借助VPN,企业外出人员可随时连到企业的VPN服务器,进而连接到企业内部网络。借助windows2003的“路由和远程访问”服务,可以实现基于软件的VPN。
VPN(Virtual Private Network)即虚拟专用网络,通过一个公用网络(如Internet)建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的信息隧道,数据可以通过这条隧道在公用网络中安全地传输。因此也可形象地称之为“网络中的网络”。而保证数据安全传输的关键就在于VPN使用了隧道协议,目前常用的隧道协议有PPTP、L2TP和IPSec。
VPN是基于Windows 2003,通过ADSL接入Internet的服务器和客户端,连接方式为客户端通过Internet与服务器建立VPN连接。
VPN服务器需要两块网卡,一个连入内网一个连入外网。
Authentication(验证):设置哪些用户可以通过VPN访问服务器资源。在DC上做身份验证。
Authorization(授权):检查客户端是否可以拨入服务器,是否符合拨入条件(时间,协议……)
VPN工作原理:
VPN客户端请求VPN服务器(请求拨入服务器)
VPN 服务器请求DC进行身份验证,然后得到授权信息
VPN 服务器回应VPN客户端拨号请求。
VPN 服务器与客户端建立连接,并开始传送数据。
工作组模型下VPN服务器做身份验证,拨号请求发送至SAM数据库做身份验证。
1. VPN使用的协议(隧道协议):PPTP,L2TP
2. PPTP:点对点传输协议,使用nicrosoft point-to-point encryption(MPPE)加密算法(默认采用协议)针对于internet。
L2TP:默认无加密算法,若想使用加密算法,结合IPsec。针对于internet、X.25、ATM
用户帐号拨入权限:条件、权限、配置文件决定了客户端是否可以拨入VPN网络。
配置文件包括:拨入时间,IP地址范围,是否支持多链路,何种身份验证,是否加密。
配置过程:路由和远程访问-远程访问策略-进行相应时间,配置文件设置
配置VPN服务器步骤如下:
首先安装“路由和远程访问”,或者在运行里输入“rrasmgmt.msc”,在弹出的“路由和远程访问”管理控制台窗口中,单击配置并启用路由和远程访问,如图所示:
弹出“路由和远程访问服务器安装向导”对话框,单击下一步,选中自定义配置,下一步,选择自定义配置,如图:
选中VPN访问,下一步,如图所示:
单击完成。
在弹出的路由和远程访问对话框中,单击是,如图所示。
随即,VPN服务即成功启动。单击服务器名称-属性,在弹出的对话框中选中 IP 选项卡,在IP地址指派中选中静态地址池,单击添加,如图所示:
在起始IP地址和结束IP地址编辑框中输入IP地址,单击确定,如图:
单击确定;
提示:使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间,提高连接速度。
起始IP地址和结束IP地址可以自定义一段IP地址(如192.168.0.10至192.168.0.50)如这台主机已经配置了DHCP服务,也可以选择动态主机配置协议(DHCP),会延长连接时间。
返回属性对话框,单击确定,完成初步配置操作。
提示:如果服务器端有固定的IP地址,则客户端可随时与服务器建立VPN连接。如果服务器采用ADSL拨号方式接入Internet,则需要在每次更改IP地址后通知客户端,或者申请动态域名解析服务。
赋予用户远程连接的权限
出于安全考虑,VPN服务器配置完成以后所有用户均被拒绝拨入到服务上(初始状态)因此需要为指定用户赋予拨入权限,操作步骤如下:
1. VPN服务器中右击我的电脑,选择管理。
在弹出的计算机管理窗口,展开本地用户和组,选中用户。如图:
如果计算机加入了域,则单击AD用户和计算机中的user组中的用户,如图:
2. 在test属性对话框中,单击拨入选项卡。在远程访问权限中选中允许访问,单击确定,如图所示:
提示:如果域功能级别为windows2000混合模式,则“通过远程访问策略控制访问”不可选,提升域功能级别即可。
3. 其实此为安全性最差的拨入方式,建议选中通过远程访问策略控制访问,这需要在服务器中定制远程访问策略(若为AD域环境下,须将域功能级别提升到03以上)
完成VPN服务器的配置操作,并赋予特定用户远程连接VPN服务器的权限以后,还需要在客户端中创建VPN连接并拨入VPN服务器,才能实现对企业内部网络的访问。
客户端创建VPN连接
客户端配置比较简单,只需建立一个VPN的专用连接即可。
假设客户端已建立了一个接入Internet的ADSL连接,创建VPN连接的步骤如下所述:
1. 桌面右击网上邻居->属性,打开网络连接。单击新建连接,如图所示:
2. 弹出“欢迎使用新建连接向导”,下一步,网络连接类型页面中选择“连接到我的工作场所的网络”。下一步,如图所示:
3. 选择“虚拟专用网络连接”,下一步;
提示:如果是第一次建立连接,系统会要求输入所在地区的电话区号。如果在建立VPN连接前已经建立了其他连接(如ADSL接入Internet的连接)则不会出现该提示。
4. 在连接名对话框中,在公司名中,输入连接名称(连接到sungh.com域)单击下一步;
5. VPN服务器选择中,选择主机名或者IP地址,下一步;
6. 可用连接上选择“只是我使用”,单击下一步;
7. 在完成新建连接向导中,选择“在我的桌面上添加一个到此连接的快捷方式”,完成;
为了避免出现成功连接VPN服务器后客户端不能访问Internet的问题,用户还需要对刚刚创建的“企业VPN连接”做简单的配置。
在“网络连接”窗口中右击企业VPN连接->属性,切换至“网络”选项卡,选择Internet协议(TCP/IP),如图;
单击属性,在弹出的对话框中,选择高级,如图;
在“高级TCP/IP设置”对话框的“常规”中取消选中的“在远程网络上使用默认网关”,单击确定,如图所示。
客户端VPN连接配置完毕,用户已经具备了在VPN服务器和客户端建立VPN连接的条件。
单击桌面上的企业VPN连接,输入用户名和密码(被赋予权限的用户名和密码),如图:
成功建立VPN连接以后,可以双击桌面右下角的VPN连接图标查看其状态,如图所示;
如何访问VPN服务器上的共享资源呢,有两种方法:
1) 通过“网上邻居”直接访问共享资源;
2) 通过UNC路径访问,即在地址栏中输入“\\服务器名”或\\服务器地址,通过浏览器窗口访问共享资源。
提示:在成功建立VPN连接后可能会出现客户端和服务端的“网上邻居”窗口中无法找到对方的问题,这时应该检查两者是否均安装了NetBEUI协议。如果没有应该马上安装,通常可以解决该问题。
如果客户端在访问服务器端的共享资源的时候可能会出现长时间的搜索过程。如果迟迟找不到服务器,可以使用“搜索计算机”进行搜索。
如果VPN服务器端同时又作为局域网内的一台主机,用户还可以让VPN客户端进一步访问局域网内的其他主机。这需要VPN服务端开启了路由器功能并启用了IP路由,不过在VPN服务器配置完成后这些功能都是默认启用的。
接着上文继续介绍:
远程访问策略(对客户端拨入VPN服务器的限制)
打开“路由和远程访问策略”单击“远程访问策略”默认情况下存在两个策略,如图所示;
单击任一策略,在弹出的对话框中,策略状况中显示的信息称为拨入条件。
通过设置“远程访问策略”,用户可以对VPN服务器进行简单管理。如果VPN服务器对客户端的访问时段有所限制,则可以定制VPN服务的开放时段,操作步骤如下所述:
1. 打开“路由和远程访问”窗口,右击远程访问策略,选择新建远程访问策略,如图:
2. 打开“新建远程访问策略向导”,在欢迎对话框中单击下一步,在打开的“策略配置方法”对话框中选择设置自定义策略,在策略名编辑框中输入策略名称,下一步,如图所示;
3. 在打开的“策略状况”对话框中单击添加,打开“选择属性”对话框,在“属性类型”列表中选择相应选项,单击添加,如图;
4. 打开“Framed-protocol”对话框,选择需要添加的协议。单击添加,确定,如图:
5. 返回“策略状况”对话框,在“策略状况”列表中可看到刚添加的策略。下一步,如图;
6. 单击下一步,选择“授予远程访问的权限”,下一步;
7. 单击“编辑配置文件”,可以对远程访问策略进行进一步设置,如图;
8. 在弹出的“编辑拨入配置文件”选项卡中,可以对远程访问策略进行详细的设置,在此不依依列举,如图所示,可对访问时间和日期进行设置;点击“编辑”;
9. 在弹出的“拨入时段”,中可以对时间和日期进行具体的设置,单击确定;
10. 返回“编辑配置文件选项页面中”,单击下一步;选择完成,即完成配置,在“路由和远程访问”的配置页面中,右侧,出现了“运行使用的协议”策略;
要想使这些策略生效,需要在赋予用户远程连接权限的时候选中通过远程访问策略控制访问,如图所示;
经过上述设置,如果指定用户在允许拨入时段以外的时间长时拨入VPN服务器,将被VPN服务器拒绝拨入,如图所示。
单击图示中的箭头,可以调整远程访问策略的限制顺序。
提示:在客户端和服务端均为ADSL接入Internet的环境下,用户可以轻松建立VPN连接。如果网络环境比较复杂,如小区宽带接入Internet的客户端访问ADSL接入Internet的服务端、采用Cable Modem接入Internet的客户端访问ADSL接入Internet的服务端、ADSL接入Internet的客户端访问小区宽带接入Internet的服务端等等,则还需要作进一步的配置才能实现连接。
配置PPTP或L2TP端口
打开路由和远程访问,单击端口-》属性,如图所示;
选择WAN 微型端口 (PPTP),单击配置;
在配置设备对话框中,选择设备的“最多端口数”,选择请求拨号连接的方式,“仅入站”还是“入站和出站”;
PPTP与L2TP协议区分:
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:
1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道
IAS服务器的配置
作用:可以实现将多台VPN服务器配置成IAS客户端,集中配置远程访问策略;适用于大型网络。
单击开始菜单-》管理工具-》添加和删除程序-》添加/删除windows组件-》网络服务中,添加internet验证服务,即添加了IAS服务器组件。
打开internet验证服务,右击RADIUS客户端,选择新建RADIUS客户端,
在弹出的对话框中输入名称和IP,如图所示;
输入共享机密(口令)如图;
单击完成,如图所示,右侧便出现了配置结果;
单击VPN服务器,右击属性,在安全选项卡中,单击身份验证提供程序,选择RADIUS身份验证,点击配置,
在弹出的对话框中,点击添加,将IAS服务器添加,如图;
记账提供程序中选择RADIUS记账,即windows日志的记录方式;
同上,点击配置,将RADIUS服务器添加进来,
单击应用,弹出对话框,提示重启路由和远程访问;
单击确定,重启之后,便实现了将VPN服务器变成IAS客户端,如图所示,远程访问策略转移到了RADIUS服务器上,实现了将多台VPN服务器配置成IAS客户端,集中配置远程访问策略;
单击“远程访问记录”中的本地文件属性,可以设置记录(日志)文件产生的频率,
如图,设置中的记账请求,记录拨入和断开的时间;身份验证请求,记录用户拨入是否成功;周期性状态,记录没有正常提交断开请求,服务器端会周期的发送连接包,客户端一段时间没有反应,便认为断开。