VPN 方案
利用 VPN 有許多種方式。但可能最通常的方案是遠程用戶通過 VPN 隧道訪問企業(yè)網(wǎng)絡。在其他方案中,遠程辦公室可以使用持續(xù)的或請求撥號 VPN 連接方式連接企業(yè)網(wǎng)絡。VPN 還可以部署在外部網(wǎng)方案中以便與商業(yè)伙伴進行安全通訊。本文將討論第一種方案下的 VPN 部署,即遠程用戶通過 VPN 隧道連接企業(yè)網(wǎng)絡。
為 VPN 配置 Windows 2000 Server
要配置 VPN 服務器,計算機必須至少有兩個接口。要設置 Windows 2000 server 用于 VPN,請使用以下步驟:
打開“管理工具”中的“路由和遠程訪問”控制臺
右鍵單擊服務器,然后單擊配置并啟用路由和遠程訪問
“安裝向?qū)?rdquo;啟動,單擊“下一步”
選擇手動配置服務器,如圖 1 所示,單擊“下一步”
單擊“完成”結(jié)束安裝向?qū)?
圖 1 在服務器上啟用 VPN
請不要使用虛擬專用網(wǎng)絡 (VPN) 服務器選項。“路由和遠程訪問”向?qū)Р辉试S路由,解釋請見 Microsoft Knowledge Base 文章 Q243374。VPN 選項為傳入 VPN 連接配置服務器,并通過配置篩選器只允許 PPTP 或 L2TP 通信來保護服務器。如果這正是您所需要的,則不必擔心。但請注意,使用該選項將導致“路由和遠程訪問”阻止除 PPTP 和 L2TP 之外的所有數(shù)據(jù)包。
在用戶能夠使用 VPN 連接您的服務器前,還需要采取一個步驟。即需要給用戶相應的撥入權限以訪問網(wǎng)絡。這可以通過在“遠程訪問策略”中授予用戶遠程訪問權限來實現(xiàn),如圖 2 所示;也可以通過在 Active Directory“用戶和計算機”中基于每用戶配置撥入權限來實現(xiàn)。
圖 2 授予遠程訪問權限
默認情況下,所創(chuàng)建的 VPN 端口數(shù)目有所不同,具體取決于是否選擇最后一個選項手動配置服務器。如果選擇了該選項,則只創(chuàng)建 5 個 PPTP 和 5 個 L2TP 端口,如果選擇了中間選項虛擬專用網(wǎng)絡 (VPN) 服務器,則創(chuàng)建 128 個 PPTP 和 128 個 L2TP 端口。通過選擇“路由和遠程訪問”控制臺中的“端口屬性”,您始終可以調(diào)整端口數(shù)。
備注 如果 VPN 客戶端要通過路由器或防火墻,并且使用的是 PPTP,請確保允許 TCP 端口 1723 和 IP 協(xié)議 ID 47(GRE - 常規(guī)路由封裝)通過路由器或防火墻。如果使用的是 L2TP,則需要打開 UDP 端口 500 (IKE)、協(xié)議 ID 50 (IPSec ESP) 和協(xié)議 ID 51 (IPSec AH)。
客戶端配置
要連接企業(yè)端的 VPN 服務器,首先需要保證能夠通過撥入 ISP 連接 Internet,除非擁有對 Internet 的專用連接(比如 DSL)才不需要撥號。連接到 Internet 即讓您置身于企業(yè) VPN 服務器所連接的同一全球 Internet 主干網(wǎng)上。然后您建立第二連接以創(chuàng)建 VPN 隧道。
要創(chuàng)建到企業(yè)服務器的第二連接,請按以下步驟操作:
轉(zhuǎn)到“開始”,“設置”,“網(wǎng)絡和撥號連接”,然后選擇“建立新連接”來啟動“網(wǎng)絡連接向?qū)?rdquo;。
在“網(wǎng)絡連接類型”屏幕上選擇通過 Internet 連接到專用網(wǎng)絡,如圖 3 所示。
在“公用網(wǎng)絡”屏幕上,您可以如此配置:建立到企業(yè) VPN 服務器的第二連接之前,首先自動撥叫 ISP。只有在使用調(diào)制解調(diào)器或 ISDN“撥入”ISP 以連接 Internet 時才可使用該選項。
按照屏幕上的說明完成向?qū)А?
圖 3 網(wǎng)絡連接類型
默認情況下,使用該連接時,只具有鍵入用戶名和密碼的選項。要添加“域”選項,請單擊“屬性”,然后在“選項”選項卡上選擇包含 Windows 登錄域框,如圖 4 所示。
視連接 VPN 服務器方式的不同,您將使用 MPPE 加密或 IPSec 加密。如果連接到 PPTP 服務器,則使用 MPPE,但如果連接到 L2TP 服務器,則使用 IPSec。默認情況下,VPN 被配置為自動服務器類型,這意味著在嘗試使用 MPPE 加密的 PPTP 之前首先嘗試使用 IPSec 加密的 L2TP。MPPE 的工作方式與 IPSec 不同。由于數(shù)據(jù)包到達目的地的先后順序不同,MPPE 使用標頭中的序列號來跟蹤數(shù)據(jù)包。MPPE 根據(jù)序列號來更改每個數(shù)據(jù)包的加密密鑰。使用 L2TP 連接需要 IPSec 證書。如果在建立 VPN 連接時遇到問題,請嘗試選擇 PPTP 代替默認的“自動”選項作為連接類型。如果選擇了“自動”設置而不能協(xié)商 IPSec 會話,則在它退到 PPTP 之前可能需要等待很長時間(最長可達 2 分鐘)。
通過在“遠程訪問策略”的“屬性”下選擇“編輯配置文件”可以配置四個加密選項。在“加密”選項卡上,您可以選擇“無”加密、“基本”、“強”或“最強”加密。“最強”加密(128 位)只有在安裝了 Windows 2000 High Encryption Pack 的情況下可用(推薦安裝Windows 2000 Service Pack 1)。
下表顯示了撥號和 PPTP 與 IPSec 上的 L2TP VPN 連接加密類型的比較:
了解數(shù)據(jù)包結(jié)構
PPTP 數(shù)據(jù)包結(jié)構
圖 5(下圖)顯示了通過隧道時 PPTP 數(shù)據(jù)包的結(jié)構。首先,通過將加密的 PPP 數(shù)據(jù)與 PPP 標頭封裝在一起來創(chuàng)建 PPP 幀。然后,將 PPP 幀與 GRE 標頭封裝在一起。再后,將生成的有效負載與 IP 標頭封裝在一起,IP 標頭中包含源 IP 地址和目標 IP 地址的信息。最后,該 IP 數(shù)據(jù)文報與數(shù)據(jù)鏈路層標頭和尾端封裝在一起。視所使用技術的不同,數(shù)據(jù)鏈路層標頭和尾端也有所不同。例如,當通過以太網(wǎng)發(fā)送 IP 數(shù)據(jù)文報時,它與以太網(wǎng)標頭和尾端一起封裝,當通過模擬電話線路發(fā)送時,它與 PPP 標頭和尾端一起封裝,等等。當數(shù)據(jù)包到達目的地時,各標頭以相反的順序剝離。首先,數(shù)據(jù)鏈路層標頭和尾端被除去,然后 IP、GRE 和 PPP 標頭被依次剝離。最后,PPP 數(shù)據(jù)被解密。
圖 6 PPTP 數(shù)據(jù)包結(jié)構
L2TP 數(shù)據(jù)包結(jié)構
L2TP 的數(shù)據(jù)包結(jié)構與 PPTP 有些類似,也有一些標頭添加到 PPP 數(shù)據(jù)中。圖 6 顯示了 L2TP 數(shù)據(jù)包的結(jié)構。請注意,UDP 標頭和 IPSec 尾端間的所有數(shù)據(jù)均被加密。
圖 7 L2TP 數(shù)據(jù)包結(jié)構
流行的解決方案
VPN 是遠程辦公者對企業(yè)網(wǎng)絡進行安全訪問的有效方法。它通過公用網(wǎng)絡提供 LAN 的安全擴展,因此在遠程分支機構和外部網(wǎng)方案中也很有用。與傳統(tǒng)的撥號解決方案相比,VPN 由于其易于管理和總體擁有成本更低而變得非常流行。
