WindowsServer2003搭建VPN伺服器

 宣告：本文始發於IT專家網請勿轉載（[url]http://winsystem.ctocio.com.cn/windows2003/30/7612530.shtml[/url] ）

    近來，隨著中國經濟的騰飛、各種工業企業投資增加，中國已經成為世界的製造中心。大型生產型、經營型企業的生產、排程早已經就嚴重依賴於網路。

　　隨著企業規模的不斷擴大，異地分支機構、辦事處、連鎖超市、經營部門、生產部門，以及投資管理機構，甚至出差人員對中心的資料越來越敏感，因此，這些企業大都已經或者正準備安裝大型網路型ERP/財務軟體用以滿足以上各類需求。然而企業在付出高昂的軟體安裝部署實施費用後，大都為如何減少軟體的執行費用而憂心重重。網際網路的方便、高速和覆蓋並沒有被企業網充分利用，因為任何企業的IT經理都不會將企業內部網直接連線到網際網路，企業內部網與網際網路之間都會設定防火牆，只允許內部網路結點向網際網路發起請求，進行網際網路的訪問，但不允許通過網際網路結點訪問企業內部的資訊。因此公司老總很晚才下班，要在公司處理完所有的資料、郵件，儘管家中有寬頻，但那是網際網路接入，不能接到公司內部網路;出差在外的員工必須拔打昂貴的800號碼或長途電話才能訪問公司內部資訊，以大約28.8Kbps的速率連線到公司內部網路，酒店的寬頻介面卻放在一邊不能用。有什麼好辦法既能保證資料傳輸的安全性，又能降低執行成本呢?DDN專線嗎，肯定不行，相關裝置的安裝難度，路由器等網路裝置的大筆投入不說，光是每月昂貴的租用費用，隨著分支機構的增加，這種負擔正成為企業支出費用的大筆開銷!利用傳統的撥號線路嗎?緩慢的速度，裝置安裝除錯、管理、維護的問題更是讓企業資訊負責人望而卻步。有沒有一種更好的解決方案呢?怎樣才能利用高速、便利的網際網路接入安全地實現移動辦公，在家辦公呢?答案是遠端接入VPN。

　　一、什麼是VPN?

　　虛擬專用網(VPN，Virtual Private Network)是一種利用公共網路來構建的私人專用網路技術，不是真的專用網路，但卻能夠實現專用網路的功能。虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網路服務提供商)，在公用網路中建立專用的資料通訊網路的技術。 在虛擬專用網中，任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。IETF草案理解基於IP的VPN為：”使用IP機制模擬出一個私有的廣域網”是通過私有的隧道技術在公共資料網路上模擬一條點到點的專線技術。所謂虛擬，是指使用者不再需要擁有實際的長途資料線路，而是使用Internet公眾資料網路的長途資料線路。所謂專用網路，是指使用者可以為自己制定一個最符合自己需求的網路。

　　二、VPN的安全性

　　目前VPN主要採用四項技術來保證安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、金鑰管理技術(Key Management)、使用者與裝置身份認證技術(Authentication)。

　　1、隧道技術

　　隧道技術是VPN的基本技術類似於點對點連線技術，它在公用網建立一條資料通道(隧道)，讓資料包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網路協議封裝到PPP中，再把整個資料包裝入隧道協議中。這種雙層封裝方法形成的資料包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而形成。 　 第三層隧道協議是把各種網路協議直接裝入隧道協議中，形成的資料包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文件組成，定義了一個系統來提供安全協議選擇、安全演算法，確定服務所使用金鑰等服務，從而在IP層提供安全保障。

　　2、加解密技術

　　加解密技術是資料通訊中一項較成熟的技術，VPN可直接利用現有技術。

　　3、金鑰管理技術

　　金鑰管理技術的主要任務是如何在公用資料網上安全地傳遞金鑰而不被竊取。現行金鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演演算法則，在網路上傳輸金鑰;在ISAKMP中，雙方都有兩把金鑰，分別用於公用、私用。

　　4、使用者與裝置身份認證技術

　　使用者與裝置身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式，目前這方面做的比較成熟的有國內的深信福科技的VPN解決方案。

　三、VPN網路的可用性

　　通過VPN，企業可以以更低的成本連線遠端辦事機構、出差人員以及業務合作伙伴關鍵業務。虛擬網組成之後，遠端使用者只需擁有本地ISP的上網許可權，就可以訪問企業內部資源，這對於流動性大、分佈廣泛的企業來說很有意義，特別是當企業將VPN服務延伸到合作伙伴方時，便能極大地降低網路的複雜性和維護費用。

　　VPN技術的出現及成熟為企業實施ERP、財務軟體、移動辦公提供了最佳的解決方案。

　　一方面，VPN利用現有網際網路，在網際網路上開拓隧道，充分利用企業現有的上網條件，無需申請昂貴的DDN專線，運營成本低。

　　另一方面，VPN利用IPSEC等加密技術，使在通道內傳輸的資料，有著高達168位的加密措施，充分保證了資料在VPN通道內傳輸的安全性。

　　四、VPN網路的可管理性

　　隨著技術的進步，各種VPN軟硬體解決方案都包含了路由、防火牆、VPN閘道器等三方面的功能，企業或政府通過購買VPN裝置，達到一物多用的功效，既滿足了遠端互聯的要求，而且還能在相當程度上防止黑客的攻擊、並能根據時間、IP、內容、Mac地址、服務內容、訪問內容等多種服務來限制企業公司內部員工上網時的行為，一舉多得。

　　VPN裝置的安裝除錯、管理、維護都極為簡單，而且都支援遠端管理，大多數VPN硬體裝置甚至可通過中央管理器進行集中式的管理維護。出差人員也可以通過客戶端軟體與中心的VPN裝置建立VPN通道，從而達到訪問中心資料等資源的目的。讓互聯無處不在，極大地方便了企業及政府的資料、語音、視訊等方面的應用。

　　五、windows 2003實現NAT地址轉換和VPN伺服器

　　下面我們介紹一下通過Windows Server作業系統自帶的路由和遠端訪問功能來實現NAT共享上網和VPN閘道器的功能。網路拓撲圖如下。我們要實現在異地通過VPN客戶端訪問總部區域網各種伺服器資源。

　　

　　

 

 

第一步：系統前期準備工作

　　伺服器硬體：雙網路卡，一塊接外網，一塊接區域網。在windows2003中VPN服務稱之為“路由和遠端訪問”，預設狀態已經安裝。只需對此服務進行必要的配置使其生效即可。

　　首先確定是否開啟了Windows Firewall/Internet Connection Sharing (ICS)服務，如果開啟了Windows Firewall/Internet Connection Sharing (ICS)服務的話，在配置“路由和遠端訪問”時系統會彈出如下對話方塊。

　　

　　我們只要去“開始”-“程式”-“管理工具”-“服務”裡面把Windows Firewall/Internet Connection Sharing (ICS)停止，並設定啟動型別為禁用，如下圖所示：

　　

 

 

 

第二步：開啟VPN和NAT服務

　　然後再依次選擇“開始”-“程式”-“管理工具”-“路由和遠端訪問”，開啟“路由和遠端訪問”服務視窗;再在視窗左邊右擊本地計算機名，選擇“配置並啟用路由和遠端訪問”，如下圖所示：

　　

　　在彈出的“路由和遠端訪問伺服器安裝嚮導”中點下一步，出現如下對話方塊。

　　

　　

由於我們要實現NAT共享上網和VPN撥入伺服器的功能，所以我們選擇“自定義配置”選項，點下一步;

　　

　　在這裡我們選擇“VPN訪問”和“NAT和基本防火牆”選項，點下一步，在彈出的對話方塊中點“完成”，系統會提示是否啟動服務，點“是”，系統會按剛才的配置啟動路由和遠端訪問服務，最後如下圖所示;

　　

 

 

第三步：配置NAT服務

　　右擊“NAT/基本防火牆”選項，選擇“新增介面”，彈出如下對話方塊;

　　

　　在這裡我們根據自己的網路環境選擇連線Internet的介面，選擇“wan”介面，點“確定”，彈出“網路地址轉換-wan屬性”對話方塊，進行如下圖所示配置;

　　

　　由於我們這個網路卡是連線外網的所以選擇“公用介面連線到Internet”和“在此介面上啟用NAT”選項並選擇“在此介面上啟用基本防火牆”選項，這對伺服器的安全是非常重要的。

 

下面我們點“服務和埠”設定伺服器允許對外提供PPTP VPN服務，在“服務和埠”介面裡點“VPN閘道器(PPTP)”，在彈出的“編輯服務”對話方塊中進行如下圖設定;

　　

　　點“確定”，回到“服務和埠”選項卡，確保選中“VPN閘道器(PPTP)”，如下圖;

　　

 

 

第四步：根據需要設定VPN服務

　　設定連線數：右擊右邊樹形目錄裡的埠選項，選擇屬性，彈出如下對話方塊;

　　

　　Windows Server 2003 企業版VPN服務預設支援128個PPTP連線和128個L2TP連線，因為我們這裡使用PPTP協議，所以我們雙擊“WAN微型埠(PPTP)選項，在彈出的對話方塊里根據自己的需要設定所需的連線數;Windows Server 2003企業版最多支援30000個L2TP埠，16384個PPTP埠。

　　設定IP地址：右擊右邊樹形目錄裡的本地伺服器名，選擇“屬性”並切換到IP選項卡(如下圖所示)。

　　

　　

這裡我們選擇“靜態地址池”點“新增”，根據需要接入數量任意新增一個地址範圍，但是不要和本地IP地址衝突，如下圖所示;

　　

　　點“確定”回到“IP”選項卡，點“確定”應用設定;

　　第五步：設定遠端訪問策略，允許指定使用者撥入

　　新建使用者和組：點“開始”-“程式”-“管理工具”-“計算機管理”，彈出“計算機管理”對話方塊，如下圖;

　　

　　

選擇“本地使用者和組”，右擊“使用者”-“新使用者”進行如下圖所示設定;

　　

　　點選“建立”新增一個使用者;

　　在右邊的樹形目錄中右擊“組”-“新建組”，添入“組名”，點“新增”在彈出的“選擇使用者”對話方塊中，點“高階”-“立即查詢”，選擇剛才建立的“TEST”使用者，把使用者加入剛才建立的組，如下圖;

　　

　　

設定遠端訪問策略：在“路由和遠端訪問”視窗，右擊右面樹形目錄中的“遠端訪問策略”，選擇“新建遠端訪問策略”，在彈出的對話方塊中點“下一步”，填入方便記憶的“策略名”，點“下一步”，選擇“VPN”選項，點“下一步”，點“新增”把剛才新建的組加入到這裡，點“下一步”， “下一步”， “下一步”，“完成”，就完成了遠端策略的設定，後面如果需要新的使用者需要VPN服務，只要為該使用者新建一個帳號，並加入剛才新建的“TEST”組就可以了。

　　第六步：設定動態域名

　　我們把動態域名放在這裡來說。因為一般企業接入網際網路應該有固定IP，這樣客戶機便可隨時隨地對服務端進行訪問;而如果你是家庭使用者採用的 ADSL寬頻接入的話，那一般都是每次上網地址都不一樣的動態IP，所以需在VPN伺服器上安裝動態域名解析軟體，才能讓客戶端在網路中找到服務端並隨時可以撥入。筆者常用的動態域名解析軟體為：花生殼，可以在[url]www.oray[/url].net下載，其安裝及注意事項請參閱相關資料，這裡不再詳述

　　六、VPN客戶端配置

　　這一端配置相對簡單得多，只需建立一個到VPN服務端的專用連線即可。首先肯定客戶端也要接入internet網路，接著筆者同樣以windows 2003客戶端為例說明，其它的win2K作業系統設定都大同小異：

　　第一步：在桌面“網路上的芳鄰”圖示點右鍵選屬性，之後雙擊“新建連線嚮導”開啟向導視窗後點下一步;接著在“網路連線型別”視窗裡點選第二項“連線到我的工作場所的網路”，繼續下一步，在如下圖所示網路連線方式視窗裡選擇第二項“虛擬專用網路連線”;接著為此連線命名後點下一步。

　　

　　第二步：在“VPN伺服器選擇”視窗裡，等待我們輸入的是VPN服務端的固定內容，可以是固定IP，也可以是由花生殼軟體解析出來的動態域名(此域名需要在提供花生殼軟體的[url]www.oray.[/url]net網站下載);接著出現的“可用連線”視窗保持“只是我使用”的預設選項;最後，為方便操作，可以勾選“在桌面上建立快捷方式”選項，單擊完成即會先出現如下圖所示的VPN連線視窗。輸入訪問VPN服務端合法帳戶後的操作就跟XP下“遠端桌面”功能一樣了。連線成功後在右下角狀態列會有圖示顯示。

　　

　　第三步：連線後的共享操作，只要有過一些區域網使用經驗的朋友應該知道怎麼做了吧?一種辦法是通過“網路上的芳鄰”查詢VPN服務端共享目錄;另一種辦法是在瀏覽器裡輸入VPN服務端固定IP地址或動態域名也可開啟共享目錄資源。這其實已經跟在同一個區域網內的操作沒什麼區別了，自然也就可以直接點選某個視訊節目播放，省去下載檔案這一步所花時間了。

　　七、總結

　　到這裡我們已經實現了用一臺Windows Server 2003作業系統做一臺NAT和VPN遠端接入伺服器，實現公司或家庭共享上網和VPN遠端接入訪問本地區域網，實現移動辦公。但是這臺伺服器在安全性和功能上還有一定缺陷，我將在後面的文章中陸續介紹搭建基於L2TP OVER IPSEC的VPN伺服器，以增強資料在網路傳輸中的安全性。介紹搭建基於Microsoft Internet Security and Acceleration (ISA) Server 2006防火牆的遠端接入伺服器，介紹基於Microsoft Internet Security and Acceleration (ISA) Server 2006的站點到站點的虛擬專用網路。

 

     本文轉自 kofstart 51CTO部落格，原文連結：http://blog.51cto.com/kofstart/103816，如需轉載請自行聯絡原作者