3轻松玩转VPN.docx

3轻松玩转VPN.docx

《3轻松玩转VPN.docx》由会员分享，可在线阅读，更多相关《3轻松玩转VPN.docx（19页珍藏版）》请在冰豆网上搜索。

3轻松玩转VPN

IT168网站原创作者：

杜飞编辑：

杜飞

VPN（VirtualPrivateNetwork）是虚拟专用网络的缩写，属于远程访问技术，简单地说就是利用公网链路架设私有网络。

例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

怎么才能让外地员工访问到内网资源呢?

VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。

外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。

为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。

有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。

但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。

即：

VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。

有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。

上述介绍的VPN应用属于VPN用户的单点拨入，VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN，在中小企业网络构建这一系列中，我们只会介绍如何创建单点拨入的VPN，至于站点到站点的VPN架设后期会在恰当的专题中介绍。

　　VPN服务的实现有很多种方式，如现在的一些网络操作系统本身可以实现VPN，也可以购买专门的VPN设备，ISAServer防火墙也可以实现VPN。

所以最终使用哪一种，完全可以根据实际情况来进行选择，在此我们出于成本和安全性方面的考虑，准备在ISA2006上启用VPN功能。

　　下面，咱们就通过实例来看一下，如何通过ISA2006实现单点的拨入VPN，以实现员工在外网也能连接到企业内网，以实现在家办公、远程打印等需求。

　　同为微软的产品，因此ISA2006非常巧妙地调用了Win2003中的路由和远程访问组件来实现VPN功能，但用户并不需要事先服务器上的路由和远程访问进行配置，ISA2006会自动实现对路由和远程访问的调用。

　　在开始配置之前，有两点要说明的地方：

　　1、用户环境：

　　方案一：

内网和ISAServer服务器同在域的环境内，推荐做法，好处是不需要RADIUS服务器，降低了网络的复杂性。

　　方案二：

工作组环境，这样的话，可以使用RADIUS验证或是镜像帐号，

　　2、VPN服务器支持协议

　　PPTP：

PPTP是用于在中间网络上传输点对点协议（PPP）帧的一种隧道机制。

PPTP只考虑了对VPN用户的身份验证，不支持对计算机身份进行验证。

　　L2TP/IPSEC：

L2TP/IPSEC从字面上理解是在IPSEC上运行L2TP，IPSEC负责数据的封装加密，L2TP的作用和PPTP类似，负责在IP网络上做出VPN隧道。

从理论上分析L2TP协议应该比PPTP更安全一些，因为L2TP不但能在用户级别实现PPP验证，还能实现计算机级别的身份验证。

　　至于用户环境，网络管理员可以根据实际情况进行相应的选择，一般来说，如果在集中管理的环境中，也就是说已经有域环境的话，推荐使用方案一，这样的好处是在用户身份验证方面就简单多了，如果没有域环境的话，可以考虑使用RADIUS技术（RADIUS技术以后有机会再做介绍）。

但不推荐使用镜像帐户。

至于协议方面，如果安全性要求不是很高的情况下可以使用PPTP，好处是简单方便，如果对安全性方面有很高的要求的情况下，可以考虑结合PKI机制使用L2TP。

　　在此案例中，我们就在域环境下使用PPTP协议实现单点拨入VPN。

　　环境准备：

　　域环境的搭建：

　　1、创建DC

　　我们准备在内网192.168.1.10上安装AD，使其成为一台DC，方法是运行：

Dcpromo。

如下图所示：

　　点击下一步之后，然后依次选择“新域的域控制器”-----“在新林中的域”，再输入相应的域名，如下图所示：

　　当点击下一步之后，如果没有重名的话，则会为此域名生成一个NetBIOS名，如下图所示:

　　然后会要求指定数据库文件、日志文件以及Sysvol的存放文件夹，在此例中，我就直接默认了，紧接着会弹出DNS诊断的提示，如果已经安装有DNS，可以选择第一项，如果没有的话，则选择第二项，系统自动安装并配置DNS，如下图所示：

　　接下来，还需要选择用户和组对象的默认权限及目录服务还原模式的管理员密码，根据需要进行相应的设置。

最后就静等AD的安装。

　　2、将ISAServer这台机器加入到域中，成为域中的一台成员服务器。

方法如下所示：

　　在“我的电脑”---属性中----选择域：

，然后输入DC上管理员的用户名和密码，并重新启动计算机，即可加入到域中。

　　下面咱们就可以看一下VPN的具体设置了，关于PPTP的配置还是很简单的：

　　步骤1：

定义VPN地址池

　　配置VPN服务器的第一步就是为VPN用户分配一个地址范围，这里有个误区，很多人认为既然要让VPN用户能访问内网资源，那就给VPN用户直接分配一个内网地址就行了。

例如本次实验的内网地址范围是192.168.1.1-192.168.1.254，那VPN用户的地址池就设置在此范围内吧。

如果这里VPN服务器是用Win2003的路由和远程实现的，那这么做是可以的，路由和远程访问本身就只提供了VPN的基本功能，对地址管理并不严格。

但这么做在ISA上是不可以的，因为ISA是基于网络进行管理的!

内网是一个网络，VPN用户是另一个网络，两个网络的地址范围是不能重叠的!

虽然我们使用DHCP技术可以使VPN用户也获得内网地址，但绝不推荐这么做!

因为在后期的管理中我们会发现，把VPN用户放到一个单独的网络中，对管理员实现精确控制是非常有利的，管理员可以单独设定VPN用户所在网络与其他网络的网络关系，访问策略，如果把VPN用户和内网用户混在一起，就享受不到这种管理的便利了。

因此直接给VPN用户分配内网地址并不可取，我们本实例中为VPN用户设置的地址池是192.168.100.1-192.168.100.200，也就是找一个没有使用的网络段即可。

，虽然这个地址范围和内网大不相同，但不用担心，ISA会自动在两个网络之间进行路由。

　　如下图所示，在ISA服务器中定位到虚拟专用网络，点击右侧任务面板中的“定义地址分配”。

　　分配地址可以使用静态地址，也可以使用DHCP，在此我们使用静态地址池来为VPN用户分配地址，点击添加按钮，为VPN用户分配的地址范围是192.168.100.1-192.168.100.200，如下图所示：

　　步骤2：

配置VPN服务器

　　设置好了VPN地址池后，我们来配置VPN服务器的客户端设置。

如下图所示，点击虚拟专用网络右侧任务面板中的“配置VPN客户端访问”。

在常规标签中，我们勾选“启用VPN客户端访问”，同时设置允许最大的VPN客户端数量为100.，注意VPN客户端的最大数量不能超过地址池中的地址数。

　　切换到VPN客户端属性的“组”标签，配置允许远程访问的域组，一般情况下，管理员会事先创建好一个允许远程访问的组，然后将VPN用户加入这个组，本次实验中我们就简单一些，直接允许DomainUsers组进行远程访问。

　　接下来选择VPN使用的隧道协议，默认选择是PPTP协议，当然也可以同时把L2TP选择上。

这样可以根据客户端的设置做一个相应的选择。

　　设置完VPN客户端访问后，应重启ISA服务器，让设置生效。

　　步骤3：

网络规则

　　想让VPN用户访问内网，一定要设置网络规则和防火墙策略，ISA默认已经对网络规则进行了定义，如下图所示：

　　从VPN客户端到内网是路由关系，这意味着VPN客户端和内网用户互相访问是有通路的，接下来就需要创建防火墙策略。

　　步骤4：

防火墙策略

　　既然网络规则已经为VPN用户访问内网开了绿灯，那我们就可以在防火墙策略中创建一个访问规则允许VPN用户访问内网了。

当然，如果需要的话，也可以在访问规则中允许内网访问VPN用户。

　　以下进行详细的配置，如：

访问请求匹配规则时允许操作，应用到所有的通讯协议，规则的访问源是VPN客户端网络，访问规则的目标是内网，此规则适用于所有用户等，如下图所示：

　　完成向导，好了，ISA上的VPN功能就已经配置好了。

　　步骤5：

用户拨入权限

　　还差最后一步，用户默认是没有远程拨入权限的，我们准备以Remo_user1用户的身份拨入，所以就需要给此用户一个拨入权限，如下图所示，在ActiveDirectory用户和计算机中打开Remo_user1的属性，切换到“拨入”标签，如下图所示，设置拨入权限为“允许访问”。

       按照步述步骤就可以轻松完成ISA上的VPN服务配置，下面我们需要找一台外网客户机进行测试，能否成功利用VPN服务成功与内网互相通讯。

     外网用户测试：

　　至此为止，VPN服务器已经配置完毕了，我们用客户机来测试一下，看看能够通过VPN服务器拨入内网。

在外网客户机上打开网上邻居的属性，点击新建连接向导，出现新建连接向导，点击下一步，网络连接类型选择“连接到我的工作场所的网络”。

如下图所示：

　　选择创建“虚拟专用网络连接”。

　　在VPN连接中输入公司名称。

　　输入VPN服务器的域名或外网IP，在引我们使用IP地址。

如果使用域名，注意此域名应该解析到ISA的外网IP。

　　点击下一步后结束连接向导创建。

双击执行刚创建出来的VPN连接，如下图所示，输入用户名和密码，点击“连接”。

　　输入的用户名和口令通过了身份验证，VPN连接成功，查看VPN连接的属性，如下图所示：

     我们可以看到当前使用的隧道协议是PPTP，VPN客户机分配到的IP地址是192.168.100.3，地址池中的第一个地址总是保留给VPN服务器，这个地址被成为隧道终点，也是VPN用户连接内网所使用的网关。

　　既然VPN用户已经通过VPN服务器进行了拨入，看看能否访问内网的服务器资源，我们在内网192.168.1.10上共享一个文件夹企业内部共享文件夹，如下图所示：

　　我们在客户机上访问内网192.168.1.10上的共享文件信息：

　　此时，员工就可以利用VPN功能实现在家办公了，只要能成功利用VPN服务器拨入到内网之后，就能像在内网中一样使用相应的资源，真正实现外网和内网的零距离接触!