1、WinowsserverVPN配置Windows server 2003 VPN 配置先来了解一下VPN,VPN(Virtual private Network,虚拟专用网)是穿越专用网络或公用网络的、安全的、点对点连接的网络。VPN客户端使用特定的隧道协议,与VPN服务器建立虚拟连接。VPN最佳范例就是:VPN客户端使用VPN连接到与Intenet相连的VPN服务器上。它的工作是VPN服务器应答验证VPN客户端的身份,如果验证通过,内部网络与VPN客户端传送数据。VPN既然是虚拟的专用网,那么在VPN服务器与客户端之间建立的是一种逻辑,非直接的连接,可以跟拨号网络比较来理解。VPN一般都要保
2、证数据的安全性,必须对连接进行加密。概括一下:目前常见的VPN应用包括站点到站点(Site to Site)VPN和远程访问(Remote Access)VPN两种。前者主要用于一个组织的总部网络与分支机构网络之间的连接或者一个组织的网络与其它可信的合作伙伴的网络之间的连接。后者主要用于远程或移动用户的远程访问连接。 下面来看下远程访问VPN的构成:先来看看各个角色的功能:(1)VPN服务器:这个当然就是用于接收并响应VPN客户端的连接请求,并建立连接。它可以是专用的VPN服务器设备,也可以是运行VPN服务的主机。在这里当然是属于后一种了。(2)VPN客户端:VPN客户端用于发起连接VPN服务
3、器的请求,通常为VPN连接组件的主机,这个组件当然就是拨号的组件,要支持VPN协议。(3)隧道协议。VPN有它自己的特殊协议,它的实现必须依赖于隧道协议。通过隧道协议进行特殊的封装,还可以提供加密,认证等等的安全服务。当然服务器和客户端都必须支持相同的协议。目前最常用的就是PPTP、L2TP和IPSEC。 PPTP:(point-to-point tunneling protocol点对点隧道协议)是PPP的扩展。协调使用PPP的身份认证、压缩和加密机制,它支持在IP网络上建立多协议的VPN连接,可以为使用PSTN和ISDN的用户提供VPN支持。PPTP一般是通过MS-CHAP,MS-CHAP
4、v2或EAP-TLS身份认证过程中生成的密钥,对信息进行加密。加密采用MPPE(Microsoft Point-to-Point Encryption,Microsoft 点对点加密)算法,密钥长度可以选用较弱的40位或强度较大的128位。 L2TP:(Layet 2 Tunneling Protocol,第二层隧道协议)是基于RFC的标准隧道协议。但它与PPTP不同,L2TP不利用MPPE进行加密,而是依赖于IPSec。L2TP和IPSec的组合为L2TP/IPSec。通过IPSec在IKE协商进程中生成的加密密钥,L2TP可使用DES或3DES对信息进行加密。IPSecIP Securit
5、y,IP安全)协议是IETF开发的IP网络安全标准。它包括IKE、AH和ESP等等协议。(4)Intenet连接:VPN服务器和客户端都必须接入Internet,并且能够通过Internet进行正常通信。好,看了原理后就来部署一个实例:登录上要配置VPN服务的服务器。打于路由与远程访问窗口点主机右键。选“配置并启用路由和远程访问”便出现安装向导,然后点下一步。这里选第一个,然后点下一步。选VPN。然后点下一步。可以看到这里有两个网络接口,这例子是建立双网卡的VPN。所以出现两个,其中Internet是连接外部网络,LAN是连接内部网络,在图中也可以清楚地看到。但这里不选“通过设置静态数据包筛选
6、器来对选择接口进行保护”为什么呢?如果选中它是通过设置数据包筛选器来限制与INTERNET接吕的通信,阻止不需要的连接。但这里的例子远程访问VPN客户端的位置相对不固定,而数据包筛选器是静态的,会给VPN的实现带来不便。这里选“来自一个指定的地址范围”。静态分配点击新建。点确定。可以看到已经添加进去了。这里点否。可以看到两个接口的作用,点完成。点击确定。是不是这样就可以了呢?不是,还要看下面配置。点端口右键。选属性。都打上勾。VPN建立好了,由于本服务器不是AD,所以要在计算机管理建立一个用户来作例子。在本地用户和组,用户下面建立一个WIN2003的用户,虽然名字没取好,但都一样,呵呵。点WI
7、N2003属性。这里肯定要勾选允许访问。看图勾选。这里分配一个静态IP地址下面来转向XP客户端,在这里要配置VPN连接。打开网络连接,点新建连接向导。上面那个连接是接入INTERNET,要新建的是连接VPN服务器。点下一步。在这里选第二个。选虚拟专用网络连接,然后点下一步。刚建立好的VPN服务器名是“yangming输入VPN服务器接入INTERNET的网卡地址。这里点只是我使用。点完成。然后就是登录。这里输入服务器上添加的用户名和密码。可以看到连接上去了。可看见右下角有个连接的图标,单击它。这里说明一下服务器IP地址,为什么它不是192.168.0.50.也就是LAN内部网卡地址?而是在配置
8、分配地址范围中的第一个IP地址。VPN是一个虚拟的网络,要区分实际的网卡地址。客户端的IP地址也就是上面配置好的静态分配的地址。看一下它的属性。目的IP是服务器连接外部的地址。再看下面。可以看到这里的协议是PPTP。现在连接上去了,下面来测试一下:先看客户端:一个是实际网卡的地址,一个是PPP ADAPTER 的地址。这可以看到是对的。这是VPN服务器的地址,其中两个是实际网卡地址,一个是PPP ADAPTER地址,可以看到它的地址是192.168.0.60。这是在客户端测试连接内部的服务器,可见可以连通了。再来看一下断掉VPN连接能不能PING通。可以看到,在客户端断掉了就连不通内部服务器了。最后来看一下VPN服务器中的连接状态:可看到内部IP是192。168。0。60。基本完成。
