发信人: yc-dragon(星期天的早晨)
整理人: terryh(2004-03-19 15:03:44), 站内信件
|
VPN网络组建初探
现在时兴的企业网络组建方案中最为吸引各位网络管理员的可能要算是VPN(Virtal Private Network虚拟专用网络)了吧。从技术上来说虚拟专用网(VPN)可以算是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。它能利用共享的IP网络建立VPN连接,从而使得企业不用再为昂贵的专线的租用、架设费用和复杂的远程访问方案而感到头痛不已。
归纳起来,采用VPN方式组建的虚拟网络所能拥有以下这些优点:
1、 移动用户和一些大企业的分支企业可以随时随地的“直接”连接到企业已经建立的VPN网络中,这样,从网络费用上来说就可以减少50%甚至更多的开支;
2、 企业新增的分支机构(站点)可以非常迅速、方便地加入企业已建的基于VPN的INTRANET中,而放弃原有的如点对点专线或长途拨号等手段;
3、 VPN创造了很多的新兴的电子商业机会,比如:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
当然,VPN网络也有它的局限性,那么到底哪些用户适于使用VPN呢?
1、 客户位置众多而且极为分散,例如企业SOHO工作人员和接受远程教育的用户;
2、 用户(站点)分布范围广,而且彼此之间的距离远,需通过长途通信,甚至通过拨打国际长途来进行联系;
3、 对带宽和时延没有特殊要求的用户以及对线路保密性和可用性要求不是特别严格。
从技术角度上来讲,也有根本不适合采用VPN网络的企业。
1、 非常的重视传输数据的安全性;
2、 永远把性能放在首位而不考虑价格花费;
3、 企业所使用的软件采用了采用了不常见的协议,而导致不能在IP隧道中传送应用的情况;
4、 大多数通信是实时通信的应用,如语音和视频交流。
根据需要,VPN又可以处理为三种解决方案:Access VPN(远程访问虚拟网)、Intranet VPN(企业内部虚拟网)还有Extranet VPN(企业扩展虚拟网)。而这三种解决方案可以分别可以对于以下三种网络进行改造和升级。
1、 传统的远程访问网络
2、 企业内部的Intranet
3、 企业网和相关合作伙伴的企业网所构成的Extranet(扩展网络)
Access VPN最适用于公司内部经常有流动人员远程办公以及商家提供B2C方式的安全访问服务的情况。出差的公司员工或者该公司的客户可以利用当地ISP服务商提供的VPN服务和公司的VPN网关建立私有的隧道连接。如果为了保证连接的安全的话,还可以建立RADIUS服务器对员工的身份进行验证和授权,让员工得到相应的权限。大家都可以看出,这样的连接可以大大的降低员工所支付的费用,因为员工不再需要通过拨打长途电话连接到公司的拨号服务器。员工所需要支付的仅仅为市话费以及网络使用费而已。而采用这种方式也减轻了服务器组建所需要的费用和技术。
Intranet VPN则是企业内部各分支机构进行互联的最好解决方案了。现在大多数的企业在全国乃至世界各地建立各种分公司、子公司、办事处这些分支机构,而各个分支机构之间通常采用价格昂贵的专线来进行信息和数据传递,每年公司花费在数据通信上的经费几近天价!但是现在如果我们利用VPN技术的特性可以廉价的在Internet上组建世界范围内的Intranet VPN。实际上也就是利用Internet廉价的连接线路再加上VPN的安全特性组建了一条安全的、专用的虚拟线路出来,让企业的数据和信息可以安全的进行传递。采用虚拟专用网络的企业拥有与采用专用网络的企业同样拥有诸如:安全、服务质量(QoS)、可管理性和可靠性的网络性能。
那Extranet VPN呢?它可以根据现行的Internet为良好的数据链路基础,采用VPN技术,使得在保证本企业内部网络安全的基础上能够向合作伙伴提供有效、可靠、快捷、方便的信息服务。使得企业与企业之间的联系更加紧密,也使企业与企业之间的信息传递得更加快捷、方便。
虚拟专用网络其实就是专用网络的一个特殊的分支延伸。它包含了类似于Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。
如果说得再通俗一点,VPN实际上是"线路中的线路",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接。
以下我们教大家如何建立一个简单的VPN网络。在这里,我们并不采用第三放提供的建立VPN网络的软件,而仅仅只是依靠功能强大Windows 2000 Server来做我们的VPN服务器。而客户机端则是使用的是最为常见的Windows 98就可以了。
配置VPN服务器
Windows 2000中的VPN服务功能是包含在"路由和远程访问服务"中的。然后当你的Win2000服务器安装好之后,它也就随之自动存在了。但是,这个时候它只是拥有这个服务,但是我们还没有对这个服务进行配置,所以,现在我们要对这个服务进行配置先。现在依次打开“开始”->“程序”->“管理工具”中的“路由和远程访问”,然后我们就进入了它的配置主窗口了。现在我们就可以开始对这个服务进行具体的配置了。首先,我们在左边的“树”标签中选中“服务器准状态”,从右边的窗口反馈出来的信息我们可以得知,这项服务的状态现在正处在“已停止(未配置)”的情况下。
要想让这台Windows 2000服务器能接受客户机的VPN拨入,我们就必须要对VPN服务器进行配置。在左边窗口中选中“BLUEWOLF(本地)”(具体的机器这里会不同,但是这里的名称一定是你在安装的时候所取的服务器名)。在服务器名上单击鼠标右键,然后选择“配置并启用路由和远程访问”。
如果您在以前已经尝试着配置过这台服务器的路由和远程访问服务,为了VPN网络的需要,现在我们还是重新开始配置一次吧。现在请在“BLUEWOLF(本地)”(服务器名)上单击鼠标右键,选择"禁用路由和远程访问"。在稍微等一会儿之后,就可以停止之前你已经配置好了的这项服务。然后请跟随我一起来重新配置VPN服务器!
整个配置过程可以说是相当的简单,因为M$公司还是对我们算比较好的了,他为我们制作了比较详细的安装/配置向导。根据向导我们可以一步一步的将这个VPN服务器配置好。当进入配置向导之后,在“公共设置”(如图)中,选中“虚拟专用网络(VPN)服务器”,这样就可以让您的用户能够通过公共网络(比如LAN、WAN甚至是Internet)访问到这个VPN服务器。
然后在下一个路由和远程访问服务器安装向导窗口中在“远程客户协议”的对话框中你会发现一般都有一些协议存在了,一般来说,这里面至少应该已经有了TCP/IP协议。我们选中TCP/IP协议,然后直接点选“是,所有可用的协议都在列表上”再点击“下一步”即可。之后系统会要求你再选择一个此服务器所使用的Internet连接。我在测试中所使用的连接方案是采用的ADSL,所以我选中了连接到ADSL MODEM的那块网卡。您可以在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)然后再点击“下一步”。
接着在回答"您想如何对远程客户机分配IP地址"的询问。在这里要提醒大家的是,除非你已经在服务器端安装好了DHCP服务器,否则请在这里选择“来自一个指定的IP地址范围”(我推荐大家采用这种方式)。
然后系统会请你输入你要分配给客户端使用的起始IP地址。在大家填写好了IP段之后,将这个IP段“添加”进列表中。比如在这里我选择的为“61.157.254.1~61.157.254.254”。(请注意,此IP地址范围要同服务器本身的IP地址处在同一个网段中!这个网段是和大家所设定的子网掩码有密切的关系的。)
最后在下一个弹出的窗口中选择“不,我现在不想设置此服务器使用RADIUS”即可完成最后的设置。这个时候屏幕上将自动出现一个正在启动“路由和远程访问服务”的小窗口。这个时候,系统正在对路由和远程访问以及VPN网络进行配置。请大家耐心的等待几分钟……
当它这个小窗口消失之后,如果没有什么意外的话,系统的VPN服务器几就已经建立好了。现在请大打开“管理工具”中的“服务”,从当前的服务列表中我们可以看到"Routing and Remote Access"(路由和远程访问)项已经处于“已启动”状态了!这就表示我们的VPN服务器已经安装成功了。那么现在让我们来摆弄客户端吧。
赋予用户拨入的权限
1、 系统默认的设置是任何在安装了VPN服务器的Windows 2000服务器上注册过的用户均被拒绝拨入到服务器上!
2、 如果你赋予一个用户拨入到此VPN服务器的权限的话,请跟我一步一步的做吧。请在我的电脑上单击鼠标右键,然后在弹出的快捷菜单中选择“管理”或者是在Active Directory用户和计算机中打开用户管理器。选中你所需要进行操作的用户帐户,在用户名上单击右键,选择“属性”菜单。
3、 在该用户属性窗口中选择“拨入”标签,在上半部分有三个选择项目,请选择“允许访问”项,然后“确定”以保存设置,这样就可以完成赋予此用户拨入权限的工作。
通过局域网来进行的VPN连接
1、 启动Windows 98的计算机,要将它连接到VPN服务器,则需要先安装“虚拟专用网络”服务。在控制面板的"网络"下(或者直接在网上邻居上单击鼠标右键,选择“属性”),选择添加“适配器”然后在左边一栏中选择“Microsoft”,右边就出现了一个“Microsoft虚拟私人网络适配器”然后点击确定,即可把这个虚拟的适配器添加上去;安装完成之后再根据提示重新启动计算机。
2、 重新启动之后,在控制面板的"网络"中就有了“Microsoft 虚拟私人网络适配器”,这样就说明客户端的VPN服务已安装成功!
接下来还需要建立到VPN服务器的连接。首先进入“我的电脑”中的“拨号网络”中,双击“建立新连接”,如果首次进行建立的话,系统会让您输入您所在城市的区号并选择所使用电话线路的属性是音频还是脉冲的。之后请在“请键入对方计算机的名称”输入连接名,比如为"局域网内的VPN连接"以对其他连接方式进行区分。在“选择设备”中请一定不要忘了选中“Microsoft VPN Adapter”项。然后请点击“下一步”。
接着会出现“请输入VPN服务器的名称或IP地址”,在其下的文字框中输入刚才配置Windows 2000 VPN服务器的名字或IP地址(建议填写IP地址)比如此处为“61.157.254.XXX”,然后再根据提示操作即可成功建立这个连接!
现在我们就可以开始进行连接了。请在“拨号网络”中双击刚才建立好的“局域网内的VPN连接”图标,然后输入您在VPN网络服务器上所获得到的合法用户名(请记住,这个帐号是必须具有拨入服务器权限的一个帐号)和密码,然后点击“连接”按钮——是不是和拨号上网差不多啊?
如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口。
通过Internet来进行的VPN连接
1、 首先得确保服务器已经连入了Internet,然后用ipconfg命令检测出这台服务器在Internet上合法的IP地址。
2、 在Windows 98客户机端参照上文相关内容建立一个新的VPN连接,在相应处输入VPN服务器在Internet上的合法的IP地址;然后将客户机端也拨入Internet,再双击所建立的VPN连接,输入相应用用户名和密码再点“连接”按钮。
3、 连接成功之后可以看到,任务栏右侧会出现两个拨号网络成功运行的图标,当然其中一个是到Intenet的连接,而另一个是VPN的连接了!
4、 当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络!这个网络是双方专用的,而且具体良好的保密性能。
6.VPN建立成功之后,双方便可以通过IP地址或“网上邻居”来达到互访的目的,当然也就可以使用对方所共享出来的软硬件资源了!
怎么样这样的建立过程还是算简单了吧?如果您的企业拥有一个固定的合法IP的话,那么您的VPN服务器也就可以随时“在线”而提供给您的用户和公司员工使用了。本文到这里也就算是完成了。本文旨在“抛砖引玉”,希望这个大板儿砖不会把您砸倒哦:)如果在建立VPN服务器的同时遇到什么困难或者问题的话,欢迎大家和我联系交流。
----
情到浓时人憔悴
爱到深处心不悔
念你忘你都不对
宁愿伤心自己背
不怨苍天不怨谁
人生不如梦一回
惯看花开花又谢
却怕缘起缘又灭
|
|