win2000下VPN詳細配置執行個體

                  http://91mail.51.net提供

目前，規模比較大點的公司都有自己的分公司，如何讓分公司隨時同公司總部保持安全、高效率、低成本、多用途的串連，這是擺在每一個企業面前的難題。傳統的方法有專線串連、撥號連線、IP地址直接存取等，可是它們要麼費用高昂，要麼功能單一，還可能帶來安全隱患。而使用VPN串連則將使這些難題迎刃而解。

首先簡單介紹一下VPN，其英文全稱為Virtual Private Network，即Virtual Private Cloud。 VPN技術是指在公用網路中建立專用網路，是“線路中的線路”，資料通過安全的“加密通道”在公用網路中傳播，具有良好的保密性和抗幹擾性。企業只需要租用本地的資料專線，串連上本地的公眾資訊網，各地的機構就可以互相傳遞資訊；同時，企業還可以利用公眾資訊網的撥號接入裝置，讓自己的使用者撥號到公眾資訊網上，就可以串連進入企業網中。之所以稱為虛擬網主要是因為整個VPN網路的任意兩個節點之間的串連並沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網路服務商所提供的網路平台（如INTERNET，ATM，FRAME RELAY等）之上的邏輯網路，使用者資料在邏輯鏈路中傳輸。VPN還提供遠端存取，它擴充性強、便於管理和實現全面控制，並可節省成本。採用VPN技術是今後商業網路發展的趨勢。

要實現VPN串連，企業內部網路中必須有一台基於Windows NT或Windows 2000 Server的VPN伺服器，VPN伺服器一方面串連企業內部專用網路，另一方面要串連到Internet，這就要求VPN伺服器必須擁有一個公用的IP地址。當客戶機通過VPN串連與專用網路中的電腦進行通訊時，先由ISP（網際網路服務提供者）將所有的資料傳送到VPN伺服器，然後再由VPN伺服器負責將所有的資料傳送到目標電腦。在 Windows 2000 中有兩種類型的 VPN 技術：1.對點隧道協議 (PPTP)： 用於資料加密，PPTP 使用使用者級的點到點協議 (PPP) 驗證方法及 Microsoft 點到點加密 (MPPE)。 2.帶有 IP 協議安全 (IPSec) 的第二層通道通訊協定 (L2TP)： L2TP 使用使用者級 PPP 驗證方法和帶有 IPSec 資料加密的機器級認證。

我配置的執行個體是一個遠程用戶端(Windows 2000 Pro)與一個公司總部VPN server(Windows 2000 Pro)之間的串連，主要有三個步驟:

1.配置VPN伺服器,使之能夠接受VPN接入。

2.VPN用戶端（Win2000）的配置。

3.建立用戶端與伺服器間的VPN串連。  

具體步驟如下：

首先，需要公司總部的電腦（以下稱之為“VPN伺服器”）和分公司的電腦（以下稱之為“VPN客戶機”）均應能訪問Internet，並且VPN伺服器擁有一個Internet上合法的IP地址（即公網IP）。然後，當VPN客戶機通過虛擬撥號和VPN伺服器串連成功，VPN客戶機就成了VPN伺服器所在區域網路的一部分。在此區域網路內，任意一台電腦均可以根據許可權訪問其他電腦上的軟硬體共用資源，操作方法和普通區域網路完全一樣。

1．VPN伺服器的配置

VPN伺服器端作業系統可以是WinNT 4.0/Win2000/WinXP/Win2003；相關組件為系統內建；要求VPN伺服器已經連入Internet，並且擁有一個獨立的公網IP。我選用在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN伺服器為例。
（1）依次進入“開始”→“程式”→“管理工具”→“路由和遠端存取”開啟“路由和遠端存取”控制台。
（2）在左邊架構中“SERVER（本地）”（“SERVER”為伺服器名）處單擊右鍵，選擇“配置並啟用路由和遠端存取”開啟“路由和遠端存取安裝嚮導”視窗。
（3）在“歡迎使用路由和遠端存取安裝嚮導”一步介紹本嚮導的作用。沒有可以設定的選項，直接單擊“下一步”按鈕繼續。
（4）在“公用設定”一步需要選擇所相應的公用配置。預設選項為“Internet串連伺服器”，需要改選為“Virtual Private Cloud（VPN）伺服器”，然後單擊“下一步”按鈕繼續。
（5）在“遠程客戶協議”一步顯示的是當前VPN訪問可使用協議的列表。預設選項為“是，所有可用的協議都在列表上”，不用修改，直接單擊“下一步”按鈕繼續。
（6）在“Internet串連”一步需要指定伺服器所使用的串連。預設選項為“無Internet串連”，不用修改，直接單擊“下一步”按鈕繼續。
（7）在“IP地址”一步需要選擇為遠程VPN用戶端指定IP地址的方法。預設選項為“自動”，由於本機沒有配置DHCP伺服器，因此需要改選為“來自一個指定的位址範圍”，然後單擊“下一步”按鈕繼續。
（8）在“位址範圍指定”一步可以為VPN客戶機指定所分配的IP位址範圍。比如打算分配的IP位址範圍為“192.168.0.100”～“192.168.0.200”，則單擊“建立”按鈕開啟“建立位址範圍”視窗，按提示輸入後單擊“確定”按鈕返回“位址範圍指定”一步，然後單擊“下一步”按鈕繼續。
    注意：這些IP地址將分配給VPN伺服器和VPN客戶機。為了確保串連後的VPN網路能同VPN伺服器原有區域網路正常通訊，它們必須同VPN伺服器的IP地址處在同一個網段中。即：假設VPN伺服器IP地址為“192.168.0.1”，則此範圍中的IP地址均應該以“192.168.0”開頭。
（9）在“管理多個遠端存取伺服器”一步用於設定集中管理多個VPN伺服器。預設選項為“不，我現在不想設定此伺服器使用RADIUS”，不用修改，直接單擊“下一步”按鈕繼續。
（10）在“正在完成路由和遠端存取伺服器安裝嚮導”一步說明已經配置完成。沒有可以設定的選項，直接單擊“完成”按鈕繼續。
（11）此時螢幕上將出現一個名為“正在啟動路由和遠端存取服務”的小視窗，過一會兒將自動返回“路由和遠端存取”控制台，出現如（圖1）畫面，即結束了VPN伺服器的配置工作。
    說明：此時“服務”控制台中的“Routing and Remote Access”服務已經“自動”處於“已啟動”狀態了；而在“網路和撥號連線”視窗中也會多出一個“傳入的串連”表徵圖。

圖1

2．賦予使用者撥入許可權

預設的，包括Administrator使用者在內的所有使用者均被拒絕撥入到VPN伺服器上，因此需要為相應使用者賦予撥入許可權。本文以“water”使用者為例。
（1）在“我的電腦”處單擊右鍵，選“管理”開啟“電腦管理”控制台。
（2）在左邊架構中依次展開“本機使用者和組”→“使用者”，在右邊架構中雙擊“water”開啟“water 屬性”視窗。
（3）轉到“撥入”選項卡，在“選擇存取權限（撥入或VPN）”選項組下預設選項為“通過遠端存取策略控制訪問”，改選為“允許訪問”，然後單擊“確定”按鈕返回“電腦管理”控制台，即結束了賦予“water”使用者撥入許可權的工作。

3．VPN客戶機（Win2000）的配置

   VPN客戶機端的作業系統可以是Win98/WinNT4.0/Win2000/WinXP/Win2003，相關組件均為系統內建，且要求VPN客戶機已經連入Internet。我還是選擇在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN客戶機為例。
（1）在“網路位置”處單擊右鍵，選“屬性”開啟“網路和撥號連線”視窗。
（2）雙擊“建立串連”表徵圖開啟“網路連接嚮導”視窗。
（3）在“歡迎使用路由和遠端存取安裝嚮導”一步介紹本嚮導的作用。沒有可以設定的選項，直接單擊“下一步”按鈕繼續。
（4）在“網路連接類型”一步可以選擇所建立的網路連接類型。預設選項為“撥號到專用網路”，需要改選為“通過Internet串連到專用網路”，然後單擊“下一步”按鈕繼續。
（5）在“公用網路”一步可以選擇是否在VPN串連前自動撥號。預設選項為“自動撥此初始串連”，需要改選為“不撥初始串連”，然後單擊“下一步”按鈕繼續。
（6）在“目標地址”一步需要提供VPN伺服器的主機名稱或IP地址。在文字框中輸入VPN伺服器的公網IP，比如為“218.88.135.48”，然後單擊“下一步”按鈕繼續。
（7）在“可用串連”一步可以選擇此串連僅允許當前客戶機當前登入使用者使用，還是可讓客戶機中所有使用者使用。預設選項為“所有使用者使用此串連”，根據需要進行選擇，然後單擊“下一步”按鈕繼續。
（8）在“完成網路連接嚮導”一步可以更改本新串連的名稱。預設為“虛擬專用連線”，可不用修改，也可改為任意內容，比如為“到公司總部”，並勾選中“在我的案頭添加一捷徑”複選框，然後單擊“完成”按鈕繼續。
（9）之後會自動彈出名為“串連到公司總部”的串連視窗。在“使用者名稱”處輸入“water”（大小寫不限），在“密碼”處輸入相應的密碼，根據需要勾選中“儲存密碼”複選框，然後單擊“串連”按鈕繼續，見（圖2）。
    注意：此處輸入的使用者名稱應為VPN伺服器上已經建立好，並設定了具有撥入伺服器許可權的使用者，密碼也為其密碼。

圖2

（10）串連成功之後可以看到，雙方的工作列右側均會出現兩個撥號網路成功啟動並執行表徵圖，其中一個是到Intenet的串連，另一個則是VPN的串連了！見（圖3）。

圖3

注意：當雙方建立好了通過Internet的VPN串連後，即相當於又在Internet上建立好了一個雙方專用的虛擬通道，而通過此通道，雙方可以在網路位置中進行互訪，也就是說相當於又組成了一個區域網路絡！這個網路是雙方專用的，而且具體良好的保密效能。VPN建立成功之後，雙方便可以通過IP地址或"網路位置"來達到互訪的目的，當然也就可以使用對方所共用出來的軟硬體資源了！

VPN網路實際應用中遇到的問題及解決辦法:

（1）當VPN網路建立成功之後，VPN客戶機如何訪問VPN伺服器和VPN伺服器所在的區域網路？
解決方案：像普通區域網路一樣，相互之間可以通過“網路位置”，或者直接在任意視窗地址欄輸入“//對方IP地址”（如“//100.100.100.3”）等方式來訪問對方共用出的軟硬體資源。

（2）VPN網路建立成功之後，VPN客戶機便不能訪問Internet了。如何才能做到VPN網路訪問和Internet訪問兩不誤？
解決方案：這是因為VPN客戶機系統使用了VPN伺服器所定義的網關來覆蓋了原有的網關，從而切斷了VPN客戶機訪問Internet的路徑。解決方案是禁止VPN客戶機使用VPN伺服器上的預設閘道。具體操作方法如下：
對於Win2000客戶機，在“網路和撥號連線”視窗中，先選中相應的串連名，比如為“到公司總部”，單擊右鍵，選“屬性”開啟“到公司總部 屬性”視窗。再轉到“網路”選項卡，雙擊列表中的“Internet協議（TCP/IP）”開啟“Internet協議（TCP/IP）屬性”視窗。然後單擊“進階”按鈕進入“進階TCP/IP設定”視窗的“常規”選項卡，去掉“在遠程網路上使用預設閘道”前的小勾即可。

（3）為什麼VPN網路建立成功之後，已經建立串連的VPN客戶機和VPN伺服器（含其下原有的區域網路電腦）無法顯示在對方的“網路位置”中？
解決方案：首先確保VPN客戶機和VPN伺服器均擁有相同的“工作群組”名，然後還需要在VPN伺服器與VPN用戶端上均安裝“NetBEUI”協議（建議同時安裝“IPX/SPX”協議）。

（4）VPN網路建立成功之後，用什麼方法可以迅速、全面、直觀地查看網路中所有活動電腦的電腦名稱、佔用的IP地址及共用資源？
解決方案：可以用IP-Tools軟體。其為：http://www.skycn.net/soft/1123.html（1.06MB）。下載之後直接運行即可很容易完成安裝。運行IP-Tools的主程式之後單擊工具列左起第4個“NB Scanner”按鈕，根據提示輸入起始IP地址後，再單擊“Start”按鈕即可搜尋到相應內容（圖5）。

圖5

 

最後總結一下採用VPN的好處：                                                     

1. 降低了費用：首先，遠端使用者可以通過向當地的ISP申請賬戶登入到Internet，以Internet作為通道與企業內部專用網路相連，通訊費用大幅度降低；其次，企業可以節省購買和維護通訊裝置的費用。

2. 增強了安全性：VPN 使用三個方面的技術保證了通訊的安全性：通道協議、身分識別驗證和資料加密。客戶機向VPN伺服器發出請求，VPN伺服器響應請求並向客戶機發出身份質詢，客戶機將加密的響應資訊發送到VPN服務端，VPN伺服器根據使用者資料庫檢查該響應，如果賬戶有效，VPN伺服器將檢查該使用者是否具有遠端存取的許可權，如果該使用者擁有遠端存取的許可權，VPN伺服器接受此串連。在身分識別驗證過程中產生的客戶機和伺服器公有密鑰將用來對資料進行加密。

3. 支援最常用的網路通訊協定：基於IP、IPX和NetBUI協議的網路中的客戶機都能很容易地使用VPN。

4. 有利於IP地址安全：VPN是加密的，VPN資料在Internet中傳輸時，Internet上的使用者只看到公用的IP地址，看不到資料包內包含的專用網路地址。