近来
随着中国经济的腾飞
各种工业企业投资增加
中国已经成为世界的制造中心
大型生产型
经营型企业的生产
调度早已经就严重依赖于网络
随着企业规模的不断扩大异地分支机构办事处连锁超市经营部门生产部门以及投资管理机构甚至出差人员对中心的数据越来越敏感因此这些企业大都已经或者正准备安装大型网络型ERP/财务软件用以满足以上各类需求然而企业在付出高昂的软件安装部署实施费用后大都为如何减少软件的运行费用而忧心重重互联网的方便高速和覆盖并没有被企业网充分利用因为任何企业的IT经理都不会将企业内部网直接连接到互联网企业内部网与互联网之间都会设置防火墙只允许内部网络结点向互联网发起请求进行互联网的访问但不允许通过互联网结点访问企业内部的信息因此公司老总很晚才下班要在公司处理完所有的数据邮件尽管家中有宽带但那是互联网接入不能接到公司内部网络;出差在外的员工必须拔打昂贵的号码或长途电话才能访问公司内部信息以大约Kbps的速率连接到公司内部网络酒店的宽带接口却放在一边不能用有什么好办法既能保证数据传输的安全性又能降低运行成本呢?DDN专线吗肯定不行相关设备的安装难度路由器等网络设备的大笔投入不说光是每月昂贵的租用费用随着分支机构的增加这种负担正成为企业支出费用的大笔开销!利用传统的拨号线路吗?缓慢的速度设备安装调试管理维护的问题更是让企业信息负责人望而却步有没有一种更好的解决方案呢?怎样才能利用高速便利的互联网接入安全地实现移动办公在家办公呢?答案是远程接入VPN
一什么是VPN?
虚拟专用网(VPNVirtual Private Network)是一种利用公共网络来构建的私人专用网络技术不是真的专用网络但却能够实现专用网络的功能虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术 在虚拟专用网中任意两个节点之间的连接并没有传统专网所需的端到端的物理链路而是利用某种公众网的资源动态组成的IETF草案理解基于IP的VPN为使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术所谓虚拟是指用户不再需要拥有实际的长途数据线路而是使用Internet公众数据网络的长途数据线路所谓专用网络是指用户可以为自己制定一个最符合自己需求的网络
二VPN的安全性
目前VPN主要采用四项技术来保证安全这四项技术分别是隧道技术(Tunneling)加解密技术(Encryption & Decryption)密钥管理技术(Key Management)使用者与设备身份认证技术(Authentication)
隧道技术
隧道技术是VPN的基本技术类似于点对点连接技术它在公用网建立一条数据通道(隧道)让数据包通过这条隧道传输隧道是由隧道协议形成的分为第二三层隧道协议第二层隧道协议是先把各种网络协议封装到PPP中再把整个数据包装入隧道协议中这种双层封装方法形成的数据包靠第二层协议进行传输第二层隧道协议有LFPPTPLTP等LTP协议是目前IETF的标准由IETF融合PPTP与LF而形成 第三层隧道协议是把各种网络协议直接装入隧道协议中形成的数据包依靠第三层协议进行传输第三层隧道协议有VTPIPSec等IPSec(IP Security)是由一组RFC文档组成定义了一个系统来提供安全协议选择安全算法确定服务所使用密钥等服务从而在IP层提供安全保障
加解密技术
加解密技术是数据通信中一项较成熟的技术VPN可直接利用现有技术
密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种SKIP主要是利用DiffieHellman的演算法则在网络上传输密钥;在ISAKMP中双方都有两把密钥分别用于公用私用
使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式目前这方面做的比较成熟的有国内的深信福科技的VPN解决方案
三VPN网络的可用性
通过VPN企业可以以更低的成本连接远程办事机构出差人员以及业务合作伙伴关键业务虚拟网组成之后远程用户只需拥有本地ISP的上网权限就可以访问企业内部资源这对于流动性大分布广泛的企业来说很有意义特别是当企业将VPN服务延伸到合作伙伴方时便能极大地降低网络的复杂性和维护费用
VPN技术的出现及成熟为企业实施ERP财务软件移动办公提供了最佳的解决方案
一方面VPN利用现有互联网在互联网上开拓隧道充分利用企业现有的上网条件无需申请昂贵的DDN专线运营成本低
另一方面VPN利用IPSEC等加密技术使在通道内传输的数据有着高达位的加密措施充分保证了数据在VPN通道内传输的安全性
四VPN网络的可管理性
随着技术的进步各种VPN软硬件解决方案都包含了路由防火墙VPN网关等三方面的功能企业或政府通过购买VPN设备达到一物多用的功效既满足了远程互联的要求而且还能在相当程度上防止黑客的攻击并能根据时间IP内容Mac地址服务内容访问内容等多种服务来限制企业公司内部员工上网时的行为一举多得
VPN设备的安装调试管理维护都极为简单而且都支持远程管理大多数VPN硬件设备甚至可通过中央管理器进行集中式的管理维护出差人员也可以通过客户端软件与中心的VPN设备建立VPN通道从而达到访问中心数据等资源的目的让互联无处不在极大地方便了企业及政府的数据语音视频等方面的应用
五windows 实现NAT地址转换和VPN服务器
下面我们介绍一下通过Windows Server操作系统自带的路由和远程访问功能来实现NAT共享上网和VPN网关的功能网络拓扑图如下我们要实现在异地通过VPN客户端访问总部局域网各种服务器资源
第一步系统前期准备工作
服务器硬件双网卡一块接外网一块接局域网在windows中VPN服务称之为路由和远程访问默认状态已经安装只需对此服务进行必要的配置使其生效即可
首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务如果开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话在配置路由和远程访问时系统会弹出如下对话框
我们只要去开始程序管理工具服务里面把Windows Firewall/Internet Connection Sharing (ICS)停止并设置启动类型为禁用如下图所示
第二步开启VPN和NAT服务
然后再依次选择开始程序管理工具路由和远程访问打开路由和远程访问服务窗口;再在窗口左边右击本地计算机名选择配置并启用路由和远程访问如下图所示
在弹出的路由和远程访问服务器安装向导中点下一步出现如下对话框
由于我们要实现NAT共享上网和VPN拨入服务器的功能所以我们选择自定义配置选项点下一步;
在这里我们选择VPN访问和NAT和基本防火墙选项点下一步在弹出的对话框中点完成系统会提示是否启动服务点是系统会按刚才的配置启动路由和远程访问服务最后如下图所示;
第三步配置NAT服务
右击NAT/基本防火墙选项选择新增接口弹出如下对话框;
在这里我们根据自己的网络环境选择连接Internet的接口选择wan接口点确定弹出网络地址转换wan属性对话框进行如下图所示配置;
由于我们这个网卡是连接外网的所以选择公用接口连接到Internet和在此接口上启用NAT选项并选择在此接口上启用基本防火墙选项这对服务器的安全是非常重要的
下面我们点服务和端口设置服务器允许对外提供PPTP VPN服务在服务和端口界面里点VPN网关(PPTP)在弹出的编辑服务对话框中进行如下图设置;
点确定回到服务和端口选项卡确保选中VPN网关(PPTP)如下图;
第四步根据需要设置VPN服务
设置连接数右击右边树形目录里的端口选项选择属性弹出如下对话框;
Windows Server 企业版VPN服务默认支持个PPTP连接和个LTP连接因为我们这里使用PPTP协议所以我们双击WAN微型端口(PPTP)选项在弹出的对话框里根据自己的需要设置所需的连接数;Windows Server 企业版最多支持个LTP端口个PPTP端口
设置IP地址右击右边树形目录里的本地服务器名选择属性并切换到IP选项卡(如下图所示)
这里我们选择静态地址池点添加根据需要接入数量任意添加一个地址范围但是不要和本地IP地址沖突如下图所示;
点确定回到IP选项卡点确定应用设置;
第五步设置远程访问策略允许指定用户拨入
新建用户和组点开始程序管理工具计算机管理弹出计算机管理对话框如下图;
选择本地用户和组右击用户新用户进行如下图所示设置;
点击创建新增一个用户;
在右边的树形目录中右击组新建组添入组名点添加在弹出的选择用户对话框中点高级立即查找选择刚才建立的TEST用户把用户加入刚才建立的组如下图;
设置远程访问策略在路由和远程访问窗口右击右面树形目录中的远程访问策略选择新建远程访问策略在弹出的对话框中点下一步填入方便记忆的策略名点下一步选择VPN选项点下一步点添加把刚才新建的组加入到这里点下一步 下一步 下一步完成就完成了远程策略的设置后面如果需要新的用户需要VPN服务只要为该用户新建一个帐号并加入刚才新建的TEST组就可以了
第六步设置动态域名
我们把动态域名放在这里来说因为一般企业接入互联网应该有固定IP这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话那一般都是每次上网地址都不一样的动态IP所以需在VPN服务器上安装动态域名解析软件才能让客户端在网络中找到服务端并随时可以拨入笔者常用的动态域名解析软件为花生壳可以在下载其安装及注意事项请参阅相关资料这里不再详述
六VPN客户端配置
这一端配置相对简单得多只需建立一个到VPN服务端的专用连接即可首先肯定客户端也要接入internet网络接着笔者同样以windows 客户端为例说明其它的winK操作系统设置都大同小异
第一步在桌面网上邻居图标点右键选属性之后双击新建连接向导打开向导窗口后点下一步;接着在网络连接类型窗口里点选第二项连接到我的工作场所的网络继续下一步在如下图所示网络连接方式窗口里选择第二项虚拟专用网络连接;接着为此连接命名后点下一步
第二步在VPN服务器选择窗口里等待我们输入的是VPN服务端的固定内容可以是固定IP也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的网站下载);接着出现的可用连接窗口保持只是我使用的默认选项;最后为方便操作可以勾选在桌面上建立快捷方式选项单击完成即会先出现如下图所示的VPN连接窗口输入访问VPN服务端合法帐户后的操作就跟XP下远程桌面功能一样了连接成功后在右下角状态栏会有图标显示
第三步连接后的共享操作只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过网上邻居查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源这其实已经跟在同一个局域网内的操作没什么区别了自然也就可以直接点击某个视频节目播放省去下载文件这一步所花时间了
七总结
到这里我们已经实现了用一台Windows Server 操作系统做一台NAT和VPN远程接入服务器实现公司或家庭共享上网和VPN远程接入访问本地局域网实现移动办公但是这台服务器在安全性和功能上还有一定缺陷我将在后面的文章中陆续介绍搭建基于LTP OVER IPSEC的VPN服务器以增强数据在网络传输中的安全性介绍搭建基于Microsoft Internet Security and Acceleration (ISA) Server 防火墙的远程接入服务器介绍基于Microsoft Internet Security and Acceleration (ISA) Server 的站点到站点的虚拟专用网络
