Windows-Server-2003-VPN服务器搭建方法

WindowsServer2003VPN服务器搭建&配置远程访问服务之——

一、什么是VPN二、VPN的安全性三、VPN网络的可用性四、VPN网络的可管理性五、windows2003VPN服务器实例配置六、IAS配置七、VPN客户端配置八、总结一、什么是VPN虚拟专用网(VPN，VirtualPrivateNetwork)是一种利用公共网络来构建的私人专用网络技术，不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为："使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。VPN的基本要求

一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：

1.用户验证

VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。

2.地址管理

VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。

3.数据加密

对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。

4.密钥管理

VPN方案必须能够生成并更新客户端和服务器的加密密钥。

5.多协议支持

VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念，协议，和部件（component）。二、VPN的安全性目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。1、隧道技术隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP（1723）、L2TP（1701）等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。IPSEC隧道模式具有以下功能和局限：

1.只能支持IP数据流

2.工作在IP栈（IPstack）的底层，因此，应用程序和高层协议可以继承IPSEC的行为。

3.由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。隧道类型

1.自愿隧道（Voluntarytunnel)

用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。

2.强制隧道（Compulsorytunnel）

由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。

目前，自愿隧道是最普遍使用的隧道类型。2、加解密技术加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。3、密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。(现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。)…在网络上传输密钥;在ISAKMP中，双方都有两把密钥，分别用于公用、私用。4、使用者与设备身份认证技术使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式.(目前这方面做的比较成熟的有国内的深信福科技的VPN解决方案。)扩展验证协议（EAP）

PPP只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展，允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两端动态加入验证插件模块。交易层安全协议（EAP-TLS）

EAP-TLS已经作为提议草案提交给IETF，用于建立基于公用密钥证书的强大的验证方式。使用EAP-TLS，客户向拨入服务器发送一份用户方证书，同时，服务器把服务器证书发送给客户。用户证书向服务器提供了强大的用户识别信息；服务器证书保证用户已经连接到预期的服务器。

用户方证书可以被存放在拨号客户PC中，或存放在外部智能卡。无论那种方式，如果用户不能提供没有一定形式的用户识别信息（PIN号或用户名和口令），就无法访问证书。协商安全关联（NegotiatedSecurityAssociation）

第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中，两台机器对验证和数据安全方式达成一致，进行相互验证，然后生成一个用于随后的数据加密的个共享密钥。验证包头

通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSEC验证包头不提供数据加密；信息将以明文方式发送。封装安全包头

为了保证数据的保密性并防止数据被第3方窃取，封装安全负载（ESP）提供了一种对IP负载进行加密的机制。另外，ESP还可以提供数据验证和数据完整性服务；因此在IPSEC包中可以用ESP包头替代AH包头。用户管理

在选择VPN技术时，一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中（目录服务）便于管理人员和应用程序对信息进行添加，修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库，存储每一名用户的信息，包括用户名，口令，以及拨号接入的属性等。但是，这种由多台服务器维护多个用户帐号的作法难以实现及时的更新，给管理带来很大的困难。因此，大多数的管理人员采用在目录服务器，主域控制器或RADIUS服务器上建立一个主帐号数据库的方法，进行有效管理。RAS支持

微软的远程接入服务器（RAS）使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息，所以使用一台域控制器能够简化系统管理。

微软的RAS最初被用作拨号用户的接入服务器。现在，RAS可以作为PPTP和L2TP协议的隧道服务器（NT5将支持L2TP）。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。扩展性

通过使用循环DNS在同属一个安全地带（securityperimeter）的VPN隧道服务器之间进行请求分配，可以实现容余和负荷平衡。一个安全地带只具有一个对外域名，但拥有多个IP地址，负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库，如NT域控制器验证访问请求。RADIUS

远程验证用户拨入服务（RADIUS）协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便（lightweight）协议。RADIUS服务器可以被放置在Internet网络的任何地方为客户NAS提供验证（包括PPPPAP，CHAP，MSCHAP和EAP）。另外，RADIUS服务器可以提供代理服务将验证请求转发到远端的RADIUS服务器。例如，ISP之间相互合作，通过使用RADIUS代理服务实现漫游用户在世界各地使用本地ISP提供的拨号服务连接Internet和VPN。如果ISP发现用户名不是本地注册用户，就会使用RADIUS代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下，有效的使用ISP的网络基础设施，使企业的网络费用开支实现最小化。记费，审计和报警

为有效的管理VPN系统，网络管理人员应当能够随时跟踪和掌握以下情况：系统的使用者，连接数目，异常活动，出错情况，以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费，审计和报警或其它错误提示具有很大帮助。例如，网络管理人员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。对设备进行实时的监测可以在系统出现问题时及时向管理员发出警告。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志，报告和数据存储设备。

NT4.0在RAS中提供了对记费，审计和报警的支持。RADIUS协议对呼叫-记费请求（call-accountingrequest)进行了规定。当RAS向RADIUS发送呼叫-记费请求后由后者建立记费记录分别记录呼叫开始，结束以及预定中断的情况。三、VPN网络的可用性通过VPN，企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴关键业务。虚拟网组成之后，远程用户只需拥有本地ISP的上网权限，就可以访问企业内部资源，这对于流动性大、分布广泛的企业来说很有意义，特别是当企业将VPN服务延伸到合作伙伴方时，便能极大地降低网络的复杂性和维护费用。

VPN技术的出现及成熟为企业实施ERP、财务软件、移动办公提供了最佳的解决方案。一方面，VPN利用现有互联网，在互联网上开拓隧道，充分利用企业现有的上网条件，无需申请昂贵的DDN专线，运营成本低。另一方面，VPN利用IPSEC等加密技术，使在通道内传输的数据，有着高达168位的加密措施，充分保证了数据在VPN通道内传输的安全性。四、VPN网络的可管理性

随着技术的进步，各种VPN软硬件解决方案都包含了路由、防火墙、VPN网关等三方面的功能，企业或政府通过购买VPN设备，达到一物多用的功效，既满足了远程互联的要求，而且还能在相当程度上防止黑客的攻击、并能根据时间、IP、内容、Mac地址、服务内容、访问内容等多种服务来限制企业公司内部员工上网时的行为，一举多得。

VPN设备的安装调试、管理、维护都极为简单，而且都支持远程管理，大多数VPN硬件设备甚至可通过中央管理器进行集中式的管理维护。出差人员也可以通过客户端软件与中心的VPN设备建立VPN通道，从而达到访问中心数据等资源的目的。让互联无处不在，极大地方便了企业及政府的数据、语音、视频等方面的应用。设置远程访问策略：在“路由和远程访问”窗口，右击右面树形目录中的“远程访问策略”，选择“新建远程访问策略”，在弹出的对话框中点“下一步”，填入方便记忆的“策略名”，点“下一步”，选择“VPN”选项，点“下一步”，点“添加”把刚才新建的组加入到这里，点“下一步”，“下一步”，“下一步”，“完成”，就完成了远程策略的设置，后面如果需要新的用户需要VPN服务，只要为该用户新建一个帐号，并加入刚才新建的“TEST”组就可以了。设置动态域名我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP，这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的ADSL宽带接入的话，那一般都是每次上网地址都不一样的动态IP，所以需在VPN服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。常用的动态域名解析软件为：花生壳，可以在下载，其安装及注意事项请参阅相关资料。条件+权限+配置文件=决定客户端的拨入五、VPN服务器实例配置（略）六、IASserver（RADIUS

）配置（略）七、VPN客户端配置这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络，接下来只