|
為了給企業的員工提供更多的服務��,我們通常會在局域網內部搭建文件服務器����、應用程序服務器或打印服務器等���,一旦用離開單位(出差或在家辦公)就無法使用企業內部的這些共享資源了����,如何開發這些內網的共享資源給我們在外出差或在家辦公的用戶呢��?解決這個問題我們就要用到VPN(Virtual Private Network����,虛擬專用網)技術�����,利用internet公網建立一個以遠程訪問協議(Remote access protocol)為基礎的私有通道(tunnel)���,讓外網用戶能夠安全的訪問公司內部的資源�����。
通常在一些對網絡訪問性能極其安全、要求比較嚴格的網絡中會使用一些硬件VPN設備��,不過Windows Server 2008也完全可以勝任VPN的工作�,接下來我們先了解一下VPN的基礎知識����,然后再看一下具體的配置。
第一節 VPN部署場景及應用協議
在部署VPN時一般將其分為兩種連接方式���,一種是讓外網用戶通過互聯網訪問內網的共享資源,我們平時家里面用的寬帶撥號上網就是這種方式(PPPoE)��,也叫遠程訪問VPN連接(remote access VPN connection),如下圖所示:
圖: 1
另外一種應用方式一般用來解決分支機構與公司總部的連接��,因為分支機構的PC設備較多且集中�,第一種連接方式就顯得不夠智能��,我們更希望實現路由器與路由器之間的連接(route-to-route VPN connection)���,讓兩個局域網的計算機實現互聯互通�����,用戶即便是在異地,但感覺仍然是在一個網絡里(如圖2所示)�,這時候的VPN服務器我們稱之為 VPN網關(VPN gateway)�����。
圖: 2
我們將處于外網并通過VPN訪問的設備統稱為VPN客戶端,那么在公網中���,VPN客戶端是如何找到VPN服務器(第一種連接方式)、VPN網關與VPN網關(第二種連接方式)之間又是怎樣相互聯系的呢���?我們知道在TCP/IP網絡中��,數據的收發是由封裝不同的協議來確定源目標的,所以在互聯網中不同地方的VPN客戶端(或VPN服務器)與VPN服務器之間的的通訊也需要封裝特殊的協議,也就是專屬于VPN的PPP協議(Point-to-Point Protocol)��。
VPN客戶端(VPN服務器)與VPN服務器之間是通過互聯網傳輸數據�,當VPN客戶端(VPN服務器)與VPN服務器創建連接(建立私有通道)以后�,為了保證數據的安全�,必須要將通過私有通道傳輸的數據進行特殊的加密處理以防止被攔截����,如果沒有揭秘密鑰���,即便是被攔截也無法解密讀取�,Windows Server 2008支持的加密協議有:PPTP��、L2TP/IPSec和SSTP(SSL)���,在實施VPN解決方案時也一般以這三種加密協議為參考并實施���,在下面的章節里���,我們也會以此為例具體看一看它們的配置方法���。
但遠程的VPN客戶端連接到VPN服務器時���,必須要輸入正確的用戶名和密碼以驗證其身份�����,如果驗證成功,VPN用戶就可以訪問授權下的資源��,驗證失敗當然就會拒絕登陸了�����,為了防止用戶名和密碼被攔截破解,Windows Server 2008所支持的驗證協議(authentication protocol)也不一樣���。最基本的驗證協議是PAP(Password Authentication Protocol),但是其驗證密碼是以明文的形式發送的����,最不安全�����,在項目實施時一般不會使用這種方式。比PAP較安全的是CHAP(Challenge Handshake Authentication Protocol),與PAP相比,雖然CHAP比較安全����,但是CHAP不支持客戶端修改密碼�����,一旦VPN客戶端的身份驗證過期,將無法正常登陸。
更為安全的驗證協議是MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol Version2)和EAP(Extensible Authentication Protocol)�,其協議的驗證方式和數據加密解密的形式我就不細說了���,大家可以去找一下相關的文檔了解一下���。
第二節 PPTP應用實例
在部署VPN時最常用的協議就是PPTP協議了���,它默認的身份驗證方式是MS-CHAPv2����,我們也可以自定義選擇更為安全的EAP驗證����,如果采用MS-CHAPv2驗證���,建議VPN客戶端的密碼設置的復雜一些,以最大限度的降低被破解的可能。下面我們以圖3所示的拓撲環境來搭建一個測試平臺��,在這個環境中�����,我們需要一臺域控制器���,一臺VPN服務器��,并將其加入到域中作為域成員服務器,還有一臺NAT服務器(NAT服務器的部署方法請參見《實用window2008之三:NAT服務器的架設應用實例》),另外我們用一臺Windows7作為VPN客戶端���,域控、VPN和NAT都以Windows Server2008為搭建平臺,其中域控還要兼著文件服務器和DHCP服務器的角色���,
圖: 3
從上圖我們可以看出VPN服務器的內外網卡分屬于不同的網絡,我們將192.168.16.0網段稱之為內網��,192.168.10.0網段稱之為外網����,同時NAT服務器扮演路由的角色,用來轉換192.168.20.0 網段到192.168.10.0,我們用來做驗證的VPN客戶端就在192.168.20.0網段內,但我們搭建完畢實驗環境后����,可以先用PING命令測試一下(為了保證ping命令正確返回數據包����,可以將圖3所示的各計算機都關閉防火墻)���,我們會發現從VPN客戶端執行ping 通192.168.10.2(VPN服務器外網卡的IP地址)��,但卻不能ping通192.168.16.130(VPN服務器的內網卡),這個沒有關系��,我們配置完VPN后���,我們再來ping 192.168.16.130�,確定測試環境中的幾臺計算機都可以ping通后,我們接下來進入主題�����,看看PPTP VPN服務器的配置��。
Step1. 啟動圖3中的VPN服務器�,在“服務器管理器”中用添加角色向導的方法開始配置VPN�����,越過開始默認頁后選擇服務器角色----“網絡策略和訪問服務”���。
圖: 4
Step2. 跳過“網絡策略和訪問服務簡介”后選擇添加角色服務---路由和遠程訪問服務(RRAS)�。
圖: 5
Step3. 在“確定安裝選擇”界面中確定“安裝”�,安裝完畢后我們就可以關閉其界面了。
圖: 6
Step4. 在“開始”菜單中的“管理工具”中找到“路由和遠程訪問”選項���,打開后我們發現 “路由和遠程訪問”還是禁用狀態,在它上面點擊右鍵����,選擇“配置并啟用“路由和遠程訪問”打開“歡迎使用路由和遠程訪問服務器安裝向導”����。
圖: 7
Step5. 在接下來的界面中選擇“遠程訪問(撥號或VPN)”��,點擊“下一步”選擇“VPN”��,如果VPN服務器還兼職著NAT轉換讓內部客戶端也可以上網的話�����,我們就要選擇第三項:虛擬專用網絡(VPN)和NAT�����。
圖: 8
Step6. 選擇連接外網的網卡���,系統默認情況下會選中下面的復選框��,讓外網網卡只通過與VPN相關的數據包,而其他的數據包則會被拒絕��,這會增加服務器的安全性�,不過我們可以在設置完后,通過“輸入篩選器”和“輸出篩選器”更改設置����。
圖: 9
Step7. 選擇分配VPN客戶端的IP地址的方式�,可以選擇自動分配��,也可以指定一個IP地址范圍���,我們這里選擇“自動”����。
圖: 10
Step8. 這個界面是用來用戶名和密碼的�����,不過我們這個實例中的VPN服務器已經加入了域��,所以我們不需要RADIUS驗證�����,選擇“否”后進入“下一步”���。
圖: 11
Step9. 在下圖所示的界面中我們選擇“完成”按鈕后��,會有一個提示開啟DHCP中繼代理的窗口,點擊“確定”后完成所有的設置�����。
圖: 12
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.ibaoshan.net】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
