前几日和Hike讨论了关于在Windows 2000的操作系统中设置VPN的问题,Hike说到不能在windows 中设置VPN,对此我很是纳闷,明明记得老师在上课的时候已经说到了VPN,并且自己已经做过实验,怎么会不能实现VPN呢?但是由于自己只是靠背BIBLE过关的,对此也不敢抗争,今日趁有空到图书馆查了一些资料,终于可以站出来说一句了:在Windows中也可以实现VPN!
一.VPN概述
1.VPN的一些基本知识
VPN,全称为 Virtual Private Network,中文翻译为虚拟专用网,这几年非常使流行。它是一个加密或封装的通信过程,两个节点之间所发生的通信都是通过加密的。它也是专用网络的一个扩展,但不需要ISP或电话公司设置一个独立的额外的连接来提供连通性。VPN通常在Internet上实现,然而,VPN也可以通过专用线路,帧中继/ATM,或普通的旧式电话网POTN(如ISDN,xDSL等)来实现。VPN的通信是依靠加密来实现的,而加密软件对原有的大部分系统来说并不使用,要专用的打包器。
这里主要讨论基于Internet上的VPN的使用。VPN不限于站点间的连接,它们还允许远程的客户安全的连接到办公室的网络上。
VPN为通过公共网络的不安全连接提供安全性和可靠性,VPN基本用来合作构成一个安全连接的三种技术组成,即:身份验证,隧道和加密。
。身份验证 确保VPN会话建立之前的客户和服务器是他们本身,但并不需要相互验 证,在隧道建立和数据传输之前要求成功的验证。要尽可能的提供最强的验证级别。诸如:EAP,MS-CHAP或MS-CHAPv2等身份验证协议。
。隧道 用来将网络协议(TCP/IP,IPX/SPX等)包装到可在Internet上传递的IP数据包中。在windows 2000中负责创建隧道连接的两个协议是PPTP和L2TP(L2TP是PPTP和L2F合并而成的)。L2TP比PPTP更为高级,并且使用IPSec验证和加密协议。只有在RRAS的Windows 2000版本中才能使用L2TP,而Windows 2000客户是唯一使用它的客户,NT 4.0和98只能用PPTP。
。加密Windows 2000支持两种加密技术:MMPE(Microsoft点对点加密)和IPSec.你可以要求远程客户或站点使用其中的一种方法加密,如果它们不使用规定的方法,你可以配置RRAS拒绝连接。
MMPE 支持三种方案:标准的40位和56位。在美国个加拿大还使用加强的128位加 密。要使用MMPE,必须使用MS-CHAP或MS-CHAPv2等身份验证协议。
IPSec 实际上是一基于加密技术的服务和协议的集合。为使用L2TP的VPN连接提供了身份验证和加密,如EAP和MS-CHAP。在Windows 2000中的IPSec实现了数据加密标准DES或DES3。DES是在国际上通用的,而DES3只能在美国用。因为美国是把加密技术当成军火才出售的,因此其他地区只能使用DES(由此可见,美国佬确实有点可恨!!)
2.实现VPN的一些考虑
VPN的应有有四个领域:
。企业内部网Intranet
。远程访问
。企业外部网Extranet
。企业内的VPN
也许前面三个大家都很理解,但是这最后似乎有点不可理喻;内部做VPN干什么?其实,这主要是为了安全的考虑。根据调查显示,很多时候网络安全的威胁不仅是来自外部,更多的是来自企业内部。通过在企业内部实现VPN,可以保证财务,金融等数据的安全性。
但是,如果仅仅因为VPN是一个很时髦的技术而采用它,是否有点过于浪费(不过,如果你的公司很有钱的话也很可以这样牛一下)。在考虑是否要采用VPN之前请先考虑一下如下几个问题:
。安全 所传递的数据真的需要如此高级别的安全性吗?
。预算 (这个不言而喻。)
。吞吐量 由于数据加密等一些额外的开销,网络的性能可能会下降30%~50%。
如果以上三点你都可以接受的话,那么,你可以考虑实施VPN了。
另外,还不得不考虑一些技术上的问题:
。IP地址问题 你必须拥有已经注册了的合法的IP地址空间
。DNS 问题
。路由选择
。网络地址转换
。加密技术
3.解决方案
实现VPN,总的来说有这么三种解决方案:
。拨号VPN 远程客户à本地ISPà Windows 2000的VPN服务器。可节省远程用户的电话费,还能节省VPN服务器站点的许多投资,在许多情况下,能替代所需的大量调制解调器。
。站点到站点 可使用两个或多个Windows 2000 VPN服务器建立它们之间的VPN连接,两个站点之间的通信被安全的定义。
。组合方案 组合以上两种方案。
二.实施VPN
自从Windows NT 4.0的RRAS以来,Microsoft就支持VPN了。在Windows 2000中也继续得到了支持。建立VPN首先需要安装RRAS。
1.安装和启动RRAS
RRAS在Windows 2000 Server 安装的时候已经自动安装了,但是处于禁用状态,要使用RRAS需要先启动它。步骤:开始|程序|系统管理工具|路由与远程访问,在弹出的“路由与远程访问”窗口中,选定要启用的服务器,然后单击工具栏中的“操作”|配置和启用路由与远程访问,启动配置向导。
2.如何配置RRAS
2.1配置Internet连接服务器 可选ICS和NAT。
2.1.1 如果选择了ICS,你会被询问通过网络或拨号连接配置ICS,要通过拨号配置ICS,按如下过程完成:开始|设置|网络和拨号连接,在拨号或VPN上右击-属性,在共享选项卡中,选择“启用此连接的Internet连接共享”。该选项允许网络上的另一台计算机使用这个Internet连接。然后确定(注意弹出的提示消息!!)
2.1.2 如果选择了NAT的ICS路由器,可以把Windows 2000配置成Internet连接路由器,这个路由器使用通过一个NIC(网卡)连接的NAT,支持以下内容:
。多个IP地址
。多个SOHO接口
。用于网络客户的可配置的IP地址范围
*注意 在一个有其他的DC,DNS服务器或者DHCP服务器的网络中使用此选项。
这个选项有两个关联的选项可供选择:使用选择的Internet连接或创建一个新的请求拨号的Internet连接。如果选择了第二个选项,会启动拨号连接向导,按照向导完成配置。
2.2 配置远程访问服务器 (略,可按照向导逐步完成)
2.3虚拟专用(VPN)服务器
SERVER端:检查所需的协议是否已经安装,选择用来连接Internet的连接方式。如果你有一个DHCP服务器,就应当使用这个服务器,如果没有,VPN服务器将从一个IP地址范围内为客户分配一个IP地址(下一步将会提示你输入IP地址的范围)。如果是使用DHCP服务器,下一步将会询问你是否使用一个RADIUS服务器,保留默认的“不”。
CLIENT端:很多操作系统都可以做为客户端操作系统,如Windows NT/9X,UNIX及其变种,Macintosh等。这里介绍windows 2000的客户。确保在配置客户端应用程序之前,已经安装了一个调制解调器和驱动程序。)
执行步骤:开始|设置|网络和拨号连接,双击启动“新建连接”。与RRAS服务器相关的选项是“拨号到专用网络”和“通过Internet连接到专用网络”。可以选择第一个,按照向导完成。请注意不要将“Internet连接共享”复选框选中。
指定连接的安全设置:如果你觉得不必配置安全性的话,那么,在上一步其实你就已经完成了VPN的配置了。但是事实是你还得配置这一步。返回“网络和拨号连接”,双击刚才建立的连接,右键|属性|安全措施,在这里配置客户使用服务器是采用的安全机制。单选“高级”,设置,在下一屏中配置安全措施和加密协议等。
三.VPN访问策略
远程访问连接根据用户的帐号和远程访问策略被授权访问。当添加远程访问策略时,一个用户只能使用一个策略。
添加策略:在控制台左边,右击远程策略,选择“新建远程访问策略”,按照向导完成。
四.管理和排除RRAS故障
1. 管理 如果你有多个RRAS服务器,可以将他们放在一个管理单元中进行管理。右击“服务器状态”,选择“添加服务器”,或者在“操作”中选择“添加新的服务器”。
2. 监视 单击“服务器状态”,可在右边查看服务器的名称,类型,状态,服务器上的端口数量总数,使用中的端口数量等。
3. 查看路由选择表
命令行查看:route print
或者在RRAS控制台中,展开控制台树,显示出IP路由选择或者IPX路由选择子数下的静态路由条目,右击“静态路由”并选择“显示IP路由选择表”或者“显示IPX路由选择表”
4.添加静态路由表 对于家庭用户或者小型办公环境,可以手工向路由选择表中添加静态
路由,以便能连接到另一个网络
命令行方式:route add
对于不熟悉route命令的用户,可以使用RRAS界面。在上述显示路由表的操作中,可
选择“添加新路由”,填入相应的IP地址和子网掩码。
5. 记录 右击RRAS服务器,选择“属性|事件记录”
五.说明
在上述操作的中,可能会有某些选项不可用。如果AD在混合模式下的时候,以下选项不可用:
。通过远程访问策略控制访问的能力
。使用呼叫方ID验证呼叫者
。分配静态IP地址
。应用静态路由
这也是为什么Microsoft极力推荐将NT的网络升级为2000的网络的一个原因之一吧,我想。
六.专业的VPN公司
我们知道,VPN是一个安全措施很低的网络,这个网络建于Internet上,必然会要考虑到数据的安全性,而这其中有很多数据加密的算法和保密协议,等等。Windows 2000并不是一个专业的VPN支持系统,因此在很多方面都可能存在着漏洞和不足。很多公司都在致力于VPN的数据加密和系统的开发,并有自己的产品。这些公司像Aventail,Compatible Systems, Nortel网络公司,Radguard公司等。我觉得,要构建一个真正的高安全性的VPN,还是应该使用这些专业的产品,毕竟Windows 2000只是一个操作平台。
