VPN技術(shù)簡(jiǎn)介
1.1 概述
VPN的全稱(chēng)是Virtual Private Network,翻譯過(guò)來(lái)一般稱(chēng)為虛擬專(zhuān)用網(wǎng)絡(luò)。其主要作用就是利用公用網(wǎng)絡(luò)(主要是互聯(lián)網(wǎng))將多個(gè)私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)。通過(guò)公用網(wǎng)絡(luò)進(jìn)行連接可以大大降低通信的成本。
一般來(lái)說(shuō)兩臺(tái)連接上互聯(lián)網(wǎng)的計(jì)算機(jī)只要知道對(duì)方的IP地址,是可以直接同通信的。不過(guò)位于這兩臺(tái)計(jì)算機(jī)之后的網(wǎng)絡(luò)是不能直接互聯(lián)的,原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議,即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺(tái)直接和公用連接的計(jì)算機(jī)之間建立一個(gè)條專(zhuān)用通道。連個(gè)私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過(guò)這兩臺(tái)計(jì)算機(jī)或設(shè)備打包通過(guò)公用網(wǎng)絡(luò)的專(zhuān)用通道進(jìn)行傳輸,然后在對(duì)端解包,還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對(duì)于兩個(gè)私有網(wǎng)絡(luò)來(lái)說(shuō)公用網(wǎng)絡(luò)就像普通的通信電纜,而接在公用網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)或設(shè)備則相當(dāng)于兩個(gè)特殊的線路接頭。
由于VPN連接的特點(diǎn),私有網(wǎng)絡(luò)的通信內(nèi)容會(huì)在公用網(wǎng)絡(luò)上傳輸,出于安全和效率的考慮一般通信內(nèi)容需要加密或壓縮。而通信過(guò)程的打包和解包工作則必須通過(guò)一個(gè)雙方協(xié)商好的協(xié)議進(jìn)行,這樣在兩個(gè)私有網(wǎng)絡(luò)之間建立VPN通道是需要一個(gè)專(zhuān)門(mén)的過(guò)程,依賴(lài)于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備和協(xié)議組成了一個(gè)VPN系統(tǒng)。一個(gè)完整的VPN系統(tǒng)一般包括以下幾個(gè)單元:
VPN服務(wù)器,一臺(tái)計(jì)算機(jī)或設(shè)備用來(lái)接收和驗(yàn)證VPN連接的請(qǐng)求,處理數(shù)據(jù)打包和解包工作。
VPN客戶(hù)端,一臺(tái)計(jì)算機(jī)或設(shè)備用來(lái)發(fā)起VPN連接的請(qǐng)求,也處理數(shù)據(jù)的打包和解包工作。
VPN數(shù)據(jù)通道,一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。
注意所謂的服務(wù)器和客戶(hù)端在VPN連接建立之后在通信的角色是一樣的,服務(wù)器和客戶(hù)端的區(qū)別在于連接是由誰(shuí)發(fā)起的而已。這個(gè)概念在兩個(gè)網(wǎng)絡(luò)之間的連接尤其明顯。
1.2 應(yīng)用情景
我們可以設(shè)想一下的情景:公司的總部在廣州,有兩個(gè)辦事處分別在香港和上海,兩個(gè)辦事處的網(wǎng)絡(luò)需要和總部連接,同時(shí)辦事處之間也需要相互連接。解決這種問(wèn)題以前只有一種辦法就是分別申請(qǐng)兩條專(zhuān)線連接總部和兩個(gè)辦事處,兩個(gè)辦事處之前的通信通過(guò)總部轉(zhuǎn)發(fā)。長(zhǎng)途專(zhuān)線的費(fèi)用是非常昂貴的,在以前也只有銀行、證券公司以及大象企業(yè)才有能力負(fù)擔(dān)。
有了互聯(lián)網(wǎng)和VPN技術(shù)之后解決辦法可以變成這樣,總部通過(guò)一條專(zhuān)線和互聯(lián)網(wǎng)連接,兩個(gè)辦事處分別在本地申請(qǐng)互聯(lián)網(wǎng)的撥號(hào)連接。然后通過(guò)在互聯(lián)網(wǎng)上建立兩條VPN通道將三個(gè)網(wǎng)絡(luò)連接起來(lái)。這樣可以省去長(zhǎng)途專(zhuān)線費(fèi)用。不過(guò)互聯(lián)網(wǎng)的專(zhuān)線連接也不便宜,這種解決方案暫時(shí)也只有大中型公司可以負(fù)擔(dān)得起。
二、 規(guī)劃VPN接入環(huán)境
VPN不但可以用于上述網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)的連接,也可以用于單臺(tái)計(jì)算機(jī)到網(wǎng)絡(luò)的連接。在使用VPN的時(shí)候我們需要規(guī)劃一下我們應(yīng)用環(huán)境。
首先我們需要列出需要連接的節(jié)點(diǎn)以及節(jié)點(diǎn)的類(lèi)型,以及之間的訪問(wèn)關(guān)系,即由誰(shuí)發(fā)起連接和向誰(shuí)發(fā)起連接的問(wèn)題。這樣我們可以確認(rèn)在我們環(huán)境中確定哪些地方需要安裝VPN服務(wù)器,哪些地方僅僅是配置客戶(hù)端就可以了。
對(duì)于需要安裝VPN服務(wù)器的地方我們需要一條比較高速的互聯(lián)網(wǎng)線路,一個(gè)固定的IP地址,或者使用花生殼配置一個(gè)固定的域名。
下面的介紹時(shí)基于微軟間操作系統(tǒng)進(jìn)行的。微軟的操作系統(tǒng)中提供VPN服務(wù)器功能的有Window 2000 Server和Advance Server,以及比較久的NT Server 4.0,當(dāng)然這些操作系統(tǒng)也可以作為VPN的客戶(hù)端。其他的則全部都可以作為VPN客戶(hù)端。(Window95必須安裝Dialup Network 1.3組件)。
確定了服務(wù)器和客戶(hù)端之后,我們還需要規(guī)劃個(gè)節(jié)點(diǎn)的IP地址。每個(gè)私有網(wǎng)絡(luò)必須使用不同的地址段,在各自的地址段中必須劃分出一部分用于VPN的接入。
以下的介紹我們都是圍繞著Window2000的配置進(jìn)行的。
三、 配置VPN接入服務(wù)器
3.1 安裝花生殼
只有VPN服務(wù)器才需要安裝花生殼服務(wù),在規(guī)劃環(huán)境的時(shí)候必須為每臺(tái)VPN服務(wù)器申請(qǐng)一個(gè)網(wǎng)域護(hù)照。這樣每臺(tái)服務(wù)器就會(huì)有一個(gè)不同的域名。在客戶(hù)端撥號(hào)的時(shí)候可以通過(guò)域名控制連接不同的網(wǎng)絡(luò)。
一般建議花生殼直接安裝在VPN服務(wù)器上,并配置為自動(dòng)啟動(dòng)。這樣只要服務(wù)器在線域名一定有效。當(dāng)然如果VPN服務(wù)器也提供互聯(lián)網(wǎng)共享的話也可以將花生殼安裝在內(nèi)部網(wǎng)絡(luò)的任何一臺(tái)計(jì)算機(jī)上,不過(guò)必須保證這臺(tái)計(jì)算機(jī)不會(huì)在服務(wù)器在線的時(shí)候關(guān)機(jī),以免域名失效。
3.2 網(wǎng)絡(luò)連接準(zhǔn)備
作為VPN服務(wù)器實(shí)際上就是一臺(tái)路由器,一般需要安裝兩塊或以上的網(wǎng)卡,其中一塊網(wǎng)卡負(fù)責(zé)和互聯(lián)網(wǎng)連接。另一塊網(wǎng)卡則連接內(nèi)部網(wǎng)絡(luò)。在進(jìn)行下面的配置之前首先必須檢測(cè)服務(wù)器和互聯(lián)網(wǎng)的連接是否正常。
另外很重要的一點(diǎn)就是必須保證服務(wù)器和互聯(lián)網(wǎng)連接的網(wǎng)卡獲得的是一個(gè)公網(wǎng)地址,即接入的ISP不是使用地址轉(zhuǎn)換技術(shù)。檢測(cè)的辦法如下:
在命令行輸入ipconfig,檢查和互聯(lián)網(wǎng)連接的網(wǎng)卡的IP地址,如果其地址在下列范圍之一則不是公網(wǎng)地址,ISP使用了地址轉(zhuǎn)換技術(shù)提供接入服務(wù)。這樣就必須更換ISP。
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
3.3 配置路由和遠(yuǎn)程訪問(wèn)服務(wù)
激活路由和遠(yuǎn)程訪問(wèn)服務(wù)
在安裝Window 2000 服務(wù)器或高級(jí)服務(wù)器的時(shí)候路由和遠(yuǎn)程服務(wù)是默認(rèn)安裝好的,不過(guò)沒(méi)有激活罷了,因此我們需要首先激活路由和遠(yuǎn)程訪問(wèn)服務(wù)。步驟如下:
在程序/管理工具中,點(diǎn)擊“路由和遠(yuǎn)程訪問(wèn)”。打開(kāi)路由和遠(yuǎn)程訪問(wèn)服務(wù)管理界面,見(jiàn)圖3-1
圖3-1
當(dāng)前的管理界面中尚未添加服務(wù)器,所接下來(lái)需要將本機(jī)添加進(jìn)去,方法是在服務(wù)器狀態(tài)上按鼠標(biāo)右鍵,選擇添加服務(wù)器,打開(kāi)添加服務(wù)器的對(duì)話框,選擇“這臺(tái)計(jì)算機(jī)”,見(jiàn)圖3-2
圖3-2
按確定之后管理界面出現(xiàn)本機(jī),并且處于停止?fàn)顟B(tài),見(jiàn)圖3-3
接下來(lái)需要激活本機(jī)的路由和遠(yuǎn)程訪問(wèn)服務(wù),在本級(jí)服務(wù)器上按鼠標(biāo)右鍵,選擇配置和激活路由和遠(yuǎn)程訪問(wèn)服務(wù)。系統(tǒng)打開(kāi)路由和遠(yuǎn)程訪問(wèn)服務(wù)安裝向?qū)А0聪乱徊匠霈F(xiàn)想到的功用設(shè)置頁(yè)面,見(jiàn)圖3-4。
圖3-4
選擇手動(dòng)配服務(wù)器,實(shí)際上這是最簡(jiǎn)單的配置方法,我們暫時(shí)撇開(kāi)復(fù)雜的概念,這個(gè)選擇實(shí)際上已經(jīng)將大部分我們需要的功能完成了。按下一步然后完成,系統(tǒng)會(huì)詢(xún)問(wèn)是否啟動(dòng)路由和遠(yuǎn)程訪問(wèn)服務(wù),回答是。然后我們又回到管理界面。見(jiàn)圖3-5
圖3-5
接下來(lái)我們所需要改動(dòng)的地方只有一個(gè)就是配置VPN接入是分配的IP地址
配置接入的IP地址
VPN服務(wù)在接受了VPN客戶(hù)端的接入之后就會(huì)為客戶(hù)端分配一個(gè)IP地址,客戶(hù)端就是用這個(gè)地址和服務(wù)器或服務(wù)器連接的內(nèi)部網(wǎng)絡(luò)通信。這個(gè)地址需要實(shí)現(xiàn)分配好,這個(gè)地址可以有兩種配置方法:
1、 使用和內(nèi)部網(wǎng)絡(luò)相同的地址段,這樣遠(yuǎn)程接入的VPN客戶(hù)就和直接連接在內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)一樣,其網(wǎng)絡(luò)配置和在公司內(nèi)部的計(jì)算機(jī)沒(méi)有什么區(qū)別。這種方式適合于單機(jī)撥入的情況,但不太適合網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)的VPN互聯(lián)。
2、 使用和內(nèi)部網(wǎng)絡(luò)不同的地址段,這時(shí)候VPN服務(wù)器相當(dāng)于一臺(tái)路由器,比較和與網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)的互聯(lián)。對(duì)于單機(jī)就比較麻煩,對(duì)于接入移動(dòng)式辦公的電腦最好還是選用第一種方式。
配置接入地址段的方法也有兩種方法,一種是利用DHCP服務(wù)器,另一種就是直接在接入服務(wù)器上配置。前一種方法需要介紹DHCP服務(wù)器的使用,這里就暫不介紹了。以下是配置接入服務(wù)器自己的地址段的方法。
在接入服務(wù)器上按鼠標(biāo)右鍵,點(diǎn)擊屬性,打開(kāi)服務(wù)器的屬性對(duì)話框,選擇IP頁(yè)面,如圖3-6
圖3-6
選擇“靜態(tài)地址”,按添加打開(kāi)靜態(tài)地址配置對(duì)話框,如圖3-7
圖3-7
輸入其實(shí)抵制和結(jié)束地質(zhì),注意地址數(shù)量必須比最大的接入數(shù)量多一個(gè),因?yàn)榉⻊?wù)總是占用地址段的第一個(gè)地址。
3.4 配置訪問(wèn)權(quán)限
用戶(hù)必須有相應(yīng)的權(quán)限才能使用接入服務(wù),這個(gè)權(quán)限是在用戶(hù)管理工具中配置的。如果使用活動(dòng)目錄則必須使用活動(dòng)目錄的擁護(hù)和計(jì)算機(jī)進(jìn)行管理,如果使用本機(jī)的賬號(hào)則使用計(jì)算機(jī)管理中的用戶(hù)和組的功能。
遠(yuǎn)程撥入的權(quán)限是一個(gè)個(gè)用戶(hù)配置的,默認(rèn)情況下所有用戶(hù)都沒(méi)有撥入權(quán)限。我們?cè)谟脩?hù)管理中選擇需要撥入的用戶(hù),打開(kāi)屬性對(duì)話框,選擇撥入頁(yè)面。在遠(yuǎn)程訪問(wèn)權(quán)限中選擇“允許訪問(wèn)”即可,見(jiàn)圖3-8
四、 配置客戶(hù)端
這里介紹的客戶(hù)端指的是單臺(tái)PC連接VPN服務(wù)器的情況,即單機(jī)和網(wǎng)絡(luò)的連接。關(guān)于網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接我將在后續(xù)的文章介紹。
單機(jī)連接2000Server做的VPN服務(wù)器非常簡(jiǎn)單,和平時(shí)Modem撥號(hào)上網(wǎng)差不多。區(qū)別在于原來(lái)填寫(xiě)電話號(hào)碼的地方現(xiàn)在必須填寫(xiě)VPN服務(wù)器的Ip地址或域名。另外我們需要記住VPN是一種建立在已有的網(wǎng)絡(luò)連接上的一種專(zhuān)用連接,即人和VPN都需要一個(gè)底層的網(wǎng)絡(luò)連接,我們可以在建立VPN撥號(hào)連接的時(shí)候指定底層連接(如連接互聯(lián)網(wǎng)的撥號(hào)連接),這樣在撥VPN的時(shí)候計(jì)算機(jī)會(huì)自動(dòng)撥互聯(lián)網(wǎng)的連接。當(dāng)然你如果使用多種互聯(lián)網(wǎng)連接或直接使用局域網(wǎng)類(lèi)型的連接?梢圆恢付ㄟ@個(gè)底層連接,在撥VPN之前自己手工撥號(hào)上互聯(lián)網(wǎng)。
建立VPN撥號(hào)連接的方法如下:
首先打開(kāi)控制面板里面的網(wǎng)絡(luò)和撥號(hào)連接,點(diǎn)擊新建連接。系統(tǒng)會(huì)打開(kāi)撥號(hào)連接向?qū),按下一步,進(jìn)入網(wǎng)絡(luò)連接類(lèi)型的選擇,如圖4-1
圖4-1
選擇通過(guò)Internet連接到專(zhuān)用網(wǎng)絡(luò),按下一步,進(jìn)入公用網(wǎng)絡(luò)配置,見(jiàn)圖4-2
圖4-2
如果你使用的局域網(wǎng)形式的接入選擇,不撥初始連接,如果你使用一個(gè)固定的撥號(hào)網(wǎng)絡(luò)連接互聯(lián)網(wǎng),則選擇自動(dòng)撥此初始連接,并選擇對(duì)應(yīng)的撥號(hào)連接名稱(chēng)。按下一步,進(jìn)入目標(biāo)地址配置,見(jiàn)圖4-3
圖4-3
輸入VPN服務(wù)器的IP地址或域名,如果你的VPN服務(wù)器采用的是動(dòng)態(tài)連接,這時(shí)花生殼就顯示出其威力了,只需要輸入了VPN服務(wù)器的動(dòng)態(tài)域名,我們就可以省去大筆固定線路的租用費(fèi)用了。按下一步,輸入新建VPN連接的名稱(chēng),見(jiàn)圖4-4
圖4-4
至此VPN客戶(hù)端配置完畢。如果你有多個(gè)VPN服務(wù)器可以重復(fù)上述步驟,為每個(gè)VPN接入服務(wù)器建立相應(yīng)的連接。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:Windows 2003下VPN服務(wù)器架設(shè)