前幾日和Hike討論了關(guān)于在Windows 2000的操作系統(tǒng)中設(shè)置VPN的問題,Hike說到不能在windows 中設(shè)置VPN,對(duì)此我很是納悶,明明記得老師在上課的時(shí)候已經(jīng)說到了VPN,并且自己已經(jīng)做過實(shí)驗(yàn),怎么會(huì)不能實(shí)現(xiàn)VPN呢?但是由于自己只是靠背BIBLE過關(guān)的,對(duì)此也不敢抗?fàn)帲袢粘糜锌盏綀D書館查了一些資料,終于可以站出來說一句了:在Windows中也可以實(shí)現(xiàn)VPN!
一.VPN概述
1.VPN的一些基本知識(shí)
VPN,全稱為 Virtual Private Network,中文翻譯為虛擬專用網(wǎng),這幾年非常使流行。它是一個(gè)加密或封裝的通信過程,兩個(gè)節(jié)點(diǎn)之間所發(fā)生的通信都是通過加密的。它也是專用網(wǎng)絡(luò)的一個(gè)擴(kuò)展,但不需要ISP或電話公司設(shè)置一個(gè)獨(dú)立的額外的連接來提供連通性。VPN通常在Internet上實(shí)現(xiàn),然而,VPN也可以通過專用線路,幀中繼/ATM,或普通的舊式電話網(wǎng)POTN(如ISDN,xDSL等)來實(shí)現(xiàn)。VPN的通信是依靠加密來實(shí)現(xiàn)的,而加密軟件對(duì)原有的大部分系統(tǒng)來說并不使用,要專用的打包器。
這里主要討論基于Internet上的VPN的使用。VPN不限于站點(diǎn)間的連接,它們還允許遠(yuǎn)程的客戶安全的連接到辦公室的網(wǎng)絡(luò)上。
VPN為通過公共網(wǎng)絡(luò)的不安全連接提供安全性和可靠性,VPN基本用來合作構(gòu)成一個(gè)安全連接的三種技術(shù)組成,即:身份驗(yàn)證,隧道和加密。
。身份驗(yàn)證 確保VPN會(huì)話建立之前的客戶和服務(wù)器是他們本身,但并不需要相互驗(yàn) 證,在隧道建立和數(shù)據(jù)傳輸之前要求成功的驗(yàn)證。要盡可能的提供最強(qiáng)的驗(yàn)證級(jí)別。諸如:EAP,MS-CHAP或MS-CHAPv2等身份驗(yàn)證協(xié)議。
。隧道 用來將網(wǎng)絡(luò)協(xié)議(TCP/IP,IPX/SPX等)包裝到可在Internet上傳遞的IP數(shù)據(jù)包中。在windows 2000中負(fù)責(zé)創(chuàng)建隧道連接的兩個(gè)協(xié)議是PPTP和L2TP(L2TP是PPTP和L2F合并而成的)。L2TP比PPTP更為高級(jí),并且使用IPSec驗(yàn)證和加密協(xié)議。只有在RRAS的Windows 2000版本中才能使用L2TP,而Windows 2000客戶是唯一使用它的客戶,NT 4.0和98只能用PPTP。
。加密Windows 2000支持兩種加密技術(shù):MMPE(Microsoft點(diǎn)對(duì)點(diǎn)加密)和IPSec.你可以要求遠(yuǎn)程客戶或站點(diǎn)使用其中的一種方法加密,如果它們不使用規(guī)定的方法,你可以配置RRAS拒絕連接。
MMPE 支持三種方案:標(biāo)準(zhǔn)的40位和56位。在美國個(gè)加拿大還使用加強(qiáng)的128位加 密。要使用MMPE,必須使用MS-CHAP或MS-CHAPv2等身份驗(yàn)證協(xié)議。
IPSec 實(shí)際上是一基于加密技術(shù)的服務(wù)和協(xié)議的集合。為使用L2TP的VPN連接提供了身份驗(yàn)證和加密,如EAP和MS-CHAP。在Windows 2000中的IPSec實(shí)現(xiàn)了數(shù)據(jù)加密標(biāo)準(zhǔn)DES或DES3。DES是在國際上通用的,而DES3只能在美國用。因?yàn)槊绹前鸭用芗夹g(shù)當(dāng)成軍火才出售的,因此其他地區(qū)只能使用DES(由此可見,美國佬確實(shí)有點(diǎn)可恨!!)
2.實(shí)現(xiàn)VPN的一些考慮
VPN的應(yīng)有有四個(gè)領(lǐng)域:
。企業(yè)內(nèi)部網(wǎng)Intranet
。遠(yuǎn)程訪問
。企業(yè)外部網(wǎng)Extranet
。企業(yè)內(nèi)的VPN
也許前面三個(gè)大家都很理解,但是這最后似乎有點(diǎn)不可理喻;內(nèi)部做VPN干什么?其實(shí),這主要是為了安全的考慮。根據(jù)調(diào)查顯示,很多時(shí)候網(wǎng)絡(luò)安全的威脅不僅是來自外部,更多的是來自企業(yè)內(nèi)部。通過在企業(yè)內(nèi)部實(shí)現(xiàn)VPN,可以保證財(cái)務(wù),金融等數(shù)據(jù)的安全性。
但是,如果僅僅因?yàn)閂PN是一個(gè)很時(shí)髦的技術(shù)而采用它,是否有點(diǎn)過于浪費(fèi)(不過,如果你的公司很有錢的話也很可以這樣牛一下)。在考慮是否要采用VPN之前請(qǐng)先考慮一下如下幾個(gè)問題:
。安全 所傳遞的數(shù)據(jù)真的需要如此高級(jí)別的安全性嗎?
。預(yù)算 (這個(gè)不言而喻。)
。吞吐量 由于數(shù)據(jù)加密等一些額外的開銷,網(wǎng)絡(luò)的性能可能會(huì)下降30%~50%。
如果以上三點(diǎn)你都可以接受的話,那么,你可以考慮實(shí)施VPN了。
另外,還不得不考慮一些技術(shù)上的問題:
。IP地址問題 你必須擁有已經(jīng)注冊(cè)了的合法的IP地址空間
。DNS 問題
。路由選擇
。網(wǎng)絡(luò)地址轉(zhuǎn)換
。加密技術(shù)
3.解決方案
實(shí)現(xiàn)VPN,總的來說有這么三種解決方案:
。撥號(hào)VPN 遠(yuǎn)程客戶à本地ISPà Windows 2000的VPN服務(wù)器。可節(jié)省遠(yuǎn)程用戶的電話費(fèi),還能節(jié)省VPN服務(wù)器站點(diǎn)的許多投資,在許多情況下,能替代所需的大量調(diào)制解調(diào)器。
。站點(diǎn)到站點(diǎn) 可使用兩個(gè)或多個(gè)Windows 2000 VPN服務(wù)器建立它們之間的VPN連接,兩個(gè)站點(diǎn)之間的通信被安全的定義。
。組合方案 組合以上兩種方案。
二.實(shí)施VPN
自從Windows NT 4.0的RRAS以來,Microsoft就支持VPN了。在Windows 2000中也繼續(xù)得到了支持。建立VPN首先需要安裝RRAS。
1.安裝和啟動(dòng)RRAS
RRAS在Windows 2000 Server 安裝的時(shí)候已經(jīng)自動(dòng)安裝了,但是處于禁用狀態(tài),要使用RRAS需要先啟動(dòng)它。步驟:開始|程序|系統(tǒng)管理工具|路由與遠(yuǎn)程訪問,在彈出的“路由與遠(yuǎn)程訪問”窗口中,選定要啟用的服務(wù)器,然后單擊工具欄中的“操作”|配置和啟用路由與遠(yuǎn)程訪問,啟動(dòng)配置向?qū)А?
2.如何配置RRAS
2.1配置Internet連接服務(wù)器 可選ICS和NAT。
2.1.1 如果選擇了ICS,你會(huì)被詢問通過網(wǎng)絡(luò)或撥號(hào)連接配置ICS,要通過撥號(hào)配置ICS,按如下過程完成:開始|設(shè)置|網(wǎng)絡(luò)和撥號(hào)連接,在撥號(hào)或VPN上右擊->屬性,在共享選項(xiàng)卡中,選擇“啟用此連接的Internet連接共享”。該選項(xiàng)允許網(wǎng)絡(luò)上的另一臺(tái)計(jì)算機(jī)使用這個(gè)Internet連接。然后確定(注意彈出的提示消息!!)
2.1.2 如果選擇了NAT的ICS路由器,可以把Windows 2000配置成Internet連接路由器,這個(gè)路由器使用通過一個(gè)NIC(網(wǎng)卡)連接的NAT,支持以下內(nèi)容:
。多個(gè)IP地址
。多個(gè)SOHO接口
。用于網(wǎng)絡(luò)客戶的可配置的IP地址范圍
*注意 在一個(gè)有其他的DC,DNS服務(wù)器或者DHCP服務(wù)器的網(wǎng)絡(luò)中使用此選項(xiàng)。
這個(gè)選項(xiàng)有兩個(gè)關(guān)聯(lián)的選項(xiàng)可供選擇:使用選擇的Internet連接或創(chuàng)建一個(gè)新的請(qǐng)求撥號(hào)的Internet連接。如果選擇了第二個(gè)選項(xiàng),會(huì)啟動(dòng)撥號(hào)連接向?qū)В凑障驅(qū)瓿膳渲谩?
2.2 配置遠(yuǎn)程訪問服務(wù)器 (略,可按照向?qū)е鸩酵瓿桑?
2.3虛擬專用(VPN)服務(wù)器
SERVER端:檢查所需的協(xié)議是否已經(jīng)安裝,選擇用來連接Internet的連接方式。如果你有一個(gè)DHCP服務(wù)器,就應(yīng)當(dāng)使用這個(gè)服務(wù)器,如果沒有,VPN服務(wù)器將從一個(gè)IP地址范圍內(nèi)為客戶分配一個(gè)IP地址(下一步將會(huì)提示你輸入IP地址的范圍)。如果是使用DHCP服務(wù)器,下一步將會(huì)詢問你是否使用一個(gè)RADIUS服務(wù)器,保留默認(rèn)的“不”。
CLIENT端:很多操作系統(tǒng)都可以做為客戶端操作系統(tǒng),如Windows NT/9X,UNIX及其變種,Macintosh等。這里介紹windows 2000的客戶。確保在配置客戶端應(yīng)用程序之前,已經(jīng)安裝了一個(gè)調(diào)制解調(diào)器和驅(qū)動(dòng)程序。)
執(zhí)行步驟:開始|設(shè)置|網(wǎng)絡(luò)和撥號(hào)連接,雙擊啟動(dòng)“新建連接”。與RRAS服務(wù)器相關(guān)的選項(xiàng)是“撥號(hào)到專用網(wǎng)絡(luò)”和“通過Internet連接到專用網(wǎng)絡(luò)”。可以選擇第一個(gè),按照向?qū)瓿伞U?qǐng)注意不要將“Internet連接共享”復(fù)選框選中。
指定連接的安全設(shè)置:如果你覺得不必配置安全性的話,那么,在上一步其實(shí)你就已經(jīng)完成了VPN的配置了。但是事實(shí)是你還得配置這一步。返回“網(wǎng)絡(luò)和撥號(hào)連接”,雙擊剛才建立的連接,右鍵|屬性|安全措施,在這里配置客戶使用服務(wù)器是采用的安全機(jī)制。單選“高級(jí)”,設(shè)置,在下一屏中配置安全措施和加密協(xié)議等。
三.VPN訪問策略
遠(yuǎn)程訪問連接根據(jù)用戶的帳號(hào)和遠(yuǎn)程訪問策略被授權(quán)訪問。當(dāng)添加遠(yuǎn)程訪問策略時(shí),一個(gè)用戶只能使用一個(gè)策略。
添加策略:在控制臺(tái)左邊,右擊遠(yuǎn)程策略,選擇“新建遠(yuǎn)程訪問策略”,按照向?qū)瓿伞?
四.管理和排除RRAS故障
1. 管理 如果你有多個(gè)RRAS服務(wù)器,可以將他們放在一個(gè)管理單元中進(jìn)行管理。右擊“服務(wù)器狀態(tài)”,選擇“添加服務(wù)器”,或者在“操作”中選擇“添加新的服務(wù)器”。
2. 監(jiān)視 單擊“服務(wù)器狀態(tài)”,可在右邊查看服務(wù)器的名稱,類型,狀態(tài),服務(wù)器上的端口數(shù)量總數(shù),使用中的端口數(shù)量等。
3. 查看路由選擇表
命令行查看:route print
或者在RRAS控制臺(tái)中,展開控制臺(tái)樹,顯示出IP路由選擇或者IPX路由選擇子數(shù)下的靜態(tài)路由條目,右擊“靜態(tài)路由”并選擇“顯示IP路由選擇表”或者“顯示IPX路由選擇表”
4.添加靜態(tài)路由表 對(duì)于家庭用戶或者小型辦公環(huán)境,可以手工向路由選擇表中添加靜態(tài)
路由,以便能連接到另一個(gè)網(wǎng)絡(luò)
命令行方式:route add
對(duì)于不熟悉route命令的用戶,可以使用RRAS界面。在上述顯示路由表的操作中,可
選擇“添加新路由”,填入相應(yīng)的IP地址和子網(wǎng)掩碼。
5. 記錄 右擊RRAS服務(wù)器,選擇“屬性|事件記錄”
五.說明
在上述操作的中,可能會(huì)有某些選項(xiàng)不可用。如果AD在混合模式下的時(shí)候,以下選項(xiàng)不可用:
。通過遠(yuǎn)程訪問策略控制訪問的能力
。使用呼叫方ID驗(yàn)證呼叫者
。分配靜態(tài)IP地址
。應(yīng)用靜態(tài)路由
這也是為什么Microsoft極力推薦將NT的網(wǎng)絡(luò)升級(jí)為2000的網(wǎng)絡(luò)的一個(gè)原因之一吧,我想。
六.專業(yè)的VPN公司
我們知道,VPN是一個(gè)安全措施很低的網(wǎng)絡(luò),這個(gè)網(wǎng)絡(luò)建于Internet上,必然會(huì)要考慮到數(shù)據(jù)的安全性,而這其中有很多數(shù)據(jù)加密的算法和保密協(xié)議,等等。Windows 2000并不是一個(gè)專業(yè)的VPN支持系統(tǒng),因此在很多方面都可能存在著漏洞和不足。很多公司都在致力于VPN的數(shù)據(jù)加密和系統(tǒng)的開發(fā),并有自己的產(chǎn)品。這些公司像Aventail,Compatible Systems, Nortel網(wǎng)絡(luò)公司,Radguard公司等。我覺得,要構(gòu)建一個(gè)真正的高安全性的VPN,還是應(yīng)該使用這些專業(yè)的產(chǎn)品,畢竟Windows 2000只是一個(gè)操作平臺(tái)。
