Windows Server 2003实现VPN 的配置

Windows Server 2003实现VPN 的配置

一、虚拟专用网的概述
  虚拟专用网（Virtual Private Network，简称VPN）涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN连接可以通过Internet提供远程访问和到专用网络的路由选择连接。通过建立的VPN连接，使用自动安装在计算机上的点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP)，就可以经由Internet或其他网络连接到Windows server 2003远程访问服务器（即VPN服务器）来安全地访问内部网络资源。
二、虚拟机专用网的特点
  1、 降低成本费用，利用Internet构建虚拟专用网，可将高额的专线费用大大缩减为少量的Internet接入费用。
  2、 支持新兴应用，许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN可支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等，而且随着网络接入技术的发展，新型的VPN技术可以支持诸如ADSL、Cable Modem之类的宽带技术。
  3、 网络协议支持，VPN支持最常用的网络协议，这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。新的VPN技术可以全面支持如AppleTalk、DECNet、SNA等几乎所有的局域网协议，应用更加全面。
  4、增强安全性，目前VPN主要采用四项技术来保证数据通信安全，这四项技术分别是隧道技术，加解密技术，密钥管理技术，身份认证技术。在用户身份验证安全技术方面，VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证，这些验证方法包括:密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP)；在数据加密和密钥管理方面VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密，并采用公、私密钥对的方法对密钥进行管理。MPPE使 Windows 95、98和 NT 4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输，并具有最小的公共密钥开销。以上的身份验证和加密手段由远程VPN服务器强制执行。对于采用拨号方式建立VPN连接的情况下，VPN连接可以实现双重数据加密，使网络数据传输更安全。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。
三、建立VPN所必备的基本条件
  1、所有的远程终端用户能够接入Internet
  2、 至少有一个局域网使用公共IP地址接入Internet
  3、各个局域网所使用的内部网段必须彼此独立;移动用户终端的IP地址既不能彼此相同，也不能属于某个局域网所使用的网段。
四、实验网络连接示意图

五、实验配置过程
注：实验中，作为VPN服务器的主机需配置两块网卡，分别用于连接内部网络和接入Internet.
(1)依次进入“开始”——“所有程序”——“管理工具”，选择并单击“路由和远程访问”，打开控制台，
(2)选中服务器并右击，选择并单击“配置并启用路由和远程访问”。

(3)选择"远程访问(拨号或VPN)",单击“下一步”。

(4)在“远程访问”一步，选择"VPN"，单击“下一步”。
(5)选择连接到Internet的网络接口，这里为“本地连接-外”，单击“下一步”。

(6)在“IP地址指定”一步需要选择为远程VPN客户端指派IP地址的方法。由于本机没有配置DHCP服务器，因此需要选择为“来自一个指定的地址范围”，然后单击“下一步”。
(7)在“地址范围指定”一步为VPN客户端指定指派的IP地址范围。实验中内网地址为192.168.1.0，这里为VPN客户机指派所分配的IP地址范围可以为"192.168.1.1”——“192.168.1.20”。单击“新建”按钮打开“新建地址范围”窗口，按提示输入后单击“确定”按钮返回“地址范围指定”一步，然后单击“下一步”。

(8)单击“下一步”，在“管理多个远程访问服务器”一步选择默认设置；单击“下一步”，单击“完成”完成VPN服务器的配置过程。

(9)在内部网络中搭建一个ftp服务器，并测试服务器正常工作。

(10)在VPN服务器上，右击我的电脑，依次选择“管理”——“本地用户和组”——“用户”，新建一个用户为user1，并在user1用户属性的“拨入”选项中的"远程访问权限(拨入或VPN)”，选择“允许访问”，其默认选项为“通过远程访问策略控制访问”，假如选中这一项，则必须在VPN服务器上的“路由和远程访问”控制台新建远程访问策略，并授予远程访问的权限。

(11)在远程客户机上创建一个新的连接，选择“连接到我的工作场所的网络”。
(12)在“网络连接”一步选择“虚拟专用网连接”，单击“下一步”，在“连接名”一步，输入一个连接的名称，本实验输入的名称为“VPN服务器”，单击“下一步”，在“VPN服务器选择”一步，输入本实验VPN服务器的外网地址1.1.1.1，单击“下一步”，单击“完成”完成新建连接操作。
(13)打开“网络连接”，右击“虚拟专用网络”，单击“连接”，在弹出的对话框中，输入用户名和密码，本实验中用户名为user1，密码为123，单击“连接”按钮，远程连接VPN服务器。

远程连接成功，在任务栏会出现成功连接提示。

(14)在远程客户机上使用命令ipconfig 查看地址。

(15)客户机远程访问内部网络中的ftp服务器。


  在VPN建立连接后，VPN客户的逻辑位置处于VPN服务器所在内部网络中，客户机可以访问VPN服务器所在内部网络中主机（本实验是访问内部网络中的ftp服务器），而且具有较强的安全性。

锋.com博客  http://www.feelfeng.com

上一篇: 流量分析之ftp抓包分析
下一篇: 主流开源博客程序简介
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: windowswindows serverserver vpnvpn
相关日志: