WindowsServer2003VPN基础,第1张

WindowsServer2003VPN基础,第2张

微软在其新的操作系统——Windows Server 2003家族中继续提供对VPN通信技术的支持,同时还增加了许多新的特性,这使得微软的Windows VPN方案更加实用,也更加安全。我们先来了解一下VPN通信的基础知识。

虚拟专用网络(VPN)是专用网络的扩展,它包含类似于Internet的共享或公共网络链接。VPN可以通过共享或公共网络在两台计算机之间发送数据,其方式类似于点对点专用链路。要模拟点对点链路,应压缩或打包数据,并添加提供路由信息的报头,使数据能够通过共享或公共网络到达目的地。为了模拟专用链路,数据应该加密以保证机密性。没有加密密钥,在共享或公共网络上截获的数据包就无法被破译。封装和加密私有数据的链路是虚拟专用网络(VPN)连接。

在整个VPN通信中,主要有两种VPN通信模式,适合两种不同类型的用户选择使用,满足所有用户和企业VPN服务器的通信需求。这两种VPN通信方式俗称“远程访问VPN”和“路由器对路由器VPN”。前者也叫“远程访问VPN”,后者包括“内网VPN”和“外网VPN”。前者是客户端到局域网(Client-to-LAN)模式,后者是局域网到局域网(LAN to LAN)模式。前者适用于单个用户与企业VPN服务器之间的VPN通信连接,后者适用于两台企业局域网VPN服务器之间的VPN通信连接。

在家或在路上工作的用户可以使用公共网络(如Internet)提供的基础结构,建立到组织服务器的远程访问连接。从用户的角度来看,VPN是计算机(VPN客户端)和企业服务器(VPN服务器)之间的点对点连接。与VPN共享或公网的具体基础设施无关,因为从逻辑上来说,数据就像是通过专用的私有链路发送的。这种远程访问VPN连接只能是单向的,即远程客户端向VPN服务器发起连接请求,VPN服务器无法向客户端发起连接请求。

在这种VPN中,VPN用户首先呼叫ISP,在与ISP建立连接后,ISP服务器呼叫远程访问服务器,远程访问服务器建立点对点隧道协议(PPTP)或第二层隧道协议(L2TP)隧道。这些协议已自动安装在计算机上。建立VPN连接后,可以访问公司网络,公司也可以使用VPN连接为地理位置分散的办公室建立路由连接,或者通过公共网络(如互联网)连接到其他公司,同时保持安全通信。这里用的是“从接收机到路由器的VPN连接”。这种连接通常是双向的,即连接的双方用户都可以向对方发起VPN通信连接,接入的资源通常是对方的整个网络资源。通过互联网路由的VPN连接在逻辑上作为专用WAN链路运行。通过远程访问和路由连接,组织可以使用VPN连接,用到Internet服务提供商(ISP)的本地拨号或租用线路来代替长途拨号或租用线路。

【说明】在Microsoft Windows Server 2003 Web Edition和Windows Server 2003 Standard Edition上,最多可以创建1000个点对点隧道协议(PPTP)端口和1000个二层隧道协议(L2TP)端口。但是,在Windows Server 2003 Web Edition系统中,一次只能接收一个VPN连接。Windows server 2003标准版最多可以接受1000个并发VPN连接。如果已经连接了1000个VPN客户端,其他连接尝试将被拒绝,直到连接数低于1000。

在微软Windows Server 2003家族中有两种基于PPP的VPN技术,它们是:

(1)点对点隧道协议(PPTP)

PPTP协议在用户级使用PPP认证方式,用于数据。

(2)第二层隧道协议(L2TP)带互联网协议安全(IPSec)

L2TP在用户级使用PPP身份验证方法,在计算机级使用证书,与IPSec一起用于数据加密,或在隧道模式下使用IPSec(IPSec本身只为IP通信提供封装)。

表1描述了使用VPN连接的优点。

VPN的优势

Microsoft server 2003系列提供了虚拟专用网络(VPN)的下列新功能:

1。网络地址转换(NAT)透明性

运行Windows Server 2003的VPN服务器通过Internet协议安全(L2TP/IPSec)进行通信(NAT后来自VPN客户端)以支持“首先要使此功能正常工作,客户端计算机必须支持以下IPSec协议工作组Internet草案:

NAT协商-遍历IKE(draft-IETF-IPSec-NAT-t-IKE-02 . txt)。

IPsec数据包的UDP封装(draft-IETF-IPsec-UDP-encaps-02 . txt)。2 .
。使用网络负载平衡的VPN部署

结合网络负载平衡,运行Windows Server 2003的VPN服务器支持VPN部署,从而创建了一个高效的VPN解决方案。包括支持点对点隧道协议(PPTP)和带有“网络负载平衡”的L2TP/IPSec VPN解决方案。
[br/]3。通过TCP/IP名称解析(NetBT)代理NetBIOS

当远程访问VPN客户端连接到VPN服务器时,它依赖于名称解析的目标网络上的DNS或WINS服务器。

DNS和WINS服务器在组织中相同,组织使用DNS进行主机名解析,或使用WINS进行NetBIOS名称解析。但是,在小型或家庭办公环境中,这些服务器可能不存在。在这种情况下,需要解析试图通过其他方式通信的计算机的名称,从而实现成功通信。

NetBIOS名称可以通过运行Windows Server 2003的VPN服务器来解析,而不是使用WINS或DNS服务器,因为Windows Server 2003操作系统包括NetBT代理。使用NetBT代理,VPN服务器所连接的网段上的已连接VPN客户端和节点可以解析所有其他NetBIOS名称。解析过程如下:

(1)当VPN客户端需要将其名称解析到没有配置DNS或WINS服务器的IP地址时,会向VPN服务器发送NetBIOS名称查询包。当连接到VPN服务器的网段上的节点需要将其名称解析为IP地址,但不需要配置DNS或WINS服务器时,它将发送NetBIOS名称查询数据包,作为网段上的广播。

(2)VPN服务器接收NetBIOS名称查询数据包,检查解析的NetBIOS名称的本地缓存,并在没有找到名称时,将NetBIOS名称查询作为NetBIOS广播在除连接到所有VPN客户端的逻辑接口之外的所有连接的接口上转发。

(3)注册了NetBIOS名称的节点向VPN服务器发送肯定的NetBIOS名称查询响应。

(4)VPN服务器接收NetBIOS名称查询响应,然后将其转发到发出NetBIOS名称查询数据包的接口上的发送节点。

因此,连接到VPN服务器的网段上的网络节点(以及所有连接的VPN客户端)可以自动解析所有其他名称,而无需使用DNS或WINS服务器。

4。L2TP连接的预共享密钥配置

Windows Server 2003系列支持计算机证书和预共享密钥作为建立L2TP连接的IPSec安全关联的身份验证方法。预共享密钥是在VPN客户端和VPN服务器上配置的文本字符串。预共享密钥是一种相对较弱的身份验证方法,因此建议您仅在部署公钥基础设施(PKI)以获取计算机证书时,或者在VPN客户端需要预共享密钥时使用预共享密钥身份验证。您可以使用L2TP连接的预共享密钥,并在运行路由和远程访问的服务器属性的安全选项卡上指定预共享密钥。

运行Windows XP的远程访问VPN客户端程序也支持预共享密钥的身份验证。您可以使用预共享密钥身份验证,并从网络连接中VPN连接属性的安全选项卡上的IPSec设置中配置预共享密钥。

运行Windows Server 2003操作系统的计算机之间的路由器到路由器VPN连接也支持预共享密钥身份验证。您可以使用预共享密钥身份验证,并在路由和远程访问中请求拨号接口属性的安全选项卡上的IPSec设置中为请求拨号接口配置预共享密钥。

位律师回复
DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
白度搜_经验知识百科全书 » WindowsServer2003VPN基础

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情