发信人: javabase(咖啡杯)
整理人: ipaq(2001-05-24 20:10:44), 站内信件
|
虚拟专用网络 (VPN) 技术提供对组织 Intranet 的远程访问,而无需在拨号基本结构上花费成本。Internet 连接具有广泛的可用性,这使得可访问 Internet 的漫游用户或远程计算机用户也可访问其组织的 Intranet。远程访问 VPN 连接可用于将个人计算机连接到组织的 Intranet。路由器对路由器连接(也称为网关对网关连接)用于连接网络。有关路由器对路由器连接的详细信息,请参阅本专栏结尾部分列出的链接。
VPN 技术的类型
Windows 2000 中包括三种类型的 VPN 技术:
点对点隧道协议 (PPTP)
PPTP 是在 Windows NT 4.0 中引入的,它利用点对点协议 (PPP) 用户身份验证和 Microsoft 点对点加密 (MPPE) 来封装和加密 IP、IPX 以及 NetBEUI 通信。由于有第 2 版的 Microsoft 质询握手身份验证协议 (MS-CHAP v2) 和强密码,PPTP 是一种安全的 VPN 技术。对于不是基于密码的身份验证来说,Windows 2000 可用扩展身份验证协议 — 传输层安全性 (EAP-TLS) 来支持智能卡。PPTP 已受到广泛支持,它易于部署且可跨网络地址转换器 (NAT) 使用。
第二层隧道协议 (L2TP)
L2TP 利用 PPP 用户身份验证和 IP 安全 (IPSec) 加密来封装和加密 IP、IPX 以及 NetBEUI 通信。这种组合(称为 L2TP/IPSec)使用基于证书的计算机身份验证来创建安全的和加密的通道(IPSec 安全关联),然后使用基于 PPP 的用户身份验证来创建 L2TP 隧道。L2TP/IPSec 为每个数据包都提供数据完整性和数据身份验证。但是,L2TP/IPSec 需要使用公钥基本结构 (PKI) 来分配计算机证书,且只被 Windows 2000 VPN 客户端支持。
IPSec 隧道模式
IPSec 隧道模式在隧道模式下使用封装安全有效负载 (ESP) 来封装和加密单路广播 IP 通信。Windows 2000 IPSec 隧道模式只用于路由器对路由器 VPN 连接,这是因为当前的 IPSec 标准并未指定用于为远程访问连接提供用户身份验证和地址分配的方法。
网络规划的考虑事项
在开始部署 Windows 2000 VPN 服务器之前,应对基本结构中的以下要素进行评估:
路由基本结构
路由基本结构必须支持将 IP 数据包从 VPN 服务器传送到 Internet 上的任何位置以及您的 Intranet 上的所有相应位置。如果计划中的 VPN 服务器位于周边网络(Intranet 和 Internet 之间的网络,也称为 DMZ)上,则它必须同时配置周边网络上相邻路由器的默认网关以及一个或多个汇总 Intranet 地址空间的路由系列。
VPN 服务器在 VPN 客户端连接时将 IP 地址分配给它们。IP 地址可来自:
子网上的地址范围,即连接到 VPN 服务器的 Intranet 子网的地址范围。
子网以外的地址范围,即表示逻辑上连接到 VPN 服务器的不同子网的地址范围。
如果您使用的是子网以外的地址范围,则必须将汇总地址范围的路由添加到 VPN 服务器所连接的 Intranet 子网上相邻的路由器中,以便可将通信传送到 VPN 客户端。
名称解析基本结构
如果您使用域名系统 (DNS) 来解析主机名或使用 Windows Internet 名称服务 (WINS) 来解析 NetBIOS 名称,则需确保 VPN 服务器配有相应 DNS 和 WINS 服务器的 IP 地址。VPN 客户端继承 VPN 服务器上配置的 DNS 和 WINS 服务器地址。连接后,Windows 2000 VPN 客户端还发送动态主机配置协议 (DHCP) 消息,以便从 DHCP 服务器接受更新后的 DNS 和 WINS 服务器地址。一般来说,如果名称解析在 VPN 服务器上不奏效,则它在 VPN 客户端上也不奏效。
地址分配基本结构
DHCP 通常用于自动分配 IP 地址和其它配置参数。可将 VPN 服务器配置为从 DHCP 为 VPN 客户端获取 IP 地址。在这种情况下,总是将子网内的地址分配给 VPN 客户端,而不必添加其它路由。然而,要确保 Intranet 子网上 DHCP 作用域中的 IP 地址足以允许连接最大数量的 VPN 客户端。如果 DHCP 服务器因地址不足而无法分配给 VPN 服务器,或者如果 DHCP 服务器不再可用,则可连接其它 VPN 客户端,但是这些客户端将无法访问 Intranet 资源。
公钥基本结构
如果使用的是 L2TP/IPSec,则必须部署 PKI,PKI 可将计算机证书分配给 VPN 服务器和 VPN 客户端。如果远程身份验证拨入用户服务 (RADIUS) 用于用户身份验证和授权,则 RADIUS 服务器上必须装有计算机证书以便对使用智能卡的连接进行身份验证。利用 Active Directory,可将组策略配置为自动将计算机证书分配给加入该域的所有计算机。有关详细信息,请参阅 Windows 2000 Server 联机帮助 ( http://windows.microsoft.com/windows2000/en/server/help/)。
防火墙配置
如果您用防火墙(还称为安全网关)将 VPN 服务器和 Internet 隔开,则防火墙必须配置为允许 VPN 通信进出周边网络上的 VPN 服务器。这就需要在防火墙接口上设置输入和输出数据包筛选器,这样由防火墙转发给 VPN 服务器的唯一通信就是 VPN 通信。有关详细信息,请参阅 Windows 2000 Server 资源工具包中“虚拟专用网络”一章 ( http://www.microsoft.com/technet/win2000/win2ksrv/reskit/intch09.asp)。
VPN 服务器规划的考虑事项
在安装 Windows 2000 VPN 服务器之前,应该评估 VPN 服务器配置的以下要素:
身份验证和授权
Windows 2000 VPN 服务器可通过联系域控制器来执行身份验证,并可通过本地配置的远程访问策略进行授权。另外,身份验证和授权可卸载到 RADIUS 服务器上。Windows 2000 中包括一个称为 Internet 身份验证服务 (IAS) 的 RADIUS 服务器。利用 IAS 服务器,您可以将多个 Windows 2000 VPN 和拨入远程访问服务器以及第三方网络访问服务器的身份验证、计帐和远程访问策略的管理集中起来。
身份验证协议
虽然 Windows 2000 支持许多新的和旧的 PPP 身份验证协议,但是 PPTP 的 MPPE 加密仍需要使用 MS-CHAP、MS-CHAP v2 或 EAP-TLS。如果没有智能卡,建议使用 MS-CHAP v2。尽管由于 PPP 身份验证过程受 IPSec 加密的保护而使 L2TP 无需特定的身份验证协议,但是仍建议使用 MS-CHAP v2 和 EAP –TLS。
加密级别
安全的 VPN 连接要求对封装数据进行加密。要确保加密,请为 VPN 连接创建远程访问策略(NAS 端口类型设置为虚拟 (VPN)),并清除该策略的配置文件设置的加密选项卡上的不加密复选框。此外,您可通过选择或清除基本(对于 PPTP 和 L2TP来说,分别是 40 位 MPPE 和 56 位数据加密标准 [DES])、强(对于 PPTP 和 L2TP 来说,分别是 56 位 MPPE 和 56 位 DES)或最强(对于 PPTP 和 L2TP 来说,分别是 128 位 MPPE 和 3DES),来指定所需的加密级别。最强只能和 Windows 2000 High Encryption Pack 结合使用。
客户端配置
Microsoft VPN 客户端可手动配置 VPN 连接,或者用 Windows 2000 附带的连接管理器管理工具包 (CMAK) 来配置。要手动配置 Windows 2000 VPN 客户端,请使用网络和拨号连接文件夹中的新建连接向导,创建到 Internet 上的 VPN 服务器的 IP 地址或 DNS 名称的 VPN 连接。有关 CMAK 的详细信息,请参阅 Windows 2000 Server 联机帮助 ( http://windows.microsoft.com/windows2000/en/server/help/)。
配置 VPN 服务器
在您配置了基本结构并作出了 VPN 服务器的设计决策之后,请运行“路由和远程访问服务器设置”向导,配置 Windows 2000 VPN 服务器:
依次单击开始、程序、管理工具和路由和远程访问。
右键单击服务器名,然后单击配置并启用路由和远程访问。
在公共配置中,单击虚拟专用网络 (VPN) 服务器,然后单击下一步。
在远程客户协议中,验证远程访问 VPN 客户端所使用的所有数据协议都存在。必要时添加数据协议,然后单击下一步。
在 Internet 连接中,单击与连接到 Internet 或周边网络上的接口相对应的连接,然后单击下一步。
如果 VPN 服务器要用 DHCP 来获取远程访问 VPN 客户端的 IP 地址,则在 IP 地址分配中单击自动。或者,单击来自一个指定的地址范围来使用一个或多个静态地址范围。如果某个静态地址范围为子网以外的地址范围,则必须在路由基本结构中添加路由,以便可到达 VPN 客户端。完成 IP 地址分配后,单击下一步。
在管理多个远程访问服务器中,如果用 RADIUS 进行份验证和授权,则单击是,我想使用一个 RADIUS 服务器,然后单击下一步。
在 RADIUS 服务器选择中,配置主要(强制) RADIUS 服务器、辅助(可选) RADIUS 服务器和共享密码,然后单击下一步。
单击完成。
其它信息
有关 Windows 2000 VPN 技术、设计、部署的详细信息(包括详细示例),请查阅以下资源:
虚拟专用网络:概述( http://www.microsoft.com/windows2000/library/howitworks
/communications/remoteaccess/vpnoverview.asp )
基于 Windows 2000 的虚拟专用网络:支持 VPN 互操作性 (http://www.microsoft.com/windows2000/library/howitworks/communications
/remoteaccess/l2tp.asp )
Microsoft 保密的网络访问:虚拟专用网络和 Intranet 安全 (http://www.microsoft.com/TechNet/win2000/win2ksrv/technote/msppna.asp )
Windows 2000 虚拟专用网络方案 ( http://www.microsoft.com/windows2000/library/howitworks/communications
/remoteaccess/w2kvpnscenario.asp )
虚拟专用网络(Microsoft Internet 服务网络)(http://www.microsoft.com/ISN/ind_solutions/virtual_private_networking.asp )
Windows 2000 Server 资源工具包中“虚拟专用网络”一章 (http://www.microsoft.com/technet/win2000/win2ksrv/reskit/intch09.asp )
Windows 2000 Server 文档 (http://windows.microsoft.com/windows2000/en
/server/help/ ) (Networking\Virtual Private Networking)
----
小溪春深处,万千碧柳荫
不记来时路,心托明月
今夜谁家扁舟子 |
|