关于计算机VPN1,VPN工作原理2,组建VPN应用到的设备3,
1,工作原理 2,组建VPN应用到的设备 3,把三台分布在不同位置的计算机组成VPN的详细步骤 4,VPN有什么优缺点,改进方法
1。VPN的工作原理 在实际物理部署中,网管员首先通过物理线路(可能是光纤、双绞线、电话线等)连接各个路由设备,然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在华盾VPN网络中,将每一条隧道视为连接两台VPN设备的虚拟网络线路,隧道建立成功后,虚拟线路连接工作就完成了;基于这些虚拟线路,网管员可以在华盾VPN网关上采用同样的方法配置静态、动态路由协议,完成整个VPN网络的灵活部署。这种隧道路由机制的优点在于: 网关的配置概念和方法与路由器类似,减少网管人员对于部署VPN网络的学习和熟悉过程; 通过隧道路由规则配置,可以完成VPN数据流在VPN网关之间的灵活转发,从而可以实现星型网络拓扑,并解决双向NAT穿越问题; 通过动态隧道路由协议的配置,可以实现整个VPN网络的自适应部署,VPN网络拓扑的自动学习、自动寻径; 通过基于策略的隧道路由配置,可以实现VPN网关的冗余备份和负载均衡。 2,组建VPN应用到的设备 VPN网关防火墙,双WAN口VPN服务器、VPN路由器 3,把三台分布在不同位置的计算机组成VPN的详细步骤 *********************************************   组建VPN有多种方法,而我们的讨论则是基于Windows Server 2003提供的“路由和远程访问”服务。利用该服务,我们可以在企业内部搭建VPN服务器,然后通过企业外部客户端的VPN拨号连接对企业内部网进行访问。   我们的试验基于以Windows Server 2003为操作平台、ADSL接入Internet的服务器端环境和以Windows XP为操作平台、ADSL接入Internet的客户端环境。连接方式为客户端通过Internet与服务器端建立VPN连接。 配置VPN服务器 Windows Server 2003的默认配置已经安装 “路由和远程访问”服务,但需要对该服务进行必要的配置才能使其内置的VPN服务生效。配置过程简述如下:   步骤一 依次单击[开始]→[管理工具]→[路由和远程访问],打开“路由和远程访问”服务窗口。   步骤二 右击左侧控制台树里的本地计算机名称,执行[配置并启用路由和远程访问]命令,进入安装向导。单击[下一步],在“配置”对话框中点选[自定义配置]选项并单击[下一步]。然后在“自定义配置”对话框中勾选[VPN访问]选项并单击[下一步]→[完成]→[是]。等待几秒钟之后,VPN服务器即可启动。   步骤三 启动之后的VPN服务器还要经过必需的设置才能符合我们的实验环境。右击控制台树里的服务器名(本例为CHHUIAN),执行[属性]命令。在“CHHUIAN(本地)属性”对话框中切换至IP标签下。在[IP地址指派]选项中点选[静态地址池],然后单击[添加]按钮,分别键入起始IP地址和结束IP地址并单击[确定]→[确定](如图2)。 小提示:使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间,提高连接速度。起始IP地址和结束IP地址可以从所在地区的IP地址范围中截取一段(例如笔者截取的一段是 至 ),具体范围可以咨询当地的ISP。另外也可以自定义一段IP地址(例如 至 )。当然,如果这台主机已经配置了DHCP服务,也可以选择“动态主机配置协议(DHCP)”选项,不过这会延长连接时间。   步骤四 申请动态域名解析服务。如果服务器端有固定的IP地址,则客户端随时可以与服务器建立VPN连接。而我们的服务器端采用的是ADSL虚拟拨号接入Internet,因此需要在VPN服务器上使用动态域名解析服务才能支持客户端用同一个域名随时拨入。当然,如果在每次建立VPN连接前先打电话询问服务器端的IP地址也可以。关于申请动态域名解析的方法本报前面有详细介绍,这里不再赘述。   小提示:能提供动态域名解析服务的网站及相关软件有很多种,如花生壳、DynamicHost等。大家可参阅相关介绍申请使用该项服务。 经过这样简单的几步设置,这台主机已经可以提供VPN服务了。 ****************************************** VPN快速搭建 一.VPN服务器的配置 服务器的地址为 (此地址为虚构地址).注意服务器的地址可以是公网的真实地址也可以是专网的地址,只要客户机拨入网络后能够访问到此服务器即可. 配置过程如下: 1.打开"路由和远程访问". 2.右击要配置的服务器->"配置并启用路由和远程访问". 3.跳过欢迎页面,在"路由和远程访问服务器安装向导"页面中选择"虚拟专用网络(VPN)服务器".下一步. 4.在"远程客户协议"页面根据需要选择合适的协议,这儿选择"TCP/ip",下一步. 5.在"internet连接"页面,选择一个用来让远程计算机连接的internet连接,这儿我们选择地址为 的连接,下一步. 6.在"IP地址指定"页面,选择合适的地址分配方案,为灵活起见选择DHCP好一些.如果仅是几个地址的话可以指定一个地址范围.下一步. 7.在"管理多个远程访问服务器"页面,选择"不,我现在不想设置此服务器使用RADIUS".下一步. 8.完成. 二.用户的配置 用户的配置比较简单,就是允许用户有拨入的权限. 客户端的配置: (一).建立新的拨号连接 (注意如果是VPN服务器与此客户机都在同一局域网内,那么就不必建立拨号连接,直接使用当前的连接就是) 1、选择“开始”->“设置”->“网络和拨号连接”,单击“新建连接”,启动网络连接向导。 2、跳过欢迎屏幕,在第二页网络连接类型中选择“拨号到Internet”,下一步。 3、在跳出的Internet连接向导对话框第一页中,选择“手动设置Internet连接或通过局域网(LAN)连接”,下一步。 4、在第2步设置您的Internet连接页面,选择“通过电话线和调制解调器连接”,下一步。 5、在第3步Internet账户连接的信息第1步页面,不选择“使用区号和拨号规则”,在电话号码框内添加“163”,下一步。 6、在第3步Internet账户连接的信息第2步页面,填写上拨号上网所用的用户名和密码,下一步。 7、在第3步Internet账户连接的信息第3步页面配置您的计算机中,将连接名改为“163”,默认也可,下一步。 8、在第4步设置Internet mail账户页面选“否”,下一步完成连接向导。 9、测试刚建立的这个拨号连接,直至正常。 (二).建立VPN连接 1、选择“开始”->“设置”->“网络和拨号连接”,单击“新建连接”,启动网络连接向导。 2、跳过欢迎屏幕,在第二页网络连接类型中选择“通过Internet连接到虚拟专用网络”,下一步。 3.在"公用网络"页面,如果你是在局域网中与服务器已经通过网卡建立了连接,那么可以选择"不拨初始连接",如果不是这样,那么可以选择下面的"自动拨此初始连接",这里应该选择我们刚才建立的连接"163".下一步. 4.在"目标地址"页面,填写上你的VPN服务器的主机名或IP地址,我们这儿就要填写" ".下一步. 5.在"可用连接"页面,根据需要选择让所有用户都使用此连接或只有自己使用此连接.为简化起见,我们选择"只是我自己使用此连接".下一步. 6.最后输入合适的连接名称如"到公司的VPN连接",完成. (三).连接 在网络和拨号连接中,单击"到公司的VPN连接",即可进行连接 三.远程访问策略的配置 远程访问策略可以灵活的对远程访问进行配置,如需要建议进行配置. vpn应该是很好配的。 注意几个问题: 1、服务器必须要有一个真实的ip(如果用RAS则无所谓) 2、客户端必须是win2000或xp 3、最好采用防火墙,推荐用微软的ISA ******************************************* 4,VPN有什么优缺点,改进方法 优点:   (1) 方便,实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。   (2) 容易维护,SSL VPN维护起来也简单。出现问题,就维护网关就可以了。实在不行,换一台,如果有双机备份的话,备份机器启动就可以了。   (3) 安全,SSL 是一个安全协议,数据是全程加密传输的。另外,由于SSL网关隔离了内部服务器和客户端,只留下一个Web浏览接口,客户端的大多数病毒木马感染不到内部服务器。而IPsec VPN就不一样,实现的是IP级别的访问,远程网络和本地网络几乎没有区别。局域网能够传播的病毒,通过VPN一样能够传播。    当然,SSL VPN的缺点也是很明显的:    (1) 应用受限。一般都用于B/S模式。其他应用程序,象ftp/telnet等等有的SSL VPN能够支持。一般的C/S程序是不能直接应用的,因此SSL VPN市场始终没有火暴起来。这个缺点是致命的,所以现在很多SSL VPN也试图把IPsec 融入进去,通过客户端安装一个软件,虚拟一个VPN 的IP地址,实现PC-TO-Lan的IP级的连接。华盾公司( )也提供这样的产品,和美国array合作的。   (2) 只能实现星形的PC-SSL-SERVERs的应用模式。星形、树型结构都不能支持。   (3) 价格比较高。目前比较知名的高端SSL VPN,价格都在几十万以上。价格很低的国产VPN,在很多性能和应用可靠性上面,距离还比较大。   (4) 安全认证方式很单一,都是使用证书方式。,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。   (5) SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。    为了克服以上的毛病,SSL开发商也作了很多工作,力图向IPSEC融合。兼容支持,而IPsec厂家也在后续的产品中间,陆续增加SSL的支持。我在公司下一代Ipsec产品规划的时候,已经把SSL的支持列入研究计划。