Windows2000的VPN实现.doc

下载

下载

24积分

30积分

下载

30积分

VIP价：24积分

基于 Windows2000 的 VPN 实现 第一章 引 言 虚拟专用网络的出现 随着信息化程度的不断推进，越来越多的企业开始享受信息化所带来的高效 率和便利，这其中很多企业在全国各地都拥有自身的分支机构，但人数和规模较 小。对于这些企业，对分支机构进行信息化建设的时候，会比较注意经济性的考 虑，对成本比较敏感。一般不希望租用 DDN 等专线接入，希望使用较经济的 PSTN 拨号或者 ADSL 等接入形式，但这些只能提供浏览、电子邮件等单一服务， 没有服务质量保证，没有权限和安全机制，界面复杂不易掌握，因此他们迫切需 要一种经济的、安全的组网方式。虚拟专用网络的提出就是来解决这些问题。 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网 络能够利用 Internet 或其它公共互联网络的基础设施为用户创建隧道，并提供与 专用网络一样的安全和功能保障。 如图 1-1 所示。 图 1-1 虚拟专用网的示意图 虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用 Internet 等公 共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建 立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机 和企业服务器之间建立点对点连接，进行数据的传输。 虚拟专用网络技术同样支持企业通过 Internet 等公共互联网络与分支机构或 其它公司建立连接，进行安全的通讯。这种跨越 Internet 建立的 VPN 连接逻辑上 等同于两地之间使用广域网建立的连接。 虽然 VPN 通讯建立在公共互联网络的基础上，但是用户在使用 VPN 时感觉 如同在使用专用网络进行通讯，所以得名虚拟专用网络。 虚拟专用网络的概述 VPN--虚拟专用网（Virtual Private Network）是专用网络在公共网络如 Internet 上的扩展。VPN 通过私有隧道技术在公共网络上仿真一条点到点的专线， 从而达到安全的数据传输目的。基于 Internet 的 VPN 也称为 IP-VPN。单纯仿真 一条点到点的连接，数据只要经过封装，再加上一个提供路由信息的报头就可以 了。而如果要仿真一条专线，为保证传输数据的安全，通常还要对数据进行加密 处理。VPN 连接必须同时包含数据封装和加密两方面。 图 1-2 VPN 示意图 有了 VPN，用户在家里或在路途中也可以利用 Internet 或其他公共网络对企 业服务器进行远程访问。从用户的角度来看，VPN 就是在用户计算机即 VPN 客 户机和企业服务器即 VPN 服务器之间点到点的连接，由于数据通过一条仿真专 线传输，用户感觉不到公共网络的实际存在，能够像在专线上一样处理企业内部 信息。换言之，虚拟专用网不是真正的专用网络，但却能够实现专用网络的功能。 VPN 可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立 快捷，安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网 WAN 的运作。 VPN 技术的出现，使企业不再依赖于昂贵的长途拨号以及长途专线服 务，而代之以本地 ISP 提供的 VPN 服务。从企业中心站点铺设至当地 ISP 的专 线要比传统 WAN 解决方案中的长途专线短得多，因而成本也低廉得多。 典型 VPN 的组成 VPN 的构成一个典型 VPN 的组成部分如图 1-3 所示： 图 1-3 VPN 的构成 VPN 服务器：接受来自 VPN 客户机的连接请求。 VPN 客户机：可以是终端计算机也可以是路由器。 隧道：数据传输通道，在其中传输的数据必须经过封装。 VPN 连接：在 VPN 连接中，数据必须经过加密。 隧道协议：封装数据、管理隧道的通信标准。 传输数据：经过封装、加密后在隧道上传输的数据。 公共网络：如 Internet，也可以是其他共享型网络。 注：隧道里也可以发送未经加密的数据，但在这种情况下，专用数据没有经 过加密处理而以易读形式在公共网络上传输，因而不属于 VPN 连接。 VPN 与专线的区别 与传统的电信专线网络相比，VPN 虚拟专网具备以下优势 廉价的网络接入 VPN 虚拟专网利用免费的 Internet 资源将企业在全省乃至 全国的各分支机构进行互联，各节点全部采用本地电话或本地专线接入方式，大 大节省了长途拨号及长途专线的连接费用（VPN 与专线访问的比较如下表所 示）。 表 1-1 VPN 与专线访问的比较图 比较项目 VPN 远程拨号 专线 通 平台 Internet 等公共基极 IP 网络 PSDN DDS、微波等 通 费用 低 高 高 设备投资 日常维护成本 支持的用户类 型 低 低 移动用户、局域网 较高 高 移动用户、局域网 高 高 局域网 系统扩展成本 低 高 高 严格的用户认证 VPN 系统全部采用 CA 认证体制（采用非对称密钥证书 体系），即在企业信息中心 VPN 控制平台建立全省统一的认证授权系统，所有企 业客户端都有自己的私有证书、用户名及密码，使接入用户与 VPN 虚拟专网、 VPN 网关进行双向身份鉴别，同时客户端还支持双因素身份认证。每次用户登 录都将有严格的审计日志记录，以便于日后的审计与稽核，同时 VPN 系统增加 了用户操作的数字签名，即数据交易的不可抵赖性，这种技术一般用于银行的金 融业务交易。所以与普通专线相比，其强制认证措施确保了企业内网服务的访问 与稽核安全。 高强度的数据保密由于数据全部通过互联网进行传输，所以必须进行数据加 密与数据完整性保护。VPN 虚拟专网一般提供 128 位以上的对称加密措施，非 对称密码算法使用 1024 位，并采用网络协议堆栈上的应用层 VPN 技术，全部采 用一次一密体制，数据安全性极高。同时 VPN 虚拟专网采用 MD5 数据摘要算法， 用以保护数据传输过程的完整性。而普通电信专线不提供任何形式的加密措施， 所以 VPN 技术虽然构建在 Internet 之上，但其高强度的加密措施使得数据传输的 安全性要比普通电信专线高得多。 使用虚拟专用网络的优点 １、降低费用 首先远程用户可以通过向当地的 ISP 申请账户登陆到 Internet，以 Internet 作 为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买 和维护通讯设备的费用。 ２、增强安全性 VPN 通过使用点到点协议用户级身份验证的方法进行验证，对于敏感的数 据，可以使用 VPN 连接通过 VPN 服务器将高度敏感的数据地址物理地进行分隔， 只有企业 Intranet 上拥有适当权限的用户才能通过远程访问建立与 VPN 服务器 的 VPN 连接，并且可以访问敏感部门网络中受到保护的资源。所有的流量均经 过加密和压缩后在网络中传输，为用户信息提供了最高的安全性保护。 ３、灵活性 用户不论是在家中、在出差途中、或是在其他任何环境中，只要该用户能够 接入 Internet，便能够安全地接入企业网内部。既不受地域限制，也不受接入方 式限制。 ４、带宽 用户可以选择使用本地服务供应商所能够提供的任何宽带接入技术，不论 是 ADSL、Cable Modem，还是在信息化小区或酒店中使用以太网接入。 ５、网络协议支持 VPN 支持最常用的网络协议，基于 IP、IPX 和 NetBEUI 协议，网络中的客 户机都可以很容易得使用 VPN。这意味着通过 VPN 连接可以远程运行依赖于特 殊网络协议的应用程序。　　 ６、IP 地址安全 因为 VPN 是加密的，VPN 数据包在 Internet 中传输时，Internet 上的用户只 看到公用的 IP 地址，看不到 VPN 使用的协议。因此，利用 Internet 作为传输载 体，采用 VPN 技术，实现企业网宽带远程访问是一个非常理想的企业网远程宽 带访问解决方案。 目前 VPN 存在的几点不足之处　　 1、尽管 VPN 的设备供应商们可以为远程办公室或 Extranet 服务的专线或帧中继 提供有效方式，可是 VPN 的服务提供商们只保证数据在其管辖范围内的性能， 一旦出了其“辖区”则安全没有保证。 　　 2、作为一种典型技术，VPN 的应用时间还不长，VPN 的管理流程和平台相对于 其他远程接入服务器或其他网络结构的设备来说，有时并不太好用。 　　 3、不同厂商的 IPSec VPN 的管理和配置掌握起来是最难的，这需要同时熟悉 IPSec 和不同厂商的执行方式，包括不同的术语。 第二章　虚拟专用网络的技术 　VPN 具有专线连接的安全、保密、专用、高性能等特点，通过对数据包的 头部信息和有效的封装加密来保证数据包安全性，通过散列功能的处理保证数据 的完整性。构建一个 VPN，需要解决的关键技术包括隧道技术（Tunneling）、加 解密技术（Encryption & Decryption）、密钥管理技术（Key Management）和身份 认证技术（Authentication）。 隧道技术 隧道技术对于构建 VPN 来说，是一个关键性技术。它的基本过程是在源局 域网与公网的接口处，将数据作为负载封装在一种可以在公网上传输的数据格式 中，在目的局域网与公网的接口处将数据解封装，取出负载。这样，被封装的数 据包在互联网上传递时所经过的逻辑路径被称为“隧道”。 目前 VPN 隧道协议有 四种。 点对点隧道协议 PPTP PPTP（Point to Point Tunneling Protocol）协议将控制 包与数据包分开。控制包采用 TCP 控制，用于严格的状态查询及信令信息；数 据包部分先封装在 PPP 协议中，然后封装到 GRE（通用路由协议封装） V2 协 议中。目前，PPTP 协议基本已被淘汰，不再使用在 VPN 产品中。 第二层隧道协议 L2TP L2TP（Layer 2 Tunneling Protocol）协议是国际标准 隧道协议。它结合了 PPTP 协议以及第二层转发 L2F（Layer 2 Forwarding，二层 转发协议）协议的优点，能以隧道方式使 PPP 包通过各种网络协议，包括 ATM、SONET 和帧中继。但是，L2TP 没有任何加密措施，更多的是和 IPSec 协 议结合使用，提供隧道验证。 IPSec 协议 IPSec（网络协议安全）协议不是一个单独的协议，它给出了应 用于 IP 层上网络数据安全的一整套体系结构。它包括网络安全协议 AH (Authentication Header)协议和 ESP (Encapsulating Security Payload)协议、密钥管 理协议 IKE (Internet Key Exchange)协议和用于网络验证及加密的一些算法等。 IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上 提供了访问控制、数据源验证、数据加密等网络安全服务。 现在一种发展趋势，是将 L2TP 和 IPSec 结合起来，即用 L2TP 作为隧道协 议，用 IPSec 协议保护数据。目前，市场上大部分 VPN 都采用这类技术。 它的 优点是定义了一套用于保护私有性和完整性的标准协议，可确保运行在 TCP/IP 协议上 VPN 之间的互操作性；不足之处在于，除了包过滤外，它没有指定其他 访问控制方法，对于采用 NAT（网络地址翻译）方式访问公共网络的情况难以 处理，为此最适合于可信 LAN 到 LAN 之间 VPN 的场合应用。 SOCKS v5 协议 SOCKS v5 工作在 OSI（Open System Internet）模型中的第 五层——会话层，可作为建立高度安全的 VPN 基础。SOCKS v5 协议的优势在 于访问控制，因此适用于安全性较高的 VPN。 SOCKS v5 现在被 IETF（互联网 工程任务组），建议作为建立 VPN 的标准。 它的优点是能够非常详细地进行访 问控制，即在网络层只能根据源目的的 IP 地址允许或拒绝被通过，在会话层控 制手段更多一些；由于工作在会话层，能同低层协议如 IPV4、IPSec、PPTP、L2TP 一起使用；用 SOCKS v5 的代理服务器可隐藏网络地址结构；能为认证、加密和 密钥管理提供“插件”模块，让用户自由地采用所需要的技术；SOCKS v5 可根据 规则过滤数据流，包括 Java Applet 和 Actives 控制。但是，它也有不少令人遗憾 之处：性能比低层次协议差，必须制定更复杂的安全管理策略。这样，它最适合 用于客户机到服务器的连接模式，适用于外部网 VPN 和远程访问 VPN。 安全技术 VPN 常常需要在不安全的 Internet 中通信，通信的内容可能涉及 企业的机密数据，因此其安全性非常重要。VPN 中的安全技术通常由加密、认 证和密钥交换与管理技术组成。 认证技术 认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技 术。“摘要”技术主要采用 HASH 函数将一段长的报文通过函数变换，映射为一段 短的报文即摘要。由于 HASH 函数的特性，两个不同的报文具有相同的摘要几 乎不可能。该特性使得摘要技术在 VPN 中有验证数据的完整性和用户认证两种 用途。 　加密技术 数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信 息，使非受权者不能了解被保护信息的内容。加密算法有用于 Windows95 的 RC4、 用于 IPSec 的 DES 和三次 DES。RC4 虽然强度比较弱，但是保护免于非专业人 士的攻击已经足够了；DES 和三次 DES 强度比较高，可用于敏感的商业信息。 加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网 络层中的加密标准是 IPSec。网络层加密实现的最安全方法是在主机的端到端进 行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之 间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取 而危及数据安全。终端到终端的加密方案中，VPN 安全粒度达到个人终端系统 的标准；而“隧道模式”方案，VPN 安全粒度只达到子网标准。在链路层中，目 前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计 的，需要特别的加密硬件。 密钥交换与管理 VPN 中密钥的分发与管理非常重要。密钥的分发有两种方 法：一种是通过手工配置；另一种采用密钥交换协议动态分发。手工配置的方法 由于密钥更新困难，只适合于简单网络的情况；密钥交换协议采用软件方式动态 生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高 VPN 的安 全性。目前主要的密钥交换与管理标准有 IKE（互联网密钥交换）、SKIP（互联 网简单密钥管理）和 Oakley。 　密钥管理技术 其主要任务是解决公用数据网上安全传递密钥而不被窃取的问题。现行密钥 管 理 技 术 又 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。 SKIP 主 要 是 利 用 Diffie-Hellman 的演算法则，在网络上传输密钥；在 ISAKMP 中，双方都有两把 密钥，分别作公用、私用。 表 2-1 密钥管理技术示意图 　身份验证 身份验证是一个确认的过程，来保证远程用户是经过授权来访问网络的。 Windows 2000 提供一些技术来达到这个目的： 预先共享的密钥：这个方法使用一个共享的、保密的密钥，两个系统事先都 知道这个密钥。这可以自动通过 Microsoft® 点对点加密协议（Point-to-Point Encryption，简称 MPPE)进行管理，或者使用 Internet 安全协议（Internet Protocol Security ，简称 IPSec）进行手动配置。 Kerberos V5 安全协议：这个 Internet 标准安全协议是 Windows 2000 中缺省 的授权验证技术。 Kerberos 为口令在网络中传输提供高级加密。Windows 2000 操作系统支持受信任的域的任何 Kerberos V5 客户端。 公开密钥认证：Windows 2000 通过 Internet 密钥交换服务（Internet Key Exchange services ，简称 IKE）支持公开密钥认证和它们的管理。这个解决方案 需要管理认证或与一个受信任的分发 版本 3 证书的认证机构联系。 Windows 2000 通过使用扩展验证协议（Extensible Authentication Protocol ， 简称 EAP）支持验证的第二代理人形式增强了这些验证形式。这些验证的第二 代理人形式要求获得两个信息：用户的口令和一个额外的信任书例如证书、智能 卡、令牌卡或生物测定设施（例如，指纹或眼睛扫描）。 　VPN 技术的发展 随着 Internet 基础设施的发展，VPN 技术将继续向前发展，提供更加综合的、 集成度更高的、更加透明的 VPN 解决方案。Internet 基础设施的进步，尤其是它 提供服务质量和安全保证的能力，将使得虚拟专用网和物理上分离（Physically Separated）的专网之间的界限越来越不明显。从实际需要出发，虚拟专用网将提 供一个专网所必须拥有的质量和安全，同时具有更有的灵活性。 目前，推动 VPN 服务发展的问题主要有三个： （1）在哪里放置隧道端点：一个趋势是提供基于网络的 VPN，隧道端点位于 ISP 的 POP。 （2）如何在 VPN 内隔离传输：对 VPRN（virtual private routed network，虚拟专 用路由网）要进行相当多的考虑，尤其是基于 MPLS 技术的 VPRN。 （3）如何把 VPN 和其他设备集成：把 VPN 功能和防火墙以及其他的安全技术 结合，创建一个多用途的安全设备，是很有好处的。 第三章 Windows2000 系统中 VPN 的分析 Windows2000 配置 VPN 组件 Windows2000VPN 组件包括： (1)一台 VPN 服务器； (2)一个 VPN 客户； (3)使用隧道协议的一个 VPN 连接。 如图 3-1 所示： 图 3-1 VPN 连接的示意图 VPN 服务器 这是指运行路由和远程访问的 Windows2000 服务器，该服务器有一个到 Internet 的连接和到公司网络的一个单独的连接。通常情况下，到 Internet 的连接 将通过一个专线（比如 T1、分数式 T1 或帧中继）。 必须将服务器配置为支持远程访问或路由器到路由器连接的 VPN 连接。 因为 WAN 适配器看起来像网络适配器，所以你必须使用你的 ISP 提供的 （或为你的域分配的）IP 地址和子网掩码来配置这外部的接口，并使用连接到 Internet 的路由器的 IP 地址来配置默认的网关。 如果你使用 Internet 连接激活路由和远程访问时，它会自动建立 VPN 端口。 VPN 客户 该计算机启动到 VPN 服务器的 VPN 连接，对于远程用户，这将是一个用户 调用远程访问的软件。但是，这种连接也可以是路由器到路由器的呼叫。 许多客户可以启动一个 VPN 呼叫，包括： (1); (2)Windows2000; (3)Windows9x; (4)支持 Windows2000 隧道协议的任何第三方拨号客户。 另外，Windows2000 服务器和 服务器都可以建立路由器到路 由器的 VPN 连接。 LAN 连接 尽管 Internet 最初的连接是 TCP/IP（因为这是 Internet 的通用协议），但是在 隧道中可以使用 TCP/IP 和其他网络协议。记住一个客户要访问一种资源，则必 须至少有一种共有的协议，因此，如果你的企业内部网络运行的是 IPX 协议而不 是 TCP/IP 协议，则客户应该使用 IPX 作为 VPN 之上的隧道协议。 第四章 基于 Windows2000 的 VPN 详细设计 Win 2000 系统中 VPN 连接的设置 在以前，一个公司要建立自己的专用网络，把位于全球各地的分公司网络连 接起来，唯一的办法就是租用专线。现在我们明白了一些 VPN 的基本原理之后， 就来看一下怎样利用 Windows2000 来构造我们的虚拟专用网（VPN）。从而大降 低公司用于网络建设、使用和维护的开销。下面的实验主要在于怎样用一台运 行 Windows2000 的计算机来作为 VPN 的服务器，然后各种类型的客户机通过隧 道技术怎样连接到此 VPN 服务器上。 VPN服务器的设置 1、尚未配置：Win2000 中的 VPN 包含在“路由和远程访问服务”中。当你的 Win2000 服务器安装好之后，它也就随之自动存在了！不过此时当你打开“管理 工具”中的“路由和远程访问”项进入其主窗口后，在左边的“树”栏中选中“服务器 准状态”，即可从右边看到其“状态”正处于“已停止(未配置) ”的情况下。 2、开始配置：要想让 Win2000 计算机能接受客户机的 VPN 拨入，必须对 VPN 服务器进行配置。在左边窗口中选中“SERVER”(服务器名)，在其上单击右 键，选“配置并启用路由和远程访问”。 （1）执行菜单栏中的【开始】→【程序】→【管理工具】→【路由和远程访问】 命令，打开“路由和远程访问”对话框。 （2）在如图4-1所示的“路由和远程访问”对话框中，用鼠标右键单击“远程访问 服务器（Server）”,在出现的菜单中选择【配置并启用路由和远程访问】命令。 图中向下的红色箭头表示该远程服务器还没有启动。 图4-1 路由和远程访问 （3）在出现的“欢迎使用路由和远程访问服务安装向导”对话框中，单击【下一 步】按钮，出现如图4-2所示的对话框。 图4-2 公共设置 （4）选择“虚拟专用网络服务器”选项，单击【下一步】按钮继续，出现如图4-3 所示的对话框。 图4-3 远程客户协议 （5）确认所需的远程客户协议都在协议列表下。否则选择“否，我需要添加协议” 单选按钮，退出安装向导添加所需的协议。单击【下一步】按钮，出现如图4-4 所示的对话框时，请选择一个用来让远程计算机连接的接口。 图4-4 连接方式的选择 （6）单击【下一步】按钮，出现如图4-5所示的对话框。可以选择“自动”选项， 让DHCP服务器来指派IP地址给VPN客户端，如果网络上没有DHCP服务器，则 这台远程远程访问服务器会给拨号网络客户端自动分配“”的IP地址。 如果选择“来自一个指定的地址范围”则在单击【下一步】按钮后，必须设置一段 IP地址范围，以便用来指定给拨号网络客户端使用。 图4-5 IP地址指定 （7）出现如图4-6所示的对话框时，根据个人的实际情况选择是否选用RADIUS， 在这里选择“不，我现在不想设置此服务器使用RADIUS”，单击【下一步】按钮。 图4-6 远程身份验证拨号用户服务 （8）出现路由器和远程访问服务器安装向导对话框时，单击【完成】按钮，如 图4-7所示。 图4-7 完成安装 （9）系统会弹出如图所示的警告消息，提示用户如果支持对来自远程访问客户 的DHCP消息的中继，就必须对DHCP服务器的IP地址的DHCP中继代理程序进行 设置。 图4-8 提示信息 （10）单击【确定】按钮，完成后将显示为系统配置好的VPN连接端口（PPTP、 L2TP信道），为远程的用户访问提供服务，如图4-9所示。 图4-9 完成画面 VPN 客户端的设置 VPN 客户端必须具备的条件是连接到 Internet，就是说首先要在客户端创建拨号 连接，使其能够连接到 Internet。 下面介绍的是 Windows2000 下的 VPN 客户端的配置，创建的步骤如下： （1）执行菜单栏中的【开始】→【设置】→【控制面板】→【网络和拨号连接】 →【新建连接】命令，系统将弹出“网络连接向导”对话框，如图 4-10 所示 图 4-10 网络连接向导画面 （2）选择“拨号到 Internet”，单击【下一步】按钮。出现 Internet 连接向导，如 图 4-11 所示 图 4-11 Internet 连接向导欢迎画面 (3)选择“手动设置 Internet 连接或通过局域网（LAN）连接”选项，单击【下一步】 按钮，出现如图 4-12 所示的对话框。 图 4-12 连接方式的选择 (4)正确选择连接方式，如“通过电话线和调制解调器连接”，单击【下一步】按钮， 如果还没有安装调制解调器，则出现如图 4-13 所示对话框。可按照提示安装调 制解调器。 图 4-13 添加/删除硬件向导 (5)当出现如图 4-14 所示的对话框时，单击【下一步】按钮。 图 4-14 选择标准调制解调器 (6)当出现如图 4-15 所示的对话框时，选择“选定的端口 com1”，并单击【下一步】 按钮。 图 4-15 选定端口 (7) 当出现如图 4-16 所示的对话框时，单击【完成】按钮。 图 4-16 安装完成 (8) 当出现如图 4-17 所示的对话框时，输入连接到 ISP 的电话号码。然后单击 【下一步】按钮。 4-17 ISP 电话号码 （9）出现如图 4-18 所示的对话框时，输入由 ISP 提供的用户名和口令。单击 【下一步】按钮 图 4-18 登录信息 （10）在如图 4-18 所示的对话框中，输入该连接的名称，并单击【下一步】按 钮。 图 4-18 连接名称的设定 （11）在出现邮件设置对话框时，选择【否】，以后再设置，如图 4-19 所示。 图 4-19 邮箱设置 （12）单击【下一步】按钮，完成拨号设置，如图 4-20 所示。 图 4-20 完成画面 (13)设置完成拨号连接后，可在“网络和拨号连接”窗口中看到创建的连接，如图 4-21 所示。 图 4-21 网络和拨号连接窗口 设置完成拨号连接后，下面的实验主要在于怎样用这台运行 Windows2000 的计算机来做 VPN 的服务器，然后用各种类型的客户机通过隧道技术怎样连接 到此 VPN 服务器上。 VPN 连接的建立 在 Win 2000 系统中，“虚拟专用网络”是自动安装在系统中的，因此可以直 接进行 VPN 连接的建立。具体步骤如下： （1）打开“控制面板”，双击“网络和拨号连接”图标，或右键单击桌面上的“网 上邻居”并选择“属性”，进入“网络和拨号连接”窗口；双击“新建连接”图标，如 图 4-22 所示。 图 4-22 网络连接向导 （2）出现“网络连接向导”对话框，单击【下一步】按钮，弹出如图 4-23 所示的 对话框。 图 4-23 网络连接类型 （3）选择“通过 Internet 连接到专用网络”选项，单击【下一步】按钮，弹出对话 框如图 4-24 所示。 图 4-24 公用网络 （4）在此选择一个用来连接到 Internet 的连接，如已经创建的“连接到 2163”。 单击【下一步】按钮，弹出对话框，询问 VPN 服务器的地址，如图 4-25 所示。 图 4-25 目标地址的设定 （5）输入远程 VPN 服务器的 IP 地址或者主机名，单击【下一步】按钮，出现 如图 4-26 所示的对话框。 图 4-26 可用连接的选择 （6）如选择“所有用户使用此连接”，则所有用户可使用此连接，连接到 VPN 服 务器，单击【下一步】按钮，出现“Internet 连接共享”对话框，则选中“启用此连 接的 Internet 连接共享”选项，单击【下一步】按钮，弹出如图 4-27 所示对话框。 图 4-27 完成设置 （8）输入此连接的名称，单击【完成】按钮完成 VPN 连接的刨建。在“网络和 拨号连接”窗口中就可以看到创建的 VPN 连接，如图 4-28 所示。 图 4-28 网络和拨号连接 （9）远程访问时要设置一个权限，右击【远程访问策略】→【添加远程访问策 略】命令，系统将弹出“添加远程访问策略”对话框，如图 4-29 所示。 图 4-29 添加远程访问策略 （10）在策略的好记的名称中输入你自己所要的名称，并单击【下一步】按钮， 则会弹出 4-30 所示的对话框。 图 4-30 添加所要的属性 （11）在选择属性对话框中，选择“Windows-Groups 用户属于的 Windows 组”并 单击【添加】按钮，则会弹出如图 4-31 所示的对话框。 图 4-31 选择组 （12）在选择组的时候应添加所有的用户，单击【确定】按钮，则会弹出如图 4-32 所示的对话框。 图 4-32 添加组 (13) 图 4-32 就是添加完所有用户的对话框，单击【添加】按钮，则会弹出如图 4-33 所示的对话框。 图 4-33 设置权限 （14）选择“授予远程访问权限”并单击【下一步】按钮，则会弹出如图 4-34 所 示的对话框。 图 4-34 设置权限用户名 （15）双击“虚拟专用连接”，在用户名中输入服务器的用户名和密码，则会弹出 如图 4-35 所示的对话框。 图 4-35 连接虚拟专用连接 （16）在连接虚拟专用连接的对话框中，单击【连接】按钮。则会弹出如图 4-36 所示的对话框。 图 4-36 正在连接虚拟专用连接 （17）连接完成，则会弹出如图 4-37 所示的对话框。 图 4-37 连接完成 上面叙述的是 VPN 服务器在本机的测试经过，通过上面服务器的测试完成 后，VPN 的连接就可以在家中进行远程连接了，其过程和在本机连接测试的过 程一样，如图 4-22 至图 4-37 所示，在实际连接时到图 4-25 这一步，输入 VPN 服务器所在的公网 IP 就行了。 第五章　讨论总结 总结设计的结果 本次设计大约用了一个月，以基本上实现了其目的。在 Windows2000 和局 域网上测试通过，VPN 的设计已完成。但还不是很完善。鉴于本人水平有限， 时间仓促，错误与不足之处在所难免，以待后续设计中不断改进和完善。 从设计中可以得知使用 VPN 能给企业带来以下几点好处：一是节省总体成 本。用 VPN 替代传统的拨号网络，可节省 20%～40%的费用，替代网络互联， 可减少 60%～80%的费用。另外，VPN 还可以保护现有的网络投资。二是 VPN 能大大降低网络复杂度，简化网络设计。三是 VPN 能增强内部网络的互联性和 扩展性。四是 VPN 有助于实现网络安全。VPN 以通过用户验证、加密和隧道技 术等保证通过公用网络传输私有数据的安全性。五是 VPN 能增强与用户、商业 伙伴和供应商的联系。 通过大量的资料和本次设计得知，目前 VPN 主要适用于以下场合：一是已 经通过专线连接实现广域网的企业，由于增加业务，带宽已不能满足业务需要， 需要经济可靠的升级方案；二是企业的内部用户和分支机构分布范围广、距离远， 需要扩展企业网，实现远程访问和局域网互联，最典型的是跨国企业、跨地区企 业；三是分支机构、远程用户、合作伙伴多的企业，需要组建企业专用网；四是 关键业务多，对通信线路保密和可用性要求高的用户，如银行、证券公司、保险 公司等；五是用于各种远程专线连接的网络连接备份。 VPN 发展前景 广泛的说 VPN 的发展具有以下几种发展前景: （1）使用价值 目前，VPN 技术越来越体现出其价值，作为一种非常灵活和可靠的技术和 手段，跨国、跨区域公司中分布于各地的雇员、客户、供货商、代理商、合作伙 伴可利用此技术以非常可靠和简易的方式借助公众网络与公司内部网络联系，并 进行统一的规划和管理。根据 Infonetics 的研究报告，VPN 业务的开展将为企业 提供节省长途专线租用成本的 20%～47%，节省远程拨号费用的 60%～80%。 （2）市场潜力 根据统计报告，VPN 产品、系统集成和服务的市场将以每年超过 100%的增 长率发展，从 1997 年的 205 万美元到 2001 年的 11。9 亿美元。到 2001 年，ISP 将通过 VPN 获益 90 亿美元，55%的企业有意建立 VPN。对于国内，今年是政府 上网年，VPN 技术又恰恰能够解决国家政府机关、各大部委的上网、安全及互 联问题，因而国内的 VPN 市场蕴含着无穷的潜力。 （3）ISP 的角色 VPN 的服务必须有 Internet 服务提供商（ISP）的介入，因为只有 ISP 才能 建立起具有完善功能的、可重复使用的 VPN 服务体系，所以 Internet 服务提供商 （ISP）将会在 VPN 市场上发挥越来越大的作用，作为一个整体解决方案的提供 者，服务提供商除了能够提供各种本地和长途专线和拨号用户的服务，还能提供 基于目前广泛的 Internet 网络的 VPN 的服务，以满足绝大多数用户和企业应用目 前以及将来发展的需求。 （4）未来机遇 VPN 业务的开展将刺激国内企业内部网信息资源挖掘的力度，如此庞大的 市场并非海市蜃楼，中国的 ISP，特别是作为中国最大的 ISP 的中国电信，不应 在观望中错失良机。 同时 VPN 可以在多种场合得到应用。从应用上虚拟专网可以分为虚拟企业 网和虚拟专用拨号网络（有厂家称之为 VPDN，属于 VPN 的一种特例）。虚拟企 业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网；虚拟专用拨号网 络是指使用电话拨号（PPP 拨号）上网的远程用户与企业网间的虚拟专网。虚拟 专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条 件： ①保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 ①保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂 改数据的能力。 ①保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的 通道数据。提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数 据重演（Replay）的功能，保证通道不能被重演。提供安全防护措施和访问控制， 要有抵抗黑客通过 VPN 通道攻击企业网络的能力，并且可以对 VPN 通道进行访 问控制（Access Control）。 结 束 语 VPN 的发展代表了互联网络今后的发展趋势，它综合了传统数据网络的安 全和服务质量，以及共享数据网络结构的简单和低成本，建立安全的数据通道。 VPN 在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求， 因此，VPN 必将成为未来网络发展的主要方向。 VPN 技术的发展将促进业务市场的繁荣。VPN 上传输的数据流是经过加密 处理的，这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机 密性，提供动态密匙交换功能，提供安全防护措施和访问控制，抵抗黑客通过 VPN 通道攻击企业网络的能力，并且可以对 VPN 通道进行访问控制。 随着市场的扩大，用户需求将成为 VPN 技术发展的动力，多形式、多用途、 灵活易用、功能强大、服务优异的 VPN 产品将适用于不同的用户群，部署在宽 带、窄带、拨号或者移动通信网络上。 参考文献 [1] Steven Brown 构建虚拟专用网 人民邮电出版社 2000 年 11 月 [2] 李馥娟 王群 局域网升级与安全管理 DIY 人民邮电出版社 2001 年 11 月 [3] 王宏春 电脑局域网全面上手 海洋出版社 2003 年 1 月 [4] 王振川 网络系统集成一点通 人民邮电出版社 2003 年 2 月 [5] 王群 李馥娟 新版局域网一点通 人民邮电出版社 2003 年 1 月 [6] Strayer 虚拟专网技术与解决方案 中国电力出版社 2003 年 7 月 [7] 飞思科技产品研发中心 纵横四海—局域网组建与管理 电子工业出版社团组织 2003 年 7 月 [8] 明月创作室 局域网高级组网技术与精彩案例 DIY 人民邮电出版社 2002 年 3 月 [9] Dan Blacharski 混合环境下的网络安全 世界图书出版公司 1998 年 11 月 [10] 沈辉 曹国良 计算机网络工程与实训 清华大学出版社 [11] 王洪 魏惠 计算机网络应用教程 机械工业出版社 [12] [13] [14] 致 谢 我的毕业设计工作是在吴冬燕老师指导下进行的。从选题、设计、调试、实 现、撰写论文等环节，都是在吴冬燕老师精心指导下完成。吴冬燕老师工作认真、 负责、治学严谨。在毕业设计期间，不仅使我学习到了知识，而且还得到了综合 锻炼和提高。同时，也更加懂得了如何做一个合格的大学生去面对未来。在此， 我十分感谢吴冬燕老师的精心指导！ 同时我也感谢在三年中教过我的所有老师！感谢帮助我的所有同学!