藉助VPN,企業外出人員可隨時連到企業的VPN服務器,進而連接到企業內部網絡。藉助windows2003的“路由和遠程訪問”服務,可以實現基於軟件的VPN。
VPN(Virtual Private Network)即虛擬專用網絡,通過一個公用網絡(如Internet)建立一個臨時的、安全的、模擬的點對點連接。這是一條穿越公用網絡的信息隧道,數據可以通過這條隧道在公用網絡中安全地傳輸。因此也可形象地稱之爲“網絡中的網絡”。而保證數據安全傳輸的關鍵就在於VPN使用了隧道協議,目前常用的隧道協議有PPTP、L2TP和IPSec。
VPN是基於Windows 2003,通過ADSL接入Internet的服務器和客戶端,連接方式爲客戶端通過Internet與服務器建立VPN連接。
VPN服務器需要兩塊網卡,一個連入內網一個連入外網。
Authentication(驗證):設置哪些用戶可以通過VPN訪問服務器資源。在DC上做身份驗證。
Authorization(授權):檢查客戶端是否可以撥入服務器,是否符合撥入條件(時間,協議……)
VPN工作原理:
VPN客戶端請求VPN服務器(請求撥入服務器)
VPN 服務器請求DC進行身份驗證,然後得到授權信息
VPN 服務器迴應VPN客戶端撥號請求。
VPN 服務器與客戶端建立連接,並開始傳送數據。
工作組模型下VPN服務器做身份驗證,撥號請求發送至SAM數據庫做身份驗證。
1. VPN使用的協議(隧道協議):PPTP,L2TP
2. PPTP:點對點傳輸協議,使用nicrosoft point-to-point encryption(MPPE)加密算法(默認採用協議)針對於internet。
L2TP:默認無加密算法,若想使用加密算法,結合IPsec。針對於internet、X.25、ATM
用戶帳號撥入權限:條件、權限、配置文件決定了客戶端是否可以撥入VPN網絡。
配置文件包括:撥入時間,IP地址範圍,是否支持多鏈路,何種身份驗證,是否加密。
配置過程:路由和遠程訪問-遠程訪問策略-進行相應時間,配置文件設置
配置VPN服務器步驟如下:
首先安裝“路由和遠程訪問”,或者在運行裏輸入“rrasmgmt.msc”,在彈出的“路由和遠程訪問”管理控制檯窗口中,單擊配置並啓用路由和遠程訪問,如圖所示:
彈出“路由和遠程訪問服務器安裝嚮導”對話框,單擊下一步,選中自定義配置,下一步,選擇自定義配置,如圖:
選中VPN訪問,下一步,如圖所示:
單擊完成。
在彈出的路由和遠程訪問對話框中,單擊是,如圖所示。
隨即,VPN服務即成功啓動。單擊服務器名稱-屬性,在彈出的對話框中選中 IP 選項卡,在IP地址指派中選中靜態地址池,單擊添加,如圖所示:
在起始IP地址和結束IP地址編輯框中輸入IP地址,單擊確定,如圖:
單擊確定;
提示:使用靜態IP地址池爲客戶端分配IP地址可以減少IP地址解析時間,提高連接速度。
起始IP地址和結束IP地址可以自定義一段IP地址(如192.168.0.10至192.168.0.50)如這臺主機已經配置了DHCP服務,也可以選擇動態主機配置協議(DHCP),會延長連接時間。
返回屬性對話框,單擊確定,完成初步配置操作。
提示:如果服務器端有固定的IP地址,則客戶端可隨時與服務器建立VPN連接。如果服務器採用ADSL撥號方式接入Internet,則需要在每次更改IP地址後通知客戶端,或者申請動態域名解析服務。
賦予用戶遠程連接的權限
出於安全考慮,VPN服務器配置完成以後所有用戶均被拒絕撥入到服務上(初始狀態)因此需要爲指定用戶賦予撥入權限,操作步驟如下:
1. VPN服務器中右擊我的電腦,選擇管理。
在彈出的計算機管理窗口,展開本地用戶和組,選中用戶。如圖:
如果計算機加入了域,則單擊AD用戶和計算機中的user組中的用戶,如圖:
2. 在test屬性對話框中,單擊撥入選項卡。在遠程訪問權限中選中允許訪問,單擊確定,如圖所示:
提示:如果域功能級別爲windows2000混合模式,則“通過遠程訪問策略控制訪問”不可選,提升域功能級別即可。
3. 其實此爲安全性最差的撥入方式,建議選中通過遠程訪問策略控制訪問,這需要在服務器中定製遠程訪問策略(若爲AD域環境下,須將域功能級別提升到03以上)
完成VPN服務器的配置操作,並賦予特定用戶遠程連接VPN服務器的權限以後,還需要在客戶端中創建VPN連接並撥入VPN服務器,才能實現對企業內部網絡的訪問。
客戶端創建VPN連接
客戶端配置比較簡單,只需建立一個VPN的專用連接即可。
假設客戶端已建立了一個接入Internet的ADSL連接,創建VPN連接的步驟如下所述:
1. 桌面右擊網上鄰居->屬性,打開網絡連接。單擊新建連接,如圖所示:
2. 彈出“歡迎使用新建連接嚮導”,下一步,網絡連接類型頁面中選擇“連接到我的工作場所的網絡”。下一步,如圖所示:
3. 選擇“虛擬專用網絡連接”,下一步;
提示:如果是第一次建立連接,系統會要求輸入所在地區的電話區號。如果在建立VPN連接前已經建立了其他連接(如ADSL接入Internet的連接)則不會出現該提示。
4. 在連接名對話框中,在公司名中,輸入連接名稱(連接到sungh.com域)單擊下一步;
5. VPN服務器選擇中,選擇主機名或者IP地址,下一步;
6. 可用連接上選擇“只是我使用”,單擊下一步;
7. 在完成新建連接嚮導中,選擇“在我的桌面上添加一個到此連接的快捷方式”,完成;
爲了避免出現成功連接VPN服務器後客戶端不能訪問Internet的問題,用戶還需要對剛剛創建的“企業VPN連接”做簡單的配置。
在“網絡連接”窗口中右擊企業VPN連接->屬性,切換至“網絡”選項卡,選擇Internet協議(TCP/IP),如圖;
單擊屬性,在彈出的對話框中,選擇高級,如圖;
在“高級TCP/IP設置”對話框的“常規”中取消選中的“在遠程網絡上使用默認網關”,單擊確定,如圖所示。
客戶端VPN連接配置完畢,用戶已經具備了在VPN服務器和客戶端建立VPN連接的條件。
單擊桌面上的企業VPN連接,輸入用戶名和密碼(被賦予權限的用戶名和密碼),如圖:
成功建立VPN連接以後,可以雙擊桌面右下角的VPN連接圖標查看其狀態,如圖所示;
如何訪問VPN服務器上的共享資源呢,有兩種方法:
1) 通過“網上鄰居”直接訪問共享資源;
2) 通過UNC路徑訪問,即在地址欄中輸入“\\服務器名”或\\服務器地址,通過瀏覽器窗口訪問共享資源。
提示:在成功建立VPN連接後可能會出現客戶端和服務端的“網上鄰居”窗口中無法找到對方的問題,這時應該檢查兩者是否均安裝了NetBEUI協議。如果沒有應該馬上安裝,通常可以解決該問題。
如果客戶端在訪問服務器端的共享資源的時候可能會出現長時間的搜索過程。如果遲遲找不到服務器,可以使用“搜索計算機”進行搜索。
如果VPN服務器端同時又作爲局域網內的一臺主機,用戶還可以讓VPN客戶端進一步訪問局域網內的其他主機。這需要VPN服務端開啓了路由器功能並啓用了IP路由,不過在VPN服務器配置完成後這些功能都是默認啓用的。