|
為了給企業(yè)的員工提供更多的服務(wù)�,我們通常會(huì)在局域網(wǎng)內(nèi)部搭建文件服務(wù)器、應(yīng)用程序服務(wù)器或打印服務(wù)器等,一旦用離開(kāi)單位(出差或在家辦公)就無(wú)法使用企業(yè)內(nèi)部的這些共享資源了,如何開(kāi)發(fā)這些內(nèi)網(wǎng)的共享資源給我們?cè)谕獬霾罨蛟诩肄k公的用戶(hù)呢?解決這個(gè)問(wèn)題我們就要用到VPN(Virtual Private Network�,虛擬專(zhuān)用網(wǎng))技術(shù)���,利用internet公網(wǎng)建立一個(gè)以遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議(Remote access protocol)為基礎(chǔ)的私有通道(tunnel)�,讓外網(wǎng)用戶(hù)能夠安全的訪(fǎng)問(wèn)公司內(nèi)部的資源。
通常在一些對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)性能極其安全���、要求比較嚴(yán)格的網(wǎng)絡(luò)中會(huì)使用一些硬件VPN設(shè)備��,不過(guò)Windows Server 2008也完全可以勝任VPN的工作�,接下來(lái)我們先了解一下VPN的基礎(chǔ)知識(shí)�����,然后再看一下具體的配置�����。
第一節(jié) VPN部署場(chǎng)景及應(yīng)用協(xié)議
在部署VPN時(shí)一般將其分為兩種連接方式�����,一種是讓外網(wǎng)用戶(hù)通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)的共享資源�����,我們平時(shí)家里面用的寬帶撥號(hào)上網(wǎng)就是這種方式(PPPoE)���,也叫遠(yuǎn)程訪(fǎng)問(wèn)VPN連接(remote access VPN connection),如下圖所示:
圖: 1
另外一種應(yīng)用方式一般用來(lái)解決分支機(jī)構(gòu)與公司總部的連接�,因?yàn)榉种C(jī)構(gòu)的PC設(shè)備較多且集中����,第一種連接方式就顯得不夠智能,我們更希望實(shí)現(xiàn)路由器與路由器之間的連接(route-to-route VPN connection)��,讓兩個(gè)局域網(wǎng)的計(jì)算機(jī)實(shí)現(xiàn)互聯(lián)互通���,用戶(hù)即便是在異地�,但感覺(jué)仍然是在一個(gè)網(wǎng)絡(luò)里(如圖2所示)��,這時(shí)候的VPN服務(wù)器我們稱(chēng)之為 VPN網(wǎng)關(guān)(VPN gateway)����。
圖: 2
我們將處于外網(wǎng)并通過(guò)VPN訪(fǎng)問(wèn)的設(shè)備統(tǒng)稱(chēng)為VPN客戶(hù)端,那么在公網(wǎng)中�����,VPN客戶(hù)端是如何找到VPN服務(wù)器(第一種連接方式)�、VPN網(wǎng)關(guān)與VPN網(wǎng)關(guān)(第二種連接方式)之間又是怎樣相互聯(lián)系的呢?我們知道在TCP/IP網(wǎng)絡(luò)中��,數(shù)據(jù)的收發(fā)是由封裝不同的協(xié)議來(lái)確定源目標(biāo)的,所以在互聯(lián)網(wǎng)中不同地方的VPN客戶(hù)端(或VPN服務(wù)器)與VPN服務(wù)器之間的的通訊也需要封裝特殊的協(xié)議����,也就是專(zhuān)屬于VPN的PPP協(xié)議(Point-to-Point Protocol)。
VPN客戶(hù)端(VPN服務(wù)器)與VPN服務(wù)器之間是通過(guò)互聯(lián)網(wǎng)傳輸數(shù)據(jù)�,當(dāng)VPN客戶(hù)端(VPN服務(wù)器)與VPN服務(wù)器創(chuàng)建連接(建立私有通道)以后,為了保證數(shù)據(jù)的安全�,必須要將通過(guò)私有通道傳輸?shù)臄?shù)據(jù)進(jìn)行特殊的加密處理以防止被攔截,如果沒(méi)有揭秘密鑰�,即便是被攔截也無(wú)法解密讀取,Windows Server 2008支持的加密協(xié)議有:PPTP���、L2TP/IPSec和SSTP(SSL)��,在實(shí)施VPN解決方案時(shí)也一般以這三種加密協(xié)議為參考并實(shí)施�,在下面的章節(jié)里�����,我們也會(huì)以此為例具體看一看它們的配置方法�。
但遠(yuǎn)程的VPN客戶(hù)端連接到VPN服務(wù)器時(shí),必須要輸入正確的用戶(hù)名和密碼以驗(yàn)證其身份����,如果驗(yàn)證成功,VPN用戶(hù)就可以訪(fǎng)問(wèn)授權(quán)下的資源���,驗(yàn)證失敗當(dāng)然就會(huì)拒絕登陸了�,為了防止用戶(hù)名和密碼被攔截破解��,Windows Server 2008所支持的驗(yàn)證協(xié)議(authentication protocol)也不一樣�。最基本的驗(yàn)證協(xié)議是PAP(Password Authentication Protocol),但是其驗(yàn)證密碼是以明文的形式發(fā)送的���,最不安全���,在項(xiàng)目實(shí)施時(shí)一般不會(huì)使用這種方式。比PAP較安全的是CHAP(Challenge Handshake Authentication Protocol)�����,與PAP相比�,雖然CHAP比較安全,但是CHAP不支持客戶(hù)端修改密碼�����,一旦VPN客戶(hù)端的身份驗(yàn)證過(guò)期�����,將無(wú)法正常登陸。
更為安全的驗(yàn)證協(xié)議是MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol Version2)和EAP(Extensible Authentication Protocol)����,其協(xié)議的驗(yàn)證方式和數(shù)據(jù)加密解密的形式我就不細(xì)說(shuō)了,大家可以去找一下相關(guān)的文檔了解一下����。
第二節(jié) PPTP應(yīng)用實(shí)例
在部署VPN時(shí)最常用的協(xié)議就是PPTP協(xié)議了,它默認(rèn)的身份驗(yàn)證方式是MS-CHAPv2��,我們也可以自定義選擇更為安全的EAP驗(yàn)證�,如果采用MS-CHAPv2驗(yàn)證,建議VPN客戶(hù)端的密碼設(shè)置的復(fù)雜一些�,以最大限度的降低被破解的可能。下面我們以圖3所示的拓?fù)洵h(huán)境來(lái)搭建一個(gè)測(cè)試平臺(tái)�����,在這個(gè)環(huán)境中�,我們需要一臺(tái)域控制器,一臺(tái)VPN服務(wù)器����,并將其加入到域中作為域成員服務(wù)器��,還有一臺(tái)NAT服務(wù)器(NAT服務(wù)器的部署方法請(qǐng)參見(jiàn)《實(shí)用window2008之三:NAT服務(wù)器的架設(shè)應(yīng)用實(shí)例》),另外我們用一臺(tái)Windows7作為VPN客戶(hù)端���,域控�����、VPN和NAT都以Windows Server2008為搭建平臺(tái)�����,其中域控還要兼著文件服務(wù)器和DHCP服務(wù)器的角色��,
圖: 3
從上圖我們可以看出VPN服務(wù)器的內(nèi)外網(wǎng)卡分屬于不同的網(wǎng)絡(luò)���,我們將192.168.16.0網(wǎng)段稱(chēng)之為內(nèi)網(wǎng),192.168.10.0網(wǎng)段稱(chēng)之為外網(wǎng)�����,同時(shí)NAT服務(wù)器扮演路由的角色����,用來(lái)轉(zhuǎn)換192.168.20.0 網(wǎng)段到192.168.10.0�,我們用來(lái)做驗(yàn)證的VPN客戶(hù)端就在192.168.20.0網(wǎng)段內(nèi)����,但我們搭建完畢實(shí)驗(yàn)環(huán)境后,可以先用PING命令測(cè)試一下(為了保證ping命令正確返回?cái)?shù)據(jù)包����,可以將圖3所示的各計(jì)算機(jī)都關(guān)閉防火墻),我們會(huì)發(fā)現(xiàn)從VPN客戶(hù)端執(zhí)行ping 通192.168.10.2(VPN服務(wù)器外網(wǎng)卡的IP地址)�,但卻不能ping通192.168.16.130(VPN服務(wù)器的內(nèi)網(wǎng)卡),這個(gè)沒(méi)有關(guān)系����,我們配置完VPN后,我們?cè)賮?lái)ping 192.168.16.130�����,確定測(cè)試環(huán)境中的幾臺(tái)計(jì)算機(jī)都可以ping通后�����,我們接下來(lái)進(jìn)入主題�����,看看PPTP VPN服務(wù)器的配置。
Step1. 啟動(dòng)圖3中的VPN服務(wù)器�,在“服務(wù)器管理器”中用添加角色向?qū)У姆椒ㄩ_(kāi)始配置VPN,越過(guò)開(kāi)始默認(rèn)頁(yè)后選擇服務(wù)器角色----“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)”����。
圖: 4
Step2. 跳過(guò)“網(wǎng)絡(luò)策略和訪(fǎng)問(wèn)服務(wù)簡(jiǎn)介”后選擇添加角色服務(wù)---路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)(RRAS)�����。
圖: 5
Step3. 在“確定安裝選擇”界面中確定“安裝”��,安裝完畢后我們就可以關(guān)閉其界面了�。
圖: 6
Step4. 在“開(kāi)始”菜單中的“管理工具”中找到“路由和遠(yuǎn)程訪(fǎng)問(wèn)”選項(xiàng),打開(kāi)后我們發(fā)現(xiàn) “路由和遠(yuǎn)程訪(fǎng)問(wèn)”還是禁用狀態(tài)�,在它上面點(diǎn)擊右鍵,選擇“配置并啟用“路由和遠(yuǎn)程訪(fǎng)問(wèn)”打開(kāi)“歡迎使用路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器安裝向?qū)?rdquo;���。
圖: 7
Step5. 在接下來(lái)的界面中選擇“遠(yuǎn)程訪(fǎng)問(wèn)(撥號(hào)或VPN)”��,點(diǎn)擊“下一步”選擇“VPN”�,如果VPN服務(wù)器還兼職著NAT轉(zhuǎn)換讓內(nèi)部客戶(hù)端也可以上網(wǎng)的話(huà)����,我們就要選擇第三項(xiàng):虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)和NAT�����。
圖: 8
Step6. 選擇連接外網(wǎng)的網(wǎng)卡��,系統(tǒng)默認(rèn)情況下會(huì)選中下面的復(fù)選框����,讓外網(wǎng)網(wǎng)卡只通過(guò)與VPN相關(guān)的數(shù)據(jù)包�����,而其他的數(shù)據(jù)包則會(huì)被拒絕��,這會(huì)增加服務(wù)器的安全性�,不過(guò)我們可以在設(shè)置完后,通過(guò)“輸入篩選器”和“輸出篩選器”更改設(shè)置�����。
圖: 9
Step7. 選擇分配VPN客戶(hù)端的IP地址的方式����,可以選擇自動(dòng)分配��,也可以指定一個(gè)IP地址范圍����,我們這里選擇“自動(dòng)”���。
圖: 10
Step8. 這個(gè)界面是用來(lái)用戶(hù)名和密碼的�,不過(guò)我們這個(gè)實(shí)例中的VPN服務(wù)器已經(jīng)加入了域�����,所以我們不需要RADIUS驗(yàn)證�,選擇“否”后進(jìn)入“下一步”����。
圖: 11
Step9. 在下圖所示的界面中我們選擇“完成”按鈕后,會(huì)有一個(gè)提示開(kāi)啟DHCP中繼代理的窗口����,點(diǎn)擊“確定”后完成所有的設(shè)置。
圖: 12
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話(huà):0371-63322206
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
