目前,规模比较大点的公司都有自己的分公司,如何让分公司随时同公司总部保持安全、高效率、低成本、多用途的连接,这是摆在每一个企业面前的难题。传统的方法有专线连接、拨号连接、IP地址直接访问等,可是它们要么费用高昂,要么功能单一,还可能带来安全隐患。而使用VPN连接则将使这些难题迎刃而解。
首先简单介绍一下VPN,其英文全称为Virtual Private Network,即虚拟专用网络。 VPN技术是指在公共网络中建立专用网络,是“线路中的线路”,数据通过安全的“加密通道”在公共网络中传播,具有良好的保密性和抗干扰性。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAME RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。VPN还提供远程访问,它扩展性强、便于管理和实现全面控制,并可节省成本。采用VPN技术是今后企业网络发展的趋势。
要实现VPN连接,企业内部网络中必须有一台基于Windows NT或Windows 2000 Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,这就要求VPN服务器必须拥有一个公共的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。在 Windows 2000 中有两种类型的 VPN 技术:1.对点隧道协议 (PPTP): 用于数据加密,PPTP 使用用户级的点到点协议 (PPP) 身份验证方法及 Microsoft 点到点加密 (MPPE)。 2.带有 IP 协议安全 (IPSec) 的第二层隧道协议 (L2TP): L2TP 使用用户级 PPP 身份验证方法和带有 IPSec 数据加密的机器级证书。
我配置的实例是一个远程客户端(Windows 2000 Pro)与一个公司总部VPN server(Windows 2000 Pro)之间的连接,主要有三个步骤:
1.配置VPN服务器,使之能够接受VPN接入。
2.VPN客户端(Win2000)的配置。
3.建立客户端与服务器间的VPN连接。
具体步骤如下:
首先,需要公司总部的计算机(以下称之为“VPN服务器”)和分公司的计算机(以下称之为“VPN客户机”)均应能访问Internet,并且VPN服务器拥有一个Internet上合法的IP地址(即公网IP)。然后,当VPN客户机通过虚拟拨号和VPN服务器连接成功,VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内,任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源,操作方法和普通局域网完全一样。
1.VPN服务器的配置
VPN服务器端操作系统可以是WinNT 4.0/Win2000/WinXP/Win2003;相关组件为系统自带;要求VPN服务器已经连入Internet,并且拥有一个独立的公网IP。我选用在Windows 2000 Server(以下简称“Win2000”)中配置VPN服务器为例。
(1)依次进入“开始”→“程序”→“管理工具”→“路由和远程访问”打开“路由和远程访问”控制台。
(2)在左边框架中“SERVER(本地)”(“SERVER”为服务器名)处单击右键,选择“配置并启用路由和远程访问”打开“路由和远程访问安装向导”窗口。
(3)在“欢迎使用路由和远程访问安装向导”一步介绍本向导的作用。没有可以设置的选项,直接单击“下一步”按钮继续。
(4)在“公共设置”一步需要选择所相应的公共配置。默认选项为“Internet连接服务器”,需要改选为“虚拟专用网络(VPN)服务器”,然后单击“下一步”按钮继续。
(5)在“远程客户协议”一步显示的是当前VPN访问可使用协议的列表。默认选项为“是,所有可用的协议都在列表上”,不用修改,直接单击“下一步”按钮继续。
(6)在“Internet连接”一步需要指定服务器所使用的连接。默认选项为“无Internet连接”,不用修改,直接单击“下一步”按钮继续。
(7)在“IP地址”一步需要选择为远程VPN客户端指定IP地址的方法。默认选项为“自动”,由于本机没有配置DHCP服务器,因此需要改选为“来自一个指定的地址范围”,然后单击“下一步”按钮继续。
(8)在“地址范围指定”一步可以为VPN客户机指定所分配的IP地址范围。比如打算分配的IP地址范围为“192.168.0.100”~“192.168.0.200”,则单击“新建”按钮打开“新建地址范围”窗口,按提示输入后单击“确定”按钮返回“地址范围指定”一步,然后单击“下一步”按钮继续。
注意:这些IP地址将分配给VPN服务器和VPN客户机。为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信,它们必须同VPN服务器的IP地址处在同一个网段中。即:假设VPN服务器IP地址为“192.168.0.1”,则此范围中的IP地址均应该以“192.168.0”开头。
(9)在“管理多个远程访问服务器”一步用于设置集中管理多个VPN服务器。默认选项为“不,我现在不想设置此服务器使用RADIUS”,不用修改,直接单击“下一步”按钮继续。
(10)在“正在完成路由和远程访问服务器安装向导”一步说明已经配置完成。没有可以设置的选项,直接单击“完成”按钮继续。
(11)此时屏幕上将出现一个名为“正在启动路由和远程访问服务”的小窗口,过一会儿将自动返回“路由和远程访问”控制台,出现如(图1)画面,即结束了VPN服务器的配置工作。
说明:此时“服务”控制台中的“Routing and Remote Access”服务已经“自动”处于“已启动”状态了;而在“网络和拨号连接”窗口中也会多出一个“传入的连接”图标。
2.赋予用户拨入权限
默认的,包括Administrator用户在内的所有用户均被拒绝拨入到VPN服务器上,因此需要为相应用户赋予拨入权限。本文以“water”用户为例。
(1)在“我的电脑”处单击右键,选“管理”打开“计算机管理”控制台。
(2)在左边框架中依次展开“本地用户和组”→“用户”,在右边框架中双击“water”打开“water 属性”窗口。
(3)转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下默认选项为“通过远程访问策略控制访问”,改选为“允许访问”,然后单击“确定”按钮返回“计算机管理”控制台,即结束了赋予“water”用户拨入权限的工作。
查找更多相关信息请登陆:考资网(www.kaozi.com) |
