花生壳典型应用之VPN篇Word文档格式.docx
《花生壳典型应用之VPN篇Word文档格式.docx》由会员分享,可在线阅读,更多相关《花生壳典型应用之VPN篇Word文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。
这些设备和相关的设备和协议组成了一个VPN系统。
一个完整的VPN系统一般包括以下几个单元:
VPN服务器,一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。
VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。
VPN数据通道,一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。
这个概念在两个网络之间的连接尤其明显。
1.2应用情景
我们可以设想一下的情景:
公司的总部在广州,有两个办事处分别在香港和上海,两个办事处的网络需要和总部连接,同时办事处之间也需要相互连接。
解决这种问题以前只有一种办法就是分别申请两条专线连接总部和两个办事处,两个办事处之前的通信通过总部转发。
长途专线的费用是非常昂贵的,在以前也只有银行、证券公司以及大象企业才有能力负担。
有了互联网和VPN技术之后解决办法可以变成这样,总部通过一条专线和互联网连接,两个办事处分别在本地申请互联网的拨号连接。
然后通过在互联网上建立两条VPN通道将三个网络连接起来。
这样可以省去长途专线费用。
不过互联网的专线连接也不便宜,这种解决方案暂时也只有大中型公司可以负担得起。
那么为什么总部必须使用互联网专线呢,这里牵涉到一个VPN的技术细节,在建立VPN通道的时候,连接的发起者必须知道接受连接的服务器的IP地址,就像我们打电话之前必须知道对方的号码一样。
而普通的拨号连接每次上网的IP地址都不相同。
不过现在有一个很好的解决方案,通过花生壳动态域名服务可以让一个拨号连接获得的IP地址与一个固定的域名绑定在一起,当建立VPN连接的时候,连接建立者只需要输入连接接受方的域名就可以了。
不过接受方的IP地址怎么改变,这个域名都可以解释到接受方当前的Ip地址上。
这样就可以省去一条互联网的专线连接,大大降低了通信的费用,这样VPN的解决方案中小型企业也可以负担得起了。
二、规划VPN接入环境
VPN不但可以用于上述网络对网络的连接,也可以用于单台计算机到网络的连接。
在使用VPN的时候我们需要规划一下我们应用环境。
首先我们需要列出需要连接的节点以及节点的类型,以及之间的访问关系,即由谁发起连接和向谁发起连接的问题。
这样我们可以确认在我们环境中确定哪些地方需要安装VPN服务器,哪些地方仅仅是配置客户端就可以了。
对于需要安装VPN服务器的地方我们需要一条比较高速的互联网线路,一个固定的IP地址,或者使用花生壳配置一个固定的域名。
下面的介绍时基于微软间操作系统进行的。
微软的操作系统中提供VPN服务器功能的有Window2000Server和AdvanceServer,以及比较久的NTServer4.0,当然这些操作系统也可以作为VPN的客户端。
其他的则全部都可以作为VPN客户端。
(Window95必须安装DialupNetwork1.3组件)。
确定了服务器和客户端之后,我们还需要规划个节点的IP地址。
每个私有网络必须使用不同的地址段,在各自的地址段中必须划分出一部分用于VPN的接入。
以下的介绍我们都是围绕着Window2000的配置进行的。
三、配置VPN接入服务器
3.1安装花生壳
只有VPN服务器才需要安装花生壳服务,在规划环境的时候必须为每台VPN服务器申请一个Oray护照。
这样每台服务器就会有一个不同的域名。
在客户端拨号的时候可以通过域名控制连接不同的网络。
一般建议花生壳直接安装在VPN服务器上,并配置为自动启动。
这样只要服务器在线域名一定有效。
当然如果VPN服务器也提供互联网共享的话也可以将花生壳安装在内部网络的任何一台计算机上,不过必须保证这台计算机不会在服务器在线的时候关机,以免域名失效。
3.2网络连接准备
作为VPN服务器实际上就是一台路由器,一般需要安装两块或以上的网卡,其中一块网卡负责和互联网连接。
另一块网卡则连接内部网络。
在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。
另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址,即接入的ISP不是使用地址转换技术。
检测的办法如下:
在命令行输入ipconfig,检查和互联网连接的网卡的IP地址,如果其地址在下列范围之一则不是公网地址,ISP使用了地址转换技术提供接入服务。
这样就必须更换ISP。
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
3.3配置路由和远程访问服务
激活路由和远程访问服务
在安装Window2000服务器或高级服务器的时候路由和远程服务是默认安装好的,不过没有激活罢了,因此我们需要首先激活路由和远程访问服务。
步骤如下:
在程序/管理工具中,点击“路由和远程访问”。
打开路由和远程访问服务管理界面,见图3-1
图3-1
当前的管理界面中尚未添加服务器,所接下来需要将本机添加进去,方法是在服务器状态上按鼠标右键,选择添加服务器,打开添加服务器的对话框,选择“这台计算机”,见图3-2
图3-2
按确定之后管理界面出现本机,并且处于停止状态,见图3-3
图3-3
接下来需要激活本机的路由和远程访问服务,在本级服务器上按鼠标右键,选择配置和激活路由和远程访问服务。
系统打开路由和远程访问服务安装向导。
按下一步出现想到的功用设置页面,见图3-4。
图3-4
选择手动配置服务器,实际上这是最简单的配置方法,我们暂时撇开复杂的概念,这个选择实际上已经将大部分我们需要的功能完成了。
按下一步然后完成,系统会询问是否启动路由和远程访问服务,回答是。
然后我们又回到管理界面。
见图3-5
图3-5
接下来我们所需要改动的地方只有一个就是配置VPN接入是分配的IP地址。
配置接入的IP地址
VPN服务在接受了VPN客户端的接入之后就会为客户端分配一个IP地址,客户端就是用这个地址和服务器或服务器连接的内部网络通信。
这个地址需要实现分配好,这个地址可以有两种配置方法:
1、使用和内部网络相同的地址段,这样远程接入的VPN客户就和直接连接在内部网络的计算机一样,其网络配置和在公司内部的计算机没有什么区别。
这种方式适合于单机拨入的情况,但不太适合网络对网络的VPN互联。
2、使用和内部网络不同的地址段,这时候VPN服务器相当于一台路由器,比较和与网络对网络的互联。
对于单机就比较麻烦,对于接入移动式办公的电脑最好还是选用第一种方式。
配置接入地址段的方法也有两种方法,一种是利用DHCP服务器,另一种就是直接在接入服务器上配置。
前一种方法需要介绍DHCP服务器的使用,这里就暂不介绍了。
以下是配置接入服务器自己的地址段的方法。
在接入服务器上按鼠标右键,点击属性,打开服务器的属性对话框,选择IP页面,如图3-6
图3-6
选择“静态地址”,按添加打开静态地址配置对话框,如图3-7
图3-7
输入其实抵制和结束地质,注意地址数量必须比最大的接入数量多一个,因为服务总是占用地址段的第一个地址。
3.4配置访问权限
用户必须有相应的权限才能使用接入服务,这个权限是在用户管理工具中配置的。
如果使用活动目录则必须使用活动目录的拥护和计算机进行管理,如果使用本机的账号则使用计算机管理中的用户和组的功能。
远程拨入的权限是一个个用户配置的,默认情况下所有用户都没有拨入权限。
我们在用户管理中选择需要拨入的用户,打开属性对话框,选择拨入页面。
在远程访问权限中选择“允许访问”即可,见图3-8
图3-8
四、配置客户端
这里介绍的客户端指的是单台PC连接VPN服务器的情况,即单机和网络的连接。
关于网络到网络的连接我将在后续的文章介绍。
单机连接2000Server做的VPN服务器非常简单,和平时Modem拨号上网差不多。
区别在于原来填写电话号码的地方现在必须填写VPN服务器的Ip地址或域名。
另外我们需要记住VPN是一种建立在已有的网络连接上的一种专用连接,即人和VPN都需要一个底层的网络连接,我们可以在建立VPN拨号连接的时候指定底层连接(如连接互联网的拨号连接),这样在拨VPN的时候计算机会自动拨互联网的连接。
当然你如果使用多种互联网连接或直接使用局域网类型的连接。
可以不指定这个底层连接,在拨VPN之前自己手工拨号上互联网。
建立VPN拨号连接的方法如下:
首先打开控制面板里面的网络和拨号连接,点击新建连接。
系统会打开拨号连接向导,按下一步,进入网络连接类型的选择,如图4-1
图4-1
选择通过Internet连接到专用网络,按下一步,进入公用网络配置,见图4-2
图4-2
如果你使用的局域网形式的接入选择,不拨初始连接,如果你使用一个固定的拨号网络连接互联网,则选择自动拨此初始连接,并选择对应的拨号连接名称。
按下一步,进入目标地址配置,见图4-3
图4-3
输入VPN服务器的IP地址或域名,如果你的VPN服务器采用的是动态连接,这时花生壳就显示出其威力了,只需要输入了VPN服务器的动态域名,我们就可以省去大笔固定线路的租用费用了。
按下一步,输入新建VPN连接的名称,见图4-4
图4-4
至此VPN客户端配置完毕。
如果你有多个VPN服务器可以重复上述步骤,为每个VPN接入服务器建立相应的连接。
升级会员 