1. 虚拟专用网(VPN)
(1)VPN技术就是利用公共网络建立虚拟私有网,将连接在Internet上不同地方的两个或多个企业内网之间建立一条虚拟的专有通讯线路(VPN专线)。
(2)在使用于等同于Internet的远程用户直接搬到另一方的内部网络中,这样它就可以像在内网中一样地访问该网络中的任何计算机。
①远程用户建立到RAS(Remote Access Server)服务器的VPN拨号连接,会得到一个内网的IP地址(如10.0.0.8)。
②当它访问内网的WebServer1时,数据包的封装如上图,将会把局域网的数据包当做数据,使用RAS的公网IP和自己的公网IP再次封装成广域网的数据包。这样数据就能通过Internet到达RAS服务器。
③RAS服务器将广域网封装的部分去掉,使局域网数据包在企业内部网传输。
2. VPN使用的广域网协议
(1)点到点隧道协议(PPTP)
①封装了PPP数据包中包含的用户信息,支持隧道交换。但只能是两端点建立单一隧道,也不支持隧道验证。
②便于企业在防火墙和内部服务器上实施访问控制。企业防火墙的隧道终端器接收包含用户信息的PPP数据包,然后对不同来源的数据包实施访问控制。
③使用TCP的1723端口。要求互联网为IP网络。
(2)第二层隧道协议(L2TP over IPSec)
①综合了PPTP议和L2F协议的优点,并且支持多路隧道。
②用 户可同时访问Internet和企业网,但需要结合IPSec提供隧道验证来实现安全性。
③使用UDP的1701端口。不要求一定是IP网络,只要求隧道的媒介提供面向数据包的点对点连接即可。
3. 配置VPN服务器
(1)网络拓扑(如上图)
(2)在Win2003配置VPN服务
①添加两块网卡:连接内网的网卡(名称:inner,IP:10.0.0.1/24,不用写网关),连接外网的网卡(名称:outer,IP:23.23.2.2/24,网关:指向路由器)。
②“控制面板”→“管理工具”→“路由和远程访问”→“配置路由和远程访问”→选中“远程访问(拨号或VPN)”→选中“VPN复选框”→在“VPN连接”界面中选中连接internet的网卡(outer)。然后指定如下IP地址范围(用来给远程用户拨入时提供的IP),如下图其余的采用默认设置。
、
(3)创建用户允许远程拨入
①“控制面板”→“管理工具”→“计算机管理”→“用户”→“新用户”,然后填写用户名和密码,同时不要勾选“用户下次登录时必须更改密码” (用户名jjbb,密码123456)
②更改用户属性,将“远程访问权限(拨入或VPN)”中选择 “允许访问”(如上图)
(4)远程XP用户建立VPN拨号
①“控制面板”→“网络连接”→“创建一个新连接”→选择“连接到我的工作场所的网络”→选择“虚拟专用网络连接”(VPN)→填写公司名(随便)→填写VPN服务器IP(23.23.2.2)→选中在桌面上添加快捷方式。
②找到刚创建拨号连接,输入VPN用户名和密码(在第3步创建的!),ping远程企业内网IP(如10.0.0.1),如下图。
(5)(可选)配置VPN使用L2TP协议
①VPN拨号默认采用PPTP协议。也可以使用L2TP协议,但需要在VPN服务器和客户端指定IPSec用来身份验证的共享密钥。
②VPN服务器设置
③客户端设置:设置IPSec,同时指定VPN类型为“L2TP IPSec VPN”
