<dl id='98ua'></dl>

    <i id='98ua'><div id='98ua'><ins id='98ua'></ins></div></i>
    1. <tr id='98ua'><strong id='98ua'></strong><small id='98ua'></small><button id='98ua'></button><li id='98ua'><noscript id='98ua'><big id='98ua'></big><dt id='98ua'></dt></noscript></li></tr><ol id='98ua'><table id='98ua'><blockquote id='98ua'><tbody id='98ua'></tbody></blockquote></table></ol><u id='98ua'></u><kbd id='98ua'><kbd id='98ua'></kbd></kbd>

      <code id='98ua'><strong id='98ua'></strong></code>

          <span id='98ua'></span>

          <fieldset id='98ua'></fieldset><ins id='98ua'></ins>

        1. <acronym id='98ua'><em id='98ua'></em><td id='98ua'><div id='98ua'></div></td></acronym><address id='98ua'><big id='98ua'><big id='98ua'></big><legend id='98ua'></legend></big></address>

        2. <i id='98ua'></i>

          Windows Server 2003搭建VPN服务器

          • 时间:
          • 浏览:154
          • 来源:124软件资讯网
            迩来  ,随着中国经济的腾飞、种种工业企业投资增添  ,中国已经成为天下的制造中央  。大型生产型、谋划型企业的生产、调理早已经就严重依赖于网络 。

              随着企业规模的不停扩大  ,异地分支机构、服务处、连锁超市、谋划部门、生产部门  ,以及投资治理机构  ,甚至出差职员对中央的数据越来越敏感 ,因此  ,这些企业多数已经或者正准备安装大型网络型ERP/财政软件用以知足以上各种需求  。然而企业在支付高昂的软件安装部署实行用度后 ,多数为怎样淘汰软件的运行用度而忧心重重 。互联网的利便、高速和笼罩并没有被企业网充实使用  ,由于任何企业的IT司理都不会将企业内部网直接毗连到互联网  ,企业内部网与互联网之间都市设置防火墙  ,只允许内部网络结点向互联网提倡请求  ,举行互联网的会见  ,但不允许通过互联网结点会见企业内部的信息  。因此公司老总很晚才下班  ,要在公司处置惩罚完所有的数据、邮件  ,只管家中有宽带  ,但那是互联网接入  ,不能接到公司内部网络;出差在外的员工必须拔打昂贵的800号码或远程电话才气会见公司内部信息 ,以约莫28.8Kbps的速率毗连到公司内部网络  ,旅店的宽带接口却放在一边不能用  。有什么好措施既能保证数据传输的宁静性  ,又能降低运行成本呢?DDN专线吗  ,一定不行 ,相关装备的安装难度  ,路由器等网络装备的大笔投入不说  ,光是每月昂贵的租用用度 ,随着分支机构的增添 ,这种肩负正成为企业支出用度的大笔开销!使用传统的拨号线路吗?缓慢的速率 ,装备安装调试、治理、维护的问题更是让企业信息卖力人望而却步  。有没有一种更好的解决方案呢?怎样才气使用高速、便利的互联网接入宁静地实现移动办公  ,在家办公呢?谜底是远程接入VPN  。

              一、什么是VPN?

              虚拟专用网(VPN  ,Virtual Private Network)是一种使用公共网络来构建的私人专用网络手艺  ,不是真的专用网络 ,但却能够实现专用网络的功效 。虚拟专用网指的是依赖ISP(Internet服务提供商)和其它NSP(网络服务提供商)  ,在公用网络中建设专用的数据通讯网络的手艺  。 在虚拟专用网中  ,恣意两个节点之间的毗连并没有传统专网所需的端到端的物理链路  ,而是使用某种民众网的资源动态组成的  。IETF草案明白基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道手艺在公共数据网络上仿真一条点到点的专线手艺  。所谓虚拟  ,是指用户不再需要拥有现实的远程数据线路  ,而是使用Internet民众数据网络的远程数据线路  。所谓专用网络  ,是指用户可以为自己制订一个最切合自己需求的网络 。

              二、VPN的宁静性

              现在VPN主要接纳四项手艺来保证宁静 ,这四项手艺划分是隧道手艺(Tunneling)、加解密手艺(Encryption & Decryption)、密钥治理手艺(Key Management)、使用者与装备身份认证手艺(Authentication)  。

              1、隧道手艺

              隧道手艺是VPN的基本手艺类似于点对点毗连手艺  ,它在公用网建设一条数据通道(隧道) ,让数据包通过这条隧道传输 。隧道是由隧道协议形成的  ,分为第二、三层隧道协议  。第二层隧道协议是先把种种网络协议封装到PPP中 ,再把整个数据包装入隧道协议中 。这种双层封装要领形成的数据包靠第二层协议举行传输  。第二层隧道协议有L2F、PPTP、L2TP等 。L2TP协议是现在IETF的尺度  ,由IETF融合PPTP与L2F而形成  。   第三层隧道协议是把种种网络协议直接装入隧道协议中  ,形成的数据包依赖第三层协议举行传输  。第三层隧道协议有VTP、IPSec等  。IPSec(IP Security)是由一组RFC文档组成  ,界说了一个系统来提供宁静协议选择、宁静算法 ,确定服务所使用密钥等服务  ,从而在IP层提供宁静保障  。

              2、加解密手艺

              加解密手艺是数据通讯中一项较成熟的手艺 ,VPN可直接使用现有手艺  。

              3、密钥治理手艺

              密钥治理手艺的主要使命是怎样在公用数据网上宁静地通报密钥而不被窃取  。现行密钥治理手艺又分为SKIP与ISAKMP/OAKLEY两种  。SKIP主要是使用Diffie-Hellman的演算规则 ,在网络上传输密钥;在ISAKMP中  ,双方都有两把密钥 ,划分用于公用、私用  。

              4、使用者与装备身份认证手艺

              使用者与装备身份认证手艺最常用的是使用者名称与密码或卡片式认证等方式  ,现在这方面做的比力成熟的有海内的笃信福科技的VPN解决方案  。

            三、VPN网络的可用性

              通过VPN  ,企业可以以更低的成本毗连远程服务机构、出差职员以及营业互助同伴要害营业  。虚拟网组成之后 ,远程用户只需拥有当地ISP的上网权限 ,就可以会见企业内部资源  ,这对于流动性大、漫衍普遍的企业来说很有意义 ,特殊是当企业将VPN服务延伸到互助同伴方时  ,便能极大地降低网络的庞大性和维护用度  。

              VPN手艺的泛起及成熟为企业实行ERP、财政软件、移动办公提供了最佳的解决方案  。

              一方面 ,VPN使用现有互联网  ,在互联网上开拓隧道  ,充实使用企业现有的上网条件  ,无需申请昂贵的DDN专线  ,运营成本低 。

              另一方面 ,VPN使用IPSEC等加密手艺  ,使在通道内传输的数据  ,有着高达168位的加密措施  ,充实保证了数据在VPN通道内传输的宁静性 。

              四、VPN网络的可治理性

              随着手艺的前进  ,种种VPN软硬件解决方案都包罗了路由、防火墙、VPN网关等三方面的功效  ,企业或政府通过购置VPN装备 ,到达一物多用的功效  ,既知足了远程互联的要求 ,而且还能在相当水平上防止黑客的攻击、并能凭据时间、IP、内容、Mac地址、服务内容、会见内容等多种服务来限制企业公司内部员工上网时的行为  ,一举多得 。

              VPN装备的安装调试、治理、维护都极为简朴  ,而且都支持远程治理 ,大多数VPN硬件装备甚至可通过中央治理器举行集中式的治理维护  。出差职员也可以通过客户端软件与中央的VPN装备建设VPN通道  ,从而到达会见中央数据等资源的目的  。让互联无处不在  ,极大地利便了企业及政府的数据、语音、视频等方面的应用 。

              五、windows 2003实现NAT地址转换和VPN服务器

              下面我们先容一下通过Windows Server操作系统自带的路由和远程会见功效来实现NAT共享上网和VPN网关的功效  。网络拓扑图如下  。我们要实现在异地通过VPN客户端会见总部局域网种种服务器资源  。

              

            第一步:系统前期准备事情

              服务器硬件:双网卡  ,一块接外网  ,一块接局域网  。在windows2003中VPN服务称之为“路由和远程会见” ,默认状态已经安装  。只需对此服务举行须要的设置使其生效即可  。

              首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务  ,若是开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话 ,在设置“路由和远程会见”时系统会弹出如下对话框  。

              

              我们只要去“最先”-“法式”-“治理工具”-“服务”内里把Windows Firewall/Internet Connection Sharing (ICS)制止  ,并设置启动类型为禁用 ,如下图所示:

              

            第二步:开启VPN和NAT服务

              然后再依次选择“最先”-“法式”-“治理工具”-“路由和远程会见”  ,打开“路由和远程会见”服务窗口;再在窗口左边右击当地盘算机名  ,选择“设置并启用路由和远程会见”  ,如下图所示:

              

              在弹出的“路由和远程会见服务器安装向导”中点下一步  ,泛起如下对话框  。

              

            由于我们要实现NAT共享上网和VPN拨入服务器的功效  ,以是我们选择“自界说设置”选项  ,点下一步;

              

              在这里我们选择“VPN会见”和“NAT和基本防火墙”选项  ,点下一步  ,在弹出的对话框中点“完成”  ,系统会提醒是否启动服务  ,点“是”  ,系统会按适才的设置启动路由和远程会见服务 ,最后如下图所示;

              

            第三步:设置NAT服务

              右击“NAT/基本防火墙”选项  ,选择“新增接口” ,弹出如下对话框;

              

              在这里我们凭据自己的网络情况选择毗连Internet的接口  ,选择“wan”接口 ,点“确定”  ,弹出“网络地址转换-wan属性”对话框 ,举行如下图所示设置;

              

              由于我们这个网卡是毗连外网的以是选择“公用接口毗连到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项  ,这对服务器的宁静是很是主要的 。

             下面我们点“服务和端口”设置服务器允许对外提供PPTP VPN服务  ,在“服务和端口”界面里点“VPN网关(PPTP)”  ,在弹出的“编辑服务”对话框中举行如下图设置;

              

              点“确定”  ,回到“服务和端口”选项卡  ,确保选中“VPN网关(PPTP)”  ,如下图;

              

            第四步:凭据需要设置VPN服务

              设置毗连数:右击右边树形目录里的端口选项  ,选择属性  ,弹出如下对话框;

              

              Windows Server 2003 企业版VPN服务默认支持128个PPTP毗连和128个L2TP毗连  ,由于我们这里使用PPTP协议 ,以是我们双击“WAN微型端口(PPTP)选项  ,在弹出的对话框里凭据自己的需要设置所需的毗连数;Windows Server 2003企业版最多支持30000个L2TP端口  ,16384个PPTP端口  。

              设置IP地址:右击右边树形目录里的当地服务器名  ,选择“属性”并切换到IP选项卡(如下图所示) 。

              

            这里我们选择“静态地址池”点“添加”  ,凭据需要接入数目恣意添加一个地址规模  ,可是不要和当地IP地址冲突  ,如下图所示;

              

              点“确定”回到“IP”选项卡  ,点“确定”应用设置;

              第五步:设置远程会见计谋 ,允许指定用户拨入

              新建用户和组:点“最先”-“法式”-“治理工具”-“盘算机治理” ,弹出“盘算机治理”对话框  ,如下图;

              

            选择“当地用户和组”  ,右击“用户”-“新用户”举行如下图所示设置;

              

              点击“建立”新增一个用户;

              在右边的树形目录中右击“组”-“新建组”  ,添入“组名” ,点“添加”在弹出的“选择用户”对话框中  ,点“高级”-“立刻查找”  ,选择适才建设的“TEST”用户 ,把用户加入适才建设的组  ,如下图;

              

            设置远程会见计谋:在“路由和远程会见”窗口  ,右击右面树形目录中的“远程会见计谋” ,选择“新建远程会见计谋”  ,在弹出的对话框中点“下一步”  ,填入利便影象的“计谋名”  ,点“下一步”  ,选择“VPN”选项  ,点“下一步”  ,点“添加”把适才新建的组加入到这里  ,点“下一步”  , “下一步” , “下一步”  ,“完成” ,就完成了远程计谋的设置  ,后面若是需要新的用户需要VPN服务 ,只要为该用户新建一个帐号  ,并加入适才新建的“TEST”组就可以了  。

              第六步:设置动态域名

              我们把动态域名放在这里来说 。由于一样平常企业接入互联网应该有牢固IP  ,这样客户机便可随时随地对服务端举行会见;而若是你是家庭用户接纳的 ADSL宽带接入的话  ,那一样平常都是每次上网地址都纷歧样的动态IP ,以是需在VPN服务器上安装动态域名剖析软件  ,才气让客户端在网络中找到服务端并随时可以拨入  。笔者常用的动态域名剖析软件为:花生壳  ,可以在www.oray.net下载  ,其安装及注重事项请参阅相关资料 ,这里不再详述

              六、VPN客户端设置

              这一端设置相对简朴得多  ,只需建设一个到VPN服务端的专用毗连即可  。首先一定客户端也要接入internet网络 ,接着笔者同样以windows 2003客户端为例说明  ,其它的win2K操作系统设置都大同小异:

              第一步:在桌面“网上邻人”图标点右键选属性 ,之后双击“新建毗连向导”打开向导窗口后点下一步;接着在“网络毗连类型”窗口里点选第二项“毗连到我的事情场所的网络”  ,继续下一步  ,在如下图所示网络毗连方式窗口里选择第二项“虚拟专用网络毗连”;接着为此毗连命名后点下一步  。

              

              第二步:在“VPN服务器选择”窗口里  ,等候我们输入的是VPN服务端的牢固内容  ,可以是牢固IP  ,也可以是由花生壳软件剖析出来的动态域名(此域名需要在提供花生壳软件的www.oray.net网站下载);接着泛起的“可用毗连”窗口保持“只是我使用”的默认选项;最后  ,为利便操作  ,可以勾选“在桌面上建设快捷方式”选项  ,单击完成即会先泛起如下图所示的VPN毗连窗口  。输入会见VPN服务端正当帐户后的操作就跟XP下“远程桌面”功效一样了  。毗连乐成后在右下角状态栏会有图标显示  。

              

              第三步:毗连后的共享操作  ,只要有过一些局域网使用履历的朋侪应该知道怎么做了吧?一种措施是通过“网上邻人”查找VPN服务端共享目录;另一种措施是在浏览器里输入VPN服务端牢固IP地址或动态域名也可打开共享目录资源  。这实在已经跟在统一个局域网内的操作没什么区别了 ,自然也就可以直接点击某个视频节目播放  ,省去下载文件这一步所花时间了  。

              七、总结

              到这里我们已经实现了用一台Windows Server 2003操作系统做一台NAT和VPN远程接入服务器  ,实现公司或家庭共享上网和VPN远程接入会见当地局域网 ,实现移动办公  。可是这台服务器在宁静性和功效上另有一定缺陷  ,我将在后面的文章中陆续先容搭建基于L2TP OVER IPSEC的VPN服务器 ,以增强数据在网络传输中的宁静性  。先容搭建基于Microsoft Internet Security and Acceleration (ISA) Server 2006防火墙的远程接入服务器 ,先容基于Microsoft Internet Security and Acceleration (ISA) Server 2006的站点到站点的虚拟专用网络 。