|
尽管术语虚拟专用网络 (VPN)定义相当广泛但大多数业内专家使用 VPN 代表的是通过公用网络(比如 Internet)建立专用虚拟隧道通过 VPN数据被封装成数据包经由公用网络安全地传输数据包标头包含路由信息Windows 支持第 层(数据链路层)隧道协议比如 PPTP 和 LTP这些协议先将数据封装进 PPP 帧然后再通过线路进行传输第 层(网络层)隧道协议(如 IPSec)也受支持在这里 IP 数据包在传输前先被封装进 IP 标头 VPN 方案 利用 VPN 有许多种方式但可能最通常的方案是远程用户通过 VPN 隧道访问企业网络在其他方案中远程办公室可以使用持续的或请求拨号 VPN 连接方式连接企业网络VPN 还可以部署在外部网方案中以便与商业伙伴进行安全通讯本文将讨论第一种方案下的 VPN 部署即远程用户通过 VPN 隧道连接企业网络 为 VPN 配置 Windows Server 要配置 VPN 服务器计算机必须至少有两个接口要设置 Windows server 用于 VPN请使用以下步骤 打开管理工具中的路由和远程访问控制台 右键单击服务器然后单击配置并启用路由和远程访问 安装向导启动单击下一步 选择手动配置服务器如图 所示单击下一步 单击完成结束安装向导 图 在服务器上启用 VPN 请不要使用虚拟专用网络 (VPN) 服务器选项路由和远程访问向导不允许路由解释请见 Microsoft Knowledge Base 文章 QVPN 选项为传入 VPN 连接配置服务器并通过配置筛选器只允许 PPTP 或 LTP 通信来保护服务器如果这正是您所需要的则不必担心但请注意使用该选项将导致路由和远程访问阻止除 PPTP 和 LTP 之外的所有数据包 在用户能够使用 VPN 连接您的服务器前还需要采取一个步骤即需要给用户相应的拨入权限以访问网络这可以通过在远程访问策略中授予用户远程访问权限来实现如图 所示也可以通过在 Active Directory用户和计算机中基于每用户配置拨入权限来实现 图 授予远程访问权限 默认情况下所创建的 VPN 端口数目有所不同具体取决于是否选择最后一个选项手动配置服务器如果选择了该选项则只创建 个 PPTP 和 个 LTP 端口如果选择了中间选项虚拟专用网络 (VPN) 服务器则创建 个 PPTP 和 个 LTP 端口通过选择路由和远程访问控制台中的端口属性您始终可以调整端口数 备注 如果 VPN 客户端要通过路由器或防火墙并且使用的是 PPTP请确保允许 TCP 端口 和 IP 协议 ID (GRE 常规路由封装)通过路由器或防火墙如果使用的是 LTP则需要打开 UDP 端口 (IKE)协议 ID (IPSec ESP) 和协议 ID (IPSec AH) 客户端配置 要连接企业端的 VPN 服务器首先需要保证能够通过拨入 ISP 连接 Internet除非拥有对 Internet 的专用连接(比如 DSL)才不需要拨号连接到 Internet 即让您置身于企业 VPN 服务器所连接的同一全球 Internet 主干网上然后您建立第二连接以创建 VPN 隧道 要创建到企业服务器的第二连接请按以下步骤操作 转到开始设置网络和拨号连接然后选择建立新连接来启动网络连接向导 在网络连接类型屏幕上选择通过 Internet 连接到专用网络如图 所示 在公用网络屏幕上您可以如此配置建立到企业 VPN 服务器的第二连接之前首先自动拨叫 ISP只有在使用调制解调器或 ISDN拨入ISP 以连接 Internet 时才可使用该选项 按照屏幕上的说明完成向导 图 网络连接类型 默认情况下使用该连接时只具有键入用户名和密码的选项要添加域选项请单击属性然后在选项选项卡上选择包含 Windows 登录域框如图 所示 视连接 VPN 服务器方式的不同您将使用 MPPE 加密或 IPSec 加密如果连接到 PPTP 服务器则使用 MPPE但如果连接到 LTP 服务器则使用 IPSec默认情况下VPN 被配置为自动服务器类型这意味着在尝试使用 MPPE 加密的 PPTP 之前首先尝试使用 IPSec 加密的 LTPMPPE 的工作方式与 IPSec 不同由于数据包到达目的地的先后顺序不同MPPE 使用标头中的序列号来跟蹤数据包MPPE 根据序列号来更改每个数据包的加密密钥使用 LTP 连接需要 IPSec 证书如果在建立 VPN 连接时遇到问题请尝试选择 PPTP 代替默认的自动选项作为连接类型如果选择了自动设置而不能协商 IPSec 会话则在它退到 PPTP 之前可能需要等待很长时间(最长可达 分钟) 通过在远程访问策略的属性下选择编辑配置文件可以配置四个加密选项在加密选项卡上您可以选择无加密基本强或最强加密最强加密( 位)只有在安装了 Windows High Encryption Pack 的情况下可用(推荐安装Windows Service Pack ) 下表显示了拨号和 PPTP 与 IPSec 上的 LTP VPN 连接加密类型的比较 了解数据包结构 PPTP 数据包结构 图 (下图)显示了通过隧道时 PPTP 数据包的结构首先通过将加密的 PPP 数据与 PPP 标头封装在一起来创建 PPP 帧然后将 PPP 帧与 GRE 标头封装在一起再后将生成的有效负载与 IP 标头封装在一起IP 标头中包含源 IP 地址和目标 IP 地址的信息最后该 IP 数据文报与数据链路层标头和尾端封装在一起视所使用技术的不同数据链路层标头和尾端也有所不同例如当通过以太网发送 IP 数据文报时它与以太网标头和尾端一起封装当通过模拟电话线路发送时它与 PPP 标头和尾端一起封装等等当数据包到达目的地时各标头以相反的顺序剥离首先数据链路层标头和尾端被除去然后 IPGRE 和 PPP 标头被依次剥离最后PPP 数据被解密 图 PPTP 数据包结构 LTP 数据包结构 LTP 的数据包结构与 PPTP 有些类似也有一些标头添加到 PPP 数据中图 显示了 LTP 数据包的结构请注意UDP 标头和 IPSec 尾端间的所有数据均被加密 图 LTP 数据包结构 流行的解决方案 VPN 是远程办公者对企业网络进行安全访问的有效方法它通过公用网络提供 LAN 的安全扩展因此在远程分支机构和外部网方案中也很有用与传统的拨号解决方案相比VPN 由于其易于管理和总体拥有成本更低而变得非常流行 |
