VPN网络配置
虚拟专用网络(Virtual Private Network,VPN)是专用网络的延伸,它包含了类似Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。
不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。现在中小企业通过ADSL宽带网络连接互联网并建立自己的局域网比较常见,而VPN的使用范围也已经越来越广了。
笔者就认识不少把自己家的电脑和单位的局域网通过VPN连接起来的朋友。笔者通过调查发现现在通常有两种方法实现局域网的VPN连接:一种是在局域网中的客户机上可以进行单个VPN连接,通过计算机的VPN功能或客户端软件建立PPTP或IPSEC的VPN连接;另一种是在ADSL路由器上建立B2B(Branch to Branch,网对网的连接)的VPN连接。
这两种方法各有利弊,如果实现单个计算机的VPN连接,好处是局域网中的计算机建立VPN连接的时候不会影响其它计算机连接公网,缺点是同时只能有一台计算机建立连接,适合于企业用户,尤其是当企业计算机比较多的时候。
而建立B2B的VPN连接以后,局域网中的计算机都连接VPN了,所有的连接都是建立在VPN之上的,影响了连接INTERNET的速度,因为VPN连接以后建立隧道,数据是加密的,所有的连接都要通过VPN服务器来转接,适合于经常需要连接外网以及局域网中的计算机比较少的情况。
下面笔者就把自己设置VPN过程写出来和大家分享:
一、局域网组建配置方案
1、局域网方案 笔者单位是通过硬件路由组建的局域网,网络结构如图1所示,包括一台ADSL路由器、一台ADSL接入设备以及HUB。
由于局域网中计算机没有公有IP地址,ADSL连接的时候从ISP那里得到的是一个动态分配的IP地址,所以局域网中同时只能有一台计算机可以单个连接VPN,但连接是任意的,局域网中的一台计算机连接VPN也不会影响到其它计算机连接公网。
2、局域网配置 通过ADSL路由器组建局域网,理论上最多可以连接253台计算机。路由器从出厂就默认配置Router IP:192.168.1.1,局域网中的其它客户机可以配置IP为192.168.1.*,网关设置为:192.168.1.1,子网掩码为:255.255.255.0,下面笔者以Vigor
ADSL路由器为例子说明如何进行配置。
ADSL路由器配置是通过WEB界面来在控制,客户机上通过IE来访问,有关ADSL路由器的详细配置参看有关文档,这里只涉及连接ADSL的配置方法。
在图(ADSL路由器配置)中,点击"Internet Access Setup",进入图(选择INTERNET连接方式),Vigor ADSL路由器可以连接ADSL、ISDN以及DDN等网络连接方式,ADSL可以通过PPPOE协议来进行连接,点击"PPPOE"进入对PPPOE的配置。
在上图中,在PPPOE Setup中选择"Enable"启用PPPOE的连接功能,在"ISP Access Setup"中填写有关信息:ISP Name为ISP接入服务提供商,Username为ISP分配给用户的帐号,Password为密码。
这样就实现了局域网中的计算机网络连接,相当于用ADSL路由器来做代理服务器,但是这个服务器是随时可以开通,也是随时关闭的,只要局域网中的计算机启动,ADSL路由器就自动启动服务,进行ADSL的拨号,完成网络连接;当局域网中的计算机都关闭以后,ADSL路由器也自动关闭网络服务。配置好网络连接以后,局域网中的客户机就可以进行单个的VPN连接,但是同时只也许一台计算机进行连接,要实现整个局域网的VPN连接,还要进行配置。
二、局域网VPN接入方案
设置Router上Internet网以后,就可以进行ADSL路由器的VPN拨号连接,实现整个局域网连接VPN。
1、VPN连接配置 回到主页(如图ADSL路由器配置所示),
选择"VPN and Remote Access Setup"(VPN和远程拨号访问配置)进行VPN的设置。
在图VPN设置中选择"Remote Access Contorl Setup",进入图VPN远程访问控制协议;
在图VPN远程访问控制协议中,启动VPN连接过程当中需要启动的协议,LAN-to-LAN 的VPN连接可以用PPTP、IPSEC以及L2TP等协议,全部选中协议都起用。点击"ok",回到图VPN连接管理中,
再点击图VPN连接管理中"LAN-to-LAN Dialer Profile Setup",进入图 VPN配置。
在图VPN连接管理中,列出了该局域网连接的VPN情况,在ADSL路由器上可以同时进行多个VPN连接,即实现几个局域网互联。点击INDEX下的"1",进入图VPN配置。在图VPN配置中,首先是命名连接,profile name为:ciecc,选中"Enable the profile",由于是局域网连接到外网,而不需要提供别的人进行访问内部局域网,所以在"Call Direction"选项中选择"Dial-Out"。在"Dial-Out Settings"中填写用户名和口令,以及要连接的局域网对外的
IP地址。
填入帐号和口令,服务器地址为:*.*.*.250。在"Type of Server I am calling"中选择进行VPN连接所用的协议,这里选择"PPTP"。
在上图中,"Dial-in Settings"不用设置,这里是为外面接到企业局域网提供的设置。在"TCP/IP Network Settings"设置远方接入的网络,主要是IP地址、网络掩码等。
2、VPN连接管理 回到图VPN设置,点击"VPN Connection Management",进入图VPN连接管理。
在"Dial-out Tool"下的下拉框选择刚建立的VPN连接,点击"Dial"进行VPN连接。连接成功以后就会显示建立的连接,如果想要终止VPN的连接,点击"Drop"。
三、配置VPN服务器
下面笔者就VPN服务器端使用Win2000;客户机端使用Win98来设置VPN。
(1)尚未配置:Win2K中的VPN包含在"路由和远程访问服务"中。当Win2K服务器安装好之后,它也就随之自动存在了!不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后,在左边的"树"栏中选中"服务器准状态",即可从右边看到其"状态"正处于"已停止(未配置)"的情况下。
(2)开始配置:要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中"SERVER"(服务器名),在其上单击右键,选"配置并启用路由和远程访问"。
(2)开始配置:要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中"SERVER"(服务器名),在其上单击右键,选"配置并启用路由和远程访问"。
(3)如果以前已经配置过这台服务器,现在需要重新开始,则在"SERVER"(服务器名)上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置!
(4)当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络(VPN)服务器",以便让用户能通过公共网络(比如Internet)来访问此服务器。
(5)在"远程客户协议"的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选"是,所有可用的协议都在列表上"再"下一步"即可。
(6)之后系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)再"下一步"。
(7)接着在回答"您想如何对远程客户机分配IP地址"的询问时,除非你已在服务器端安装好了DHCP服务器,否则请在此处选"来自一个指定的IP地址范围"(推荐)。
(8)然后再根据提示输入你要分配给客户端使用的起始IP地址,"添加"进列表中,比如此处为"192.168.1.80~192.168.1.90"。(请注意,此IP地址范围要同服务器本身的IP地址处在同一个网段中,即前面的"192.168.1"部分一定要相同!)
(9)最后再选"不,我现在不想设置此服务器使用RADIUS"即可完成最后的设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口,当它消失之后,打开"管理工具"中的"服务",即可以看到"Routing and Remote Access"(路由和远程访问)项"自动"处于"已启动"状态了!
四、赋予用户拨入的权限
(1)默认的,任何用户均被拒绝拨入到服务器上。
(2)欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器(在"计算机管理"项或"Active Directory用户和计算机"中),选中所需要的用户,在其上单
(2)欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器(在"计算机管理"项或"Active Directory用户和计算机"中),选中所需要的用户,在其上单
击右键,?quot;属性"。
(3)在该用户属性窗口中选"拨入"项,然后点击"允许访问"项,再"确定"即可完成赋予此用户拨入权限的工作。
(3)在该用户属性窗口中选"拨入"项,然后点击"允许访问"项,再"确定"即可完成赋予此用户拨入权限的工作。
五、通过局域网来进行的VPN连接
(1)进入Win98的计算机,它要想连接到VPN服务器,则需要先安装"虚拟专用网络"服务。在控制面板的"网络"下,进入"建立宽带连接通讯"即可到此项并添加上去;安装完成之后再根据提示重启动计算机。
(2)重新启动之后,在控制面板的"网络"中就有了"Microsoft 虚拟私人网络适配器",即说明VPN服务已安装成功!
(2)重新启动之后,在控制面板的"网络"中就有了"Microsoft 虚拟私人网络适配器",即说明VPN服务已安装成功!
(3)还需要建立到VPN服务器的连接。首先进入我的电脑?quot;拨号网络"中,双击"建立新连接",然后在"请键入对方计算机的名称"输入连接名,比如为"局域网内的VPN连接",在"选择设备"下一定不要忘了选中"Microsoft VPN Adapter"项!再"下一步"。
(4)接着出现"请输入VPN服务器的名称或IP地址",在其下的文字框中输入Win2K服务器的名字或IP地址,比如此处为"192.168.1.1",再根据提示操作即可建立成功!
(5)然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标,再输入相应的用户名(需具有拨入服务器的权限)和密码,再按"连接"按钮。
(6)如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口。
当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络!这个网络是双方专用的,而且具体良好的保密性能。VPN建立成功之后,双方便可以通过IP地址或"网上邻居"来达到互访的目的,当然也就可以使用对方所共享出来的软硬件资源了!
发布评论