近來
隨著中國經濟的騰飛
各種工業企業投資增加
中國已經成為世界的制造中心
大型生產型
經營型企業的生產
調度早已經就嚴重依賴於網絡
隨著企業規模的不斷擴大異地分支機構辦事處連鎖超市經營部門生產部門以及投資管理機構甚至出差人員對中心的數據越來越敏感因此這些企業大都已經或者正准備安裝大型網絡型ERP/財務軟件用以滿足以上各類需求然而企業在付出高昂的軟件安裝部署實施費用後大都為如何減少軟件的運行費用而憂心重重互聯網的方便高速和覆蓋並沒有被企業網充分利用因為任何企業的IT經理都不會將企業內部網直接連接到互聯網企業內部網與互聯網之間都會設置防火牆只允許內部網絡結點向互聯網發起請求進行互聯網的訪問但不允許通過互聯網結點訪問企業內部的信息因此公司老總很晚才下班要在公司處理完所有的數據郵件盡管家中有寬帶但那是互聯網接入不能接到公司內部網絡;出差在外的員工必須拔打昂貴的號碼或長途電話才能訪問公司內部信息以大約Kbps的速率連接到公司內部網絡酒店的寬帶接口卻放在一邊不能用有什麼好辦法既能保證數據傳輸的安全性又能降低運行成本呢?DDN專線嗎肯定不行相關設備的安裝難度路由器等網絡設備的大筆投入不說光是每月昂貴的租用費用隨著分支機構的增加這種負擔正成為企業支出費用的大筆開銷!利用傳統的撥號線路嗎?緩慢的速度設備安裝調試管理維護的問題更是讓企業信息負責人望而卻步有沒有一種更好的解決方案呢?怎樣才能利用高速便利的互聯網接入安全地實現移動辦公在家辦公呢?答案是遠程接入VPN
一什麼是VPN?
虛擬專用網(VPNVirtual Private Network)是一種利用公共網絡來構建的私人專用網絡技術不是真的專用網絡但卻能夠實現專用網絡的功能虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)在公用網絡中建立專用的數據通信網絡的技術 在虛擬專用網中任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路而是利用某種公眾網的資源動態組成的IETF草案理解基於IP的VPN為使用IP機制仿真出一個私有的廣域網是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術所謂虛擬是指用戶不再需要擁有實際的長途數據線路而是使用Internet公眾數據網絡的長途數據線路所謂專用網絡是指用戶可以為自己制定一個最符合自己需求的網絡
二VPN的安全性
目前VPN主要采用四項技術來保證安全這四項技術分別是隧道技術(Tunneling)加解密技術(Encryption & Decryption)密鑰管理技術(Key Management)使用者與設備身份認證技術(Authentication)
隧道技術
隧道技術是VPN的基本技術類似於點對點連接技術它在公用網建立一條數據通道(隧道)讓數據包通過這條隧道傳輸隧道是由隧道協議形成的分為第二三層隧道協議第二層隧道協議是先把各種網絡協議封裝到PPP中再把整個數據包裝入隧道協議中這種雙層封裝方法形成的數據包靠第二層協議進行傳輸第二層隧道協議有LFPPTPLTP等LTP協議是目前IETF的標准由IETF融合PPTP與LF而形成 第三層隧道協議是把各種網絡協議直接裝入隧道協議中形成的數據包依靠第三層協議進行傳輸第三層隧道協議有VTPIPSec等IPSec(IP Security)是由一組RFC文檔組成定義了一個系統來提供安全協議選擇安全算法確定服務所使用密鑰等服務從而在IP層提供安全保障
加解密技術
加解密技術是數據通信中一項較成熟的技術VPN可直接利用現有技術
密鑰管理技術
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種SKIP主要是利用DiffieHellman的演算法則在網絡上傳輸密鑰;在ISAKMP中雙方都有兩把密鑰分別用於公用私用
使用者與設備身份認證技術
使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式目前這方面做的比較成熟的有國內的深信福科技的VPN解決方案
三VPN網絡的可用性
通過VPN企業可以以更低的成本連接遠程辦事機構出差人員以及業務合作伙伴關鍵業務虛擬網組成之後遠程用戶只需擁有本地ISP的上網權限就可以訪問企業內部資源這對於流動性大分布廣泛的企業來說很有意義特別是當企業將VPN服務延伸到合作伙伴方時便能極大地降低網絡的復雜性和維護費用
VPN技術的出現及成熟為企業實施ERP財務軟件移動辦公提供了最佳的解決方案
一方面VPN利用現有互聯網在互聯網上開拓隧道充分利用企業現有的上網條件無需申請昂貴的DDN專線運營成本低
另一方面VPN利用IPSEC等加密技術使在通道內傳輸的數據有著高達位的加密措施充分保證了數據在VPN通道內傳輸的安全性
四VPN網絡的可管理性
隨著技術的進步各種VPN軟硬件解決方案都包含了路由防火牆VPN網關等三方面的功能企業或政府通過購買VPN設備達到一物多用的功效既滿足了遠程互聯的要求而且還能在相當程度上防止黑客的攻擊並能根據時間IP內容Mac地址服務內容訪問內容等多種服務來限制企業公司內部員工上網時的行為一舉多得
VPN設備的安裝調試管理維護都極為簡單而且都支持遠程管理大多數VPN硬件設備甚至可通過中央管理器進行集中式的管理維護出差人員也可以通過客戶端軟件與中心的VPN設備建立VPN通道從而達到訪問中心數據等資源的目的讓互聯無處不在極大地方便了企業及政府的數據語音視頻等方面的應用
五windows 實現NAT地址轉換和VPN服務器
下面我們介紹一下通過Windows Server操作系統自帶的路由和遠程訪問功能來實現NAT共享上網和VPN網關的功能網絡拓撲圖如下我們要實現在異地通過VPN客戶端訪問總部局域網各種服務器資源
第一步系統前期准備工作
服務器硬件雙網卡一塊接外網一塊接局域網在windows中VPN服務稱之為路由和遠程訪問默認狀態已經安裝只需對此服務進行必要的配置使其生效即可
首先確定是否開啟了Windows Firewall/Internet Connection Sharing (ICS)服務如果開啟了Windows Firewall/Internet Connection Sharing (ICS)服務的話在配置路由和遠程訪問時系統會彈出如下對話框
我們只要去開始程序管理工具服務裡面把Windows Firewall/Internet Connection Sharing (ICS)停止並設置啟動類型為禁用如下圖所示
第二步開啟VPN和NAT服務
然後再依次選擇開始程序管理工具路由和遠程訪問打開路由和遠程訪問服務窗口;再在窗口左邊右擊本地計算機名選擇配置並啟用路由和遠程訪問如下圖所示
在彈出的路由和遠程訪問服務器安裝向導中點下一步出現如下對話框
由於我們要實現NAT共享上網和VPN撥入服務器的功能所以我們選擇自定義配置選項點下一步;
在這裡我們選擇VPN訪問和NAT和基本防火牆選項點下一步在彈出的對話框中點完成系統會提示是否啟動服務點是系統會按剛才的配置啟動路由和遠程訪問服務最後如下圖所示;
第三步配置NAT服務
右擊NAT/基本防火牆選項選擇新增接口彈出如下對話框;
在這裡我們根據自己的網絡環境選擇連接Internet的接口選擇wan接口點確定彈出網絡地址轉換wan屬性對話框進行如下圖所示配置;
由於我們這個網卡是連接外網的所以選擇公用接口連接到Internet和在此接口上啟用NAT選項並選擇在此接口上啟用基本防火牆選項這對服務器的安全是非常重要的
下面我們點服務和端口設置服務器允許對外提供PPTP VPN服務在服務和端口界面裡點VPN網關(PPTP)在彈出的編輯服務對話框中進行如下圖設置;
點確定回到服務和端口選項卡確保選中VPN網關(PPTP)如下圖;
第四步根據需要設置VPN服務
設置連接數右擊右邊樹形目錄裡的端口選項選擇屬性彈出如下對話框;
Windows Server 企業版VPN服務默認支持個PPTP連接和個LTP連接因為我們這裡使用PPTP協議所以我們雙擊WAN微型端口(PPTP)選項在彈出的對話框裡根據自己的需要設置所需的連接數;Windows Server 企業版最多支持個LTP端口個PPTP端口
設置IP地址右擊右邊樹形目錄裡的本地服務器名選擇屬性並切換到IP選項卡(如下圖所示)
這裡我們選擇靜態地址池點添加根據需要接入數量任意添加一個地址范圍但是不要和本地IP地址沖突如下圖所示;
點確定回到IP選項卡點確定應用設置;
第五步設置遠程訪問策略允許指定用戶撥入
新建用戶和組點開始程序管理工具計算機管理彈出計算機管理對話框如下圖;
選擇本地用戶和組右擊用戶新用戶進行如下圖所示設置;
點擊創建新增一個用戶;
在右邊的樹形目錄中右擊組新建組添入組名點添加在彈出的選擇用戶對話框中點高級立即查找選擇剛才建立的TEST用戶把用戶加入剛才建立的組如下圖;
設置遠程訪問策略在路由和遠程訪問窗口右擊右面樹形目錄中的遠程訪問策略選擇新建遠程訪問策略在彈出的對話框中點下一步填入方便記憶的策略名點下一步選擇VPN選項點下一步點添加把剛才新建的組加入到這裡點下一步 下一步 下一步完成就完成了遠程策略的設置後面如果需要新的用戶需要VPN服務只要為該用戶新建一個帳號並加入剛才新建的TEST組就可以了
第六步設置動態域名
我們把動態域名放在這裡來說因為一般企業接入互聯網應該有固定IP這樣客戶機便可隨時隨地對服務端進行訪問;而如果你是家庭用戶采用的 ADSL寬帶接入的話那一般都是每次上網地址都不一樣的動態IP所以需在VPN服務器上安裝動態域名解析軟件才能讓客戶端在網絡中找到服務端並隨時可以撥入筆者常用的動態域名解析軟件為花生殼可以在下載其安裝及注意事項請參閱相關資料這裡不再詳述
六VPN客戶端配置
這一端配置相對簡單得多只需建立一個到VPN服務端的專用連接即可首先肯定客戶端也要接入internet網絡接著筆者同樣以windows 客戶端為例說明其它的winK操作系統設置都大同小異
第一步在桌面網上鄰居圖標點右鍵選屬性之後雙擊新建連接向導打開向導窗口後點下一步;接著在網絡連接類型窗口裡點選第二項連接到我的工作場所的網絡繼續下一步在如下圖所示網絡連接方式窗口裡選擇第二項虛擬專用網絡連接;接著為此連接命名後點下一步
第二步在VPN服務器選擇窗口裡等待我們輸入的是VPN服務端的固定內容可以是固定IP也可以是由花生殼軟件解析出來的動態域名(此域名需要在提供花生殼軟件的網站下載);接著出現的可用連接窗口保持只是我使用的默認選項;最後為方便操作可以勾選在桌面上建立快捷方式選項單擊完成即會先出現如下圖所示的VPN連接窗口輸入訪問VPN服務端合法帳戶後的操作就跟XP下遠程桌面功能一樣了連接成功後在右下角狀態欄會有圖標顯示
第三步連接後的共享操作只要有過一些局域網使用經驗的朋友應該知道怎麼做了吧?一種辦法是通過網上鄰居查找VPN服務端共享目錄;另一種辦法是在浏覽器裡輸入VPN服務端固定IP地址或動態域名也可打開共享目錄資源這其實已經跟在同一個局域網內的操作沒什麼區別了自然也就可以直接點擊某個視頻節目播放省去下載文件這一步所花時間了
七總結
到這裡我們已經實現了用一台Windows Server 操作系統做一台NAT和VPN遠程接入服務器實現公司或家庭共享上網和VPN遠程接入訪問本地局域網實現移動辦公但是這台服務器在安全性和功能上還有一定缺陷我將在後面的文章中陸續介紹搭建基於LTP OVER IPSEC的VPN服務器以增強數據在網絡傳輸中的安全性介紹搭建基於Microsoft Internet Security and Acceleration (ISA) Server 防火牆的遠程接入服務器介紹基於Microsoft Internet Security and Acceleration (ISA) Server 的站點到站點的虛擬專用網絡
From:http://tw.wingwit.com/Article/os/fwq/201311/10195.html
