|
||
|
||
| 一、VPN(Virtual Private Network,虚拟专用网络)简介 随着网络技术的迅速发展,各企事业单位都在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。于是VPN以其独具特色的优势,赢得了越来越多的企事业单位的青睐。那么什么是VPN呢,简单地说 ,VPN即是指通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它能够让企事业单位可以在全球范围内廉价架构起自己的“局域网”,是企业局域网向全球化的延伸,并且此网络拥有与专用内部网络相同的安全、管理及功能等特点。VPN对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。 VPN是原有专线式专用广域网络的替代方案,代表了当今网络发展的最新趋势。VPN 并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充性,而是在更为符合成本效益的基础上来达到这些特性。 二、VPN特点 (一)成本低 VPN 在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使网络的总成本(Total Cost of Ownership)降低。根据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 较使用专线的成本节省 30%~50% 左右;而就远程访问而言,用 VPN 更能比直接拨入到企业内部网络节省 60%~80% 的成本。 (二)网络架构弹性大 VPN 较专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时, VPN 可以轻易的达到目的,VPN (特别是硬件VPN)的平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的 VPN 架构中,同时,VPN 的平台亦具有对未来广域网络频宽扩充及连接更新架构的特性。 (三)良好的安全性 VPN 架构中采用了多种安全机制,如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术,通过上述的各项网络安全技术,确保资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。 (四)管理方便 VPN 使用了较少的设备来建立网络,使网络的管理较为轻松;不论连接的是什么用户,均需通过VPN隧道的路径进入内部网络。 三、VPN的应用 VPN 可以有三大应用,分别为直接远程访问(Remote Access)、 Intranet(内部互联网) 及 Extranet(外部互联网) 。 (一)远程访问 VPN:主要是连接移动用户(Mobile User)及没有固定地点的办事处,通过拨号等上网方式来存取内部网络资源。这是VPN最广泛的一个应用。例如,学校内部的各种资源(校内电子邮件、图书馆资料、数据库、网上教学、网上选课、视频点播),校园网的用户可以从任何地方(家庭、旅店、会场、国内外)以任何形式(拨号、ADSL、ISDN、小区宽带网等)连接到Internet后,就像在校内一样访问校内各种资源,而资源的管理者也可以通过VPN下的远程桌面控制功能,随时随地都能安全的对校内资源进行管理。 (二)Intranet VPN:是利用互联网将大机构总部和有固定地点的分机构加以连接,成为一个总体网络。这对于公司来说是以最低的成本来得到最高的收益的一个很好的途径。有了Intranet VPN,公司就可以通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以实现公司内部的资源共享、文件传递等,可节省DDN等专线所带来的高额费用。 (三)Extranet VPN:则是将 Intranet VPN 的连接再扩展到机构的合作伙伴,如供货商及客户(或是相关联的部门),以达到彼此信息共享的目的。 四、VPN基本原理 一般来说两台具有独立IP并连接上互联网的计算机只要知道对方的IP地址,是可以直接同通信的。但是位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。 由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个VPN系统。一个完整的VPN系统一般包括以下三个单元: (一)VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。VPN服务器端操作系统可以是WinNT 4.0/Win2000/WinXP/Win2003;相关组件为系统自带;要求VPN服务器已经连入Internet,并且拥有一个独立的公网IP。 (二)VPN客户端。一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。VPN客户机端操作系统可以是Win98/WinNT 4.0/Win2000/WinXP/Win2003;相关组件为系统自带;要求VPN客户机已经连入Internet。 (三)VPN数据通道。一条建立在公用网络上的数据连接。 其实,所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。 五、在Windows操作系统下VPN的配置 (一)服务器端配置 VPN的服务器端可以是计算机也可以是防火墙路由器等其他设备,通常比较多是用一台装用Windows 2000 Server操作系统的计算机,以下就以Windows 2000 Server操作系统下的配置为例。 1.依次进入“开始”->“程序”->“管理工具”->“路由和远程访问”打开“路由和远程访问”控制台。 2.在左边框架中在为服务器名(如:SERVER)处单击右键,选择“配置并启用路由和远程访问”打开“路由和远程访问安装向导”窗口。 3.当出现“欢迎使用路由和远程访问安装向导”时,直接单击“下一步”按钮继续。 4..将“公共设置”选择为“虚拟专用网络(VPN)服务器”,再单击“下一步”按钮继续。 5.“远程客户协议”显示的是当前VPN访问可使用协议的列表。不用修改默认选项,直接单击“下一步”按钮继续。 6. 进行“Internet连接”设置时,不用修改保持默认设置,直接单击“下一步”按钮继续。 7.“IP地址”设置的默认选项为“自动”,由于通常本机都没有配置DHCP服务器,因此需要改选为“来自一个指定的地址范围”,然后单击“下一步”按钮继续。 8.设定“地址范围指定”可以为VPN客户机指定所分配的IP地址范围。如打算分配的IP地址范围为“10.1.100.1”~“10.1.100.100”,则单击“新建”按钮打开“新建地址范围”窗口,按提示输入后单击“确定”按钮,然后单击“下一步”按钮继续。 注意:这些IP地址将分配给VPN服务器和VPN客户机。为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信,它们必须同VPN服务器的IP地址处在同一个网段中。即:假设VPN服务器IP地址为“10.1.100.1”,则此范围中的IP地址均应该以“10.1.100”开头。 9.接下来将进入“管理多个远程访问服务器”通常不用修改默认选项,直接单击“下一步”按钮继续。 10.出现“正在完成路由和远程访问服务器安装向导”对话框说明已经配置完成,直接单击“完成”按钮继续。 11.此时屏幕上将出现一个名为“正在启动路由和远程访问服务”的小窗口,过一会儿将自动返回“路由和远程访问”控制台,即结束了VPN服务器端的配置工作。 (二)在服务器端赋予用户拨入权限(允许建立VPN数据通道) Windwos2000下默认的用户,包括Administrator(管理员)在内的所有用户均被拒绝拨入到VPN服务器上,因此需要为相应用户赋予拨入权限。以下以“Diy”用户为例。 1.在“我的电脑”处单击右键,选“管理”打开“计算机管理”控制台。 2.在左边框架中依次展开“本地用户和组”->“用户”,在右边框架中双击“Diy”打开“Diy属性”窗口。 3.单击“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,然后单击“确定”按钮返回“计算机管理”控制台,即完成了赋予“Diy”用户拨入权限的工作。 (三)客户机端的配置 不同操作系统下的客户机端的VPN连接配置略有不同,以下就分别介绍Windows98\Windows2000\WindowsXP下如何配置VPN连接。 1.Windows98操作系统下的配置 (1)在“网上邻居”处单击右键,选“属性”进入“网络”属性窗口的“配置”选项卡。 (2)单击“添加”按钮打开“请选择网络组件类型”窗口,再依次选择“适配器”->“Microsoft”->“Microsoft虚拟专用网络适配器”。 (3)添加“Microsoft网络用户”、“拨号网络适配器”、“IPX/SPX兼容协议”、“NetBEUI”、“TCP/IP”和“Microsoft网络的文件和打印机共享”等项目。然后单击“确定”按钮退出,并根据提示重新启动计算机。 (4)双击进入“我的电脑”,再双击“拨号网络”,单击“下一步”按钮继续。 (5)在“位置信息”一步需要提供当前位置的相关信息。在“目前所在地区(城市)代码”处输入本地的电话号码区号,如:0594,然后单击“关闭”按钮继续。 (6)在“请键入对方计算机的名称”处输入连接名,如:办公网络,确保“选择设备”处已经为“Microsoft VPN Adapter”,然后单击“下一步”按钮继续。 (7)在“主机名或IP地址”处输入VPN服务器的公网IP地址,如:218.66.220.100,然后单击“下一步”按钮继续。 (8)此时计算机提示已经成功创建了名为“局域网VPN”的新的“拨号网络”连接。没有可以修改的地方,直接单击“完成”按钮返回“拨号网络”窗口。 (9)双击“到公司总部”图标打开“连接到”对话框,在“用户名”框内输入“Diy”,在“密码”框内输入服务器端设置好的密码,然后单击“连接”按钮继续。 2. Windows2000操作系统下的配置 (1)在“网上邻居”的图标上单击右键,选“属性”打开“网络和拨号连接”窗口。 (2)双击“新建连接”图标打开“网络连接向导”窗口。 (3)当出现“欢迎使用路由和远程访问安装向导”时,直接单击“下一步”按钮继续。 (4)将“网络连接类型”选择为“通过Internet连接到专用网络”,单击“下一步”按钮继续。 (5)设置 “公用网络”是否在VPN连接前自动拨号。默认选项为“自动拨此初始连接”,将其选为“不拨初始连接”,单击“下一步”按钮继续。 (6)在“目标地址”的文本框中输入VPN服务器的公网IP,如:218.66.220.100,然后单击“下一步”按钮继续。 (7)设置“可用连接”是否仅允许当前登录用户使用,还是可让客户机中所有用户使用。默认选项为“所有用户使用此连接”,根据需要进行选择,然后单击“下一步”按钮继续。 (8)在“完成网络连接向导”一步可以更改本新连接的名称。默认为“虚拟专用连接”,可不用修改,也可改为任意内容,比如为“办公网络”,并勾选中“在我的桌面添加一快捷方式”复选框,然后单击“完成”按钮继续。 (9)之后会自动弹出名为“连接 办公网络”的连接窗口。在“用户名”处输入“Diy”,在“密码”处输入相应的密码(VPN服务器上已经建立好的密码),并勾选中“保存密码”复选框,然后单击“连接”按钮继续。 (10)当连接成功后,“正在连接到 办公网络”窗口会自动缩到任务栏右下角,成为一个有两台相连接的小电脑形状的图标,即说明VPN网络已经连接成功。 3.WindowsXP操作系统下的配置 (1)更改注册表的设置,保证系统允许进行VPN连接。依次进入“开始”->“运行”->输入“regedit” ->确定,打开注册表编辑器,修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters,新增或修改ProhibitIpSec的值为1。 注意:注册表修改后要重新启动才能生效。 (2)在“网上邻居”的图标上单击右键,打开其“属性”窗口。 (3)单击“创建一个新连接”打开创建新连接向导,直接单击“下一步”按钮继续。 (4)选择“网络连接类型”为“连接到我的工作场所的网络”,再单击“下一步”按钮继续。 (5)将选择“网络连接”改选为“虚拟专用网络连接”,单击“下一步”按钮继续。 (6)在“公司名”框内输入连接名,如:办公网络,单击“下一步”按钮继续。 (7)在“VPN服务器选择”一步需要输入服务器端的公网IP。在主机名或IP地址”框内输入VPN服务器的外部IP,如:218.66.220.100,单击“下一步”按钮继续。 (8)在“正在完成新建连接向导”一步,可以勾中“在我的桌面上添加一个到此连接的快捷方式”复选框以方便使用VPN,单击“完成”按钮继续。 注意:点击“完成”后,会出现拨号对话框,要求输入用户名、密码,可先将其关闭。 (9)在“办公网络”连接上单击鼠标右键,打开“属性”页面,单击“安全”选项卡,清除“要求数据加密(没有就断开)”复选框中的“√”;单击“网络选项卡”,选择网络类型为“L2TP IPSec VPN”,然后单击“确定”按钮完成设置。 (10)进行VPN连接:双击桌面上的“办公网络”,输入服务器端设置好的用户名(如:Diy)和密码,单击“连接”按钮进行连接。 (11)当连接成功后,“正在连接办公网络”窗口会自动缩到任务栏右下角,成为一个有两台相连接的小电脑形状的图标,即说明VPN网络已经连接成功。 [参考文献] [1]王达,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004. [2]杨永斌.VPN技术应用研究[J].计算机科学,2004,(10). |
||