图解Windows 2000 VPN 的安装.doc

《图解Windows 2000 VPN 的安装.doc》由会员分享，可在线阅读，更多相关《图解Windows 2000 VPN 的安装.doc（6页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、图解Windows2000VPN的安装 【桓文】培训包就业 考试包通过 NA59921世纪IT人才网热门招聘职位系统集成系统维护工程师系统分析员 嵌入式程序开发教程Windows高级工程师的培训地【就业】先实习后上岗，入职年薪5-10万！ ChinaItLab 佚名 2002-7-18 保存本文 推荐给好友 收藏本页 欢迎进入Windows社区论坛，与200万技术人员互动交流 进入尽管术语“虚拟专用网络 (VPN)”定义相当广泛，但大多数业内专家使用 VPN 代表的是通过公用网络（比如 Internet）建立专用虚拟隧道。通过 VPN，数据被封装成数据包，经由公用网络安全地传输，数据包标头包含

2、路由信息。Windows 2000 支持第 2 层（数据链路层）隧道协议，比如 PPTP 和 L2TP，这些协议先将数据封装进 PPP 帧，然后再通过线路进行传输。第 3 层（网络层）隧道协议（如 IPSec）也受支持，在这里 IP 数据包在传输前先被封装进 IP 标头。 VPN 方案 利用 VPN 有许多种方式。但可能最通常的方案是远程用户通过 VPN 隧道访问企业网络。在其他方案中，远程办公室可以使用持续的或请求拨号 VPN 连接方式连接企业网络。VPN 还可以部署在外部网方案中以便与商业伙伴进行安全通讯。本文将讨论第一种方案下的 VPN 部署，即远程用户通过 VPN 隧道连接企业网络。

3、为 VPN 配置 Windows 2000 Server 要配置 VPN 服务器，计算机必须至少有两个接口。要设置 Windows 2000 server 用于 VPN，请使用以下步骤： 打开“管理工具”中的“路由和远程访问”控制台 右键单击服务器，然后单击配置并启用路由和远程访问 “安装向导”启动，单击“下一步” 选择手动配置服务器，如图 1 所示，单击“下一步” 单击“完成”结束安装向导 图 1 在服务器上启用 VPN 请不要使用虚拟专用网络 (VPN) 服务器选项。“路由和远程访问”向导不允许路由，解释请见 Microsoft Knowledge Base 文章 Q243374。VPN

4、选项为传入 VPN 连接配置服务器，并通过配置筛选器只允许 PPTP 或 L2TP 通信来保护服务器。如果这正是您所需要的，则不必担心。但请注意，使用该选项将导致“路由和远程访问”阻止除 PPTP 和 L2TP 之外的所有数据包。 在用户能够使用 VPN 连接您的服务器前，还需要采取一个步骤。即需要给用户相应的拨入权限以访问网络。这可以通过在“远程访问策略”中授予用户远程访问权限来实现，如图 2 所示；也可以通过在 Active Directory“用户和计算机”中基于每用户配置拨入权限来实现。 图 2 授予远程访问权限 默认情况下，所创建的 VPN 端口数目有所不同，具体取决于是否选择最后一

5、个选项手动配置服务器。如果选择了该选项，则只创建 5 个 PPTP 和 5 个 L2TP 端口，如果选择了中间选项虚拟专用网络 (VPN) 服务器，则创建 128 个 PPTP 和 128 个 L2TP 端口。通过选择“路由和远程访问”控制台中的“端口属性”，您始终可以调整端口数。 备注 如果 VPN 客户端要通过路由器或防火墙，并且使用的是 PPTP，请确保允许 TCP 端口 1723 和 IP 协议 ID 47（GRE - 常规路由封装）通过路由器或防火墙。如果使用的是 L2TP，则需要打开 UDP 端口 500 (IKE)、协议 ID 50 (IPSec ESP) 和协议 ID 51 (

6、IPSec AH)。 客户端配置 要连接企业端的 VPN 服务器，首先需要保证能够通过拨入 ISP 连接 Internet，除非拥有对 Internet 的专用连接（比如 DSL）才不需要拨号。连接到 Internet 即让您置身于企业 VPN 服务器所连接的同一全球 Internet 主干网上。然后您建立第二连接以创建 VPN 隧道。 要创建到企业服务器的第二连接，请按以下步骤操作： 转到“开始”，“设置”，“网络和拨号连接”，然后选择“建立新连接”来启动“网络连接向导”。 在“网络连接类型”屏幕上选择通过 Internet 连接到专用网络，如图 3 所示。 在“公用网络”屏幕上，您可以如此

7、配置：建立到企业 VPN 服务器的第二连接之前，首先自动拨叫 ISP。只有在使用调制解调器或 ISDN“拨入”ISP 以连接 Internet 时才可使用该选项。 按照屏幕上的说明完成向导。 图 3 网络连接类型 默认情况下，使用该连接时，只具有键入用户名和密码的选项。要添加“域”选项，请单击“属性”，然后在“选项”选项卡上选择包含 Windows 登录域框，如图 4 所示。 视连接 VPN 服务器方式的不同，您将使用 MPPE 加密或 IPSec 加密。如果连接到 PPTP 服务器，则使用 MPPE，但如果连接到 L2TP 服务器，则使用 IPSec。默认情况下，VPN 被配置为自动服务器类

8、型，这意味着在尝试使用 MPPE 加密的 PPTP 之前首先尝试使用 IPSec 加密的 L2TP。MPPE 的工作方式与 IPSec 不同。由于数据包到达目的地的先后顺序不同，MPPE 使用标头中的序列号来跟踪数据包。MPPE 根据序列号来更改每个数据包的加密密钥。使用 L2TP 连接需要 IPSec 证书。如果在建立 VPN 连接时遇到问题，请尝试选择 PPTP 代替默认的“自动”选项作为连接类型。如果选择了“自动”设置而不能协商 IPSec 会话，则在它退到 PPTP 之前可能需要等待很长时间（最长可达 2 分钟）。 通过在“远程访问策略”的“属性”下选择“编辑配置文件”可以配置四个加密

9、选项。在“加密”选项卡上，您可以选择“无”加密、“基本”、“强”或“最强”加密。“最强”加密（128 位）只有在安装了 Windows 2000 High Encryption Pack 的情况下可用（推荐安装Windows 2000 Service Pack 1）。 下表显示了拨号和 PPTP 与 IPSec 上的 L2TP VPN 连接加密类型的比较： 了解数据包结构 PPTP 数据包结构 图 5（下图）显示了通过隧道时 PPTP 数据包的结构。首先，通过将加密的 PPP 数据与 PPP 标头封装在一起来创建 PPP 帧。然后，将 PPP 帧与 GRE 标头封装在一起。再后，将生成的有效负

10、载与 IP 标头封装在一起，IP 标头中包含源 IP 地址和目标 IP 地址的信息。最后，该 IP 数据文报与数据链路层标头和尾端封装在一起。视所使用技术的不同，数据链路层标头和尾端也有所不同。例如，当通过以太网发送 IP 数据文报时，它与以太网标头和尾端一起封装，当通过模拟电话线路发送时，它与 PPP 标头和尾端一起封装，等等。当数据包到达目的地时，各标头以相反的顺序剥离。首先，数据链路层标头和尾端被除去，然后 IP、GRE 和 PPP 标头被依次剥离。最后，PPP 数据被解密。 图 6 PPTP 数据包结构 L2TP 数据包结构 L2TP 的数据包结构与 PPTP 有些类似，也有一些标头添加到 PPP 数据中。图 6 显示了 L2TP 数据包的结构。请注意，UDP 标头和 IPSec 尾端间的所有数据均被加密。 图 7 L2TP 数据包结构 流行的解决方案 VPN 是远程办公者对企业网络进行安全访问的有效方法。它通过公用网络提供 LAN 的安全扩展，因此在远程分支机构和外部网方案中也很有用。与传统的拨号解决方案相比，VPN 由于其易于管理和总体拥有成本更低而变得非常流行。