熱點推薦:
您现在的位置: 電腦知識網 >> 電腦常識 >> 正文

圖解Windows2000VPN的安裝

2013-11-11 13:57:57  來源: 電腦常識 

  盡管術語虛擬專用網絡 (VPN)定義相當廣泛但大多數業內專家使用 VPN 代表的是通過公用網絡(比如 Internet)建立專用虛擬隧道通過 VPN數據被封裝成數據包經由公用網絡安全地傳輸數據包標頭包含路由信息Windows 支持第 層(數據鏈路層)隧道協議比如 PPTP 和 LTP這些協議先將數據封裝進 PPP 幀然後再通過線路進行傳輸 層(網絡層)隧道協議(如 IPSec)也受支持在這裡 IP 數據包在傳輸前先被封裝進 IP 標頭
  VPN 方案
  利用 VPN 有許多種方式但可能最通常的方案是遠程用戶通過 VPN 隧道訪問企業網絡在其他方案中遠程辦公室可以使用持續的或請求撥號 VPN 連接方式連接企業網絡VPN 還可以部署在外部網方案中以便與商業伙伴進行安全通訊本文將討論第一種方案下的 VPN 部署即遠程用戶通過 VPN 隧道連接企業網絡
  為 VPN 配置 Windows Server
  要配置 VPN 服務器計算機必須至少有兩個接口要設置 Windows server 用於 VPN請使用以下步驟
  打開管理工具中的路由和遠程訪問控制台
  右鍵單擊服務器然後單擊配置並啟用路由和遠程訪問
  安裝向導啟動單擊下一步
  選擇手動配置服務器如圖 所示單擊下一步
  單擊完成結束安裝向導
   
  圖 在服務器上啟用 VPN
  請不要使用虛擬專用網絡 (VPN) 服務器選項路由和遠程訪問向導不允許路由解釋請見 Microsoft Knowledge Base 文章 QVPN 選項為傳入 VPN 連接配置服務器並通過配置篩選器只允許 PPTP 或 LTP 通信來保護服務器如果這正是您所需要的則不必擔心但請注意使用該選項將導致路由和遠程訪問阻止除 PPTP 和 LTP 之外的所有數據包
  在用戶能夠使用 VPN 連接您的服務器前還需要采取一個步驟即需要給用戶相應的撥入權限以訪問網絡這可以通過在遠程訪問策略中授予用戶遠程訪問權限來實現如圖 所示也可以通過在 Active Directory用戶和計算機中基於每用戶配置撥入權限來實現
   
  圖 授予遠程訪問權限
  默認情況下所創建的 VPN 端口數目有所不同具體取決於是否選擇最後一個選項手動配置服務器如果選擇了該選項則只創建 個 PPTP 和 個 LTP 端口如果選擇了中間選項虛擬專用網絡 (VPN) 服務器則創建 個 PPTP 和 個 LTP 端口通過選擇路由和遠程訪問控制台中的端口屬性您始終可以調整端口數
  備注 如果 VPN 客戶端要通過路由器或防火牆並且使用的是 PPTP請確保允許 TCP 端口 和 IP 協議 ID (GRE 常規路由封裝)通過路由器或防火牆如果使用的是 LTP則需要打開 UDP 端口 (IKE)協議 ID (IPSec ESP) 和協議 ID (IPSec AH)
  客戶端配置
  要連接企業端的 VPN 服務器首先需要保證能夠通過撥入 ISP 連接 Internet除非擁有對 Internet 的專用連接(比如 DSL)才不需要撥號連接到 Internet 即讓您置身於企業 VPN 服務器所連接的同一全球 Internet 主干網上然後您建立第二連接以創建 VPN 隧道
  要創建到企業服務器的第二連接請按以下步驟操作
  轉到開始設置網絡和撥號連接然後選擇建立新連接來啟動網絡連接向導
  在網絡連接類型屏幕上選擇通過 Internet 連接到專用網絡如圖 所示
  在公用網絡屏幕上您可以如此配置建立到企業 VPN 服務器的第二連接之前首先自動撥叫 ISP只有在使用調制解調器或 ISDN撥入ISP 以連接 Internet 時才可使用該選項
  按照屏幕上的說明完成向導
   
  圖 網絡連接類型
  默認情況下使用該連接時只具有鍵入用戶名和密碼的選項要添加選項請單擊屬性然後在選項選項卡上選擇包含 Windows 登錄域框如圖 所示
   
  視連接 VPN 服務器方式的不同您將使用 MPPE 加密或 IPSec 加密如果連接到 PPTP 服務器則使用 MPPE但如果連接到 LTP 服務器則使用 IPSec默認情況下VPN 被配置為自動服務器類型這意味著在嘗試使用 MPPE 加密的 PPTP 之前首先嘗試使用 IPSec 加密的 LTPMPPE 的工作方式與 IPSec 不同由於數據包到達目的地的先後順序不同MPPE 使用標頭中的序列號來跟蹤數據包MPPE 根據序列號來更改每個數據包的加密密鑰使用 LTP 連接需要 IPSec 證書如果在建立 VPN 連接時遇到問題請嘗試選擇 PPTP 代替默認的自動選項作為連接類型如果選擇了自動設置而不能協商 IPSec 會話則在它退到 PPTP 之前可能需要等待很長時間(最長可達 分鐘)
  通過在遠程訪問策略屬性下選擇編輯配置文件可以配置四個加密選項加密選項卡上您可以選擇加密基本最強加密最強加密( 位)只有在安裝了 Windows High Encryption Pack 的情況下可用(推薦安裝Windows Service Pack
  下表顯示了撥號和 PPTP 與 IPSec 上的 LTP VPN 連接加密類型的比較
   
  了解數據包結構
  PPTP 數據包結構
  圖 (下圖)顯示了通過隧道時 PPTP 數據包的結構首先通過將加密的 PPP 數據與 PPP 標頭封裝在一起來創建 PPP 幀然後將 PPP 幀與 GRE 標頭封裝在一起再後將生成的有效負載與 IP 標頭封裝在一起IP 標頭中包含源 IP 地址和目標 IP 地址的信息最後該 IP 數據文報與數據鏈路層標頭和尾端封裝在一起視所使用技術的不同數據鏈路層標頭和尾端也有所不同例如當通過以太網發送 IP 數據文報時它與以太網標頭和尾端一起封裝當通過模擬電話線路發送時它與 PPP 標頭和尾端一起封裝等等當數據包到達目的地時各標頭以相反的順序剝離首先數據鏈路層標頭和尾端被除去然後 IPGRE 和 PPP 標頭被依次剝離最後PPP 數據被解密
   
  圖 PPTP 數據包結構
  LTP 數據包結構
  LTP 的數據包結構與 PPTP 有些類似也有一些標頭添加到 PPP 數據中 顯示了 LTP 數據包的結構請注意UDP 標頭和 IPSec 尾端間的所有數據均被加密
  
  圖 LTP 數據包結構
  流行的解決方案
  VPN 是遠程辦公者對企業網絡進行安全訪問的有效方法它通過公用網絡提供 LAN 的安全擴展因此在遠程分支機構和外部網方案中也很有用與傳統的撥號解決方案相比VPN 由於其易於管理和總體擁有成本更低而變得非常流行
  
  

From:http://tw.wingwit.com/Article/Common/201311/4888.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.