連接類型”屏幕上選擇通過 Internet 連接到專用網絡,如圖 3 所示。
在“公用網絡”屏幕上,您可以如此配置:建立到企業 VPN 服務器的第二連接之前,首先自動撥叫 ISP。只有在使用調制解調器或 ISDN“撥入”ISP 以連接 Internet 時才可使用該選項。
按照屏幕上的說明完成向導。
圖 3 網絡連接類型
默認情況下,使用該連接時,只具有鍵入用戶名和密碼的選項。要添加“域”選項,請單擊“屬性”,然后在“選項”選項卡上選擇包含 Windows 登錄域框,如圖 4 所示。
視連接 VPN 服務器方式的不同,您將使用 MPPE 加密或 IPSec 加密。如果連接到 PPTP 服務器,則使用 MPPE,但如果連接到 L2TP 服務器,則使用 IPSec。默認情況下,VPN 被配置為自動服務器類型,這意味著在嘗試使用 MPPE 加密的 PPTP 之前首先嘗試使用 IPSec 加密的 L2TP。MPPE 的工作方式與 IPSec 不同。由于數據包到達目的地的先后順序不同,MPPE 使用標頭中的序列號來跟蹤數據包。MPPE 根據序列號來更改每個數據包的加密密鑰。使用 L2TP 連接需要 IPSec 證書。如果在建立 VPN 連接時遇到問題,請嘗試選擇 PPTP 代替默認的“自動”選項作為連接類型。如果選擇了“自動”設置而不能協商 IPSec 會話,則在它退到 PPTP 之前可能需要等待很長時間(最長可達 2 分鐘)。
通過在“遠程訪問策略”的“屬性”下選擇“編輯配置文件”可以配置四個加密選項。在“加密”選項卡上,您可以選擇“無”加密、“基本”、“強”或“最強”加密。“最強”加密(128 位)只有在安裝了 Windows 2000 High Encryption Pack 的情況下可用(推薦安裝Windows 2000 Service Pack 1)。
下表顯示了撥號和 PPTP 與 IPSec 上的 L2TP VPN 連接加密類型的比較:
了解數據包結構
PPTP 數據包結構
圖 5(下圖)顯示了通過隧道時 PPTP 數據包的結構。首先,通過將加密的 PPP 數據與 PPP 標頭封裝在一起來創建 PPP 幀。然后,將 PPP 幀與 GRE 標頭封裝在一起。再后,將生成的有效負載與 IP 標頭封裝在一起,IP 標頭中包含源 IP 地址和目標 IP 地址的信息。最后,該 IP 數據文報與數據鏈路層標頭和尾端封裝在一起。視所使用技術的不同,數據鏈路層標頭和尾端也有所不同。例如,當通過以太網發送 IP 數據文報時,它與以太網標頭和尾端一起封裝,當通過模擬電話線路發送時,它與 PPP 標頭和尾端一起封裝,等等。當數據包到達目的地時,各標頭以相反的順序剝離。首先,數據鏈路層標頭和尾端被除去,然后 IP、GRE 和 PPP 標頭被依次剝離。最后,PPP 數據被解密。
圖 6 PPTP 數據包結構
L2TP 數據包結構
L2TP 的數據包結構與 PPTP 有些類似,也有一些標頭添加到 PPP 數據中。圖 6 顯示了 L2TP 數據包的結構。請注意,UDP 標頭和 IPSec 尾端間的所有數據均被加密。
圖 7 L2TP 數據包結構
流行的解決方案
VPN 是遠程辦公者對企業網絡進行安全訪問的有效方法。它通過公用網絡提供 LAN 的安全擴展,因此在遠程分支機構和外部網方案中也很有用。與傳統的撥號解決方案相比,VPN 由于其易于管理和總體擁有成本更低而變得非常流行。
