7.2.3 两个远程网络通过广域网的互联
在实际网络应用中,经常会遇到这种情况,一个总公司的分公司遍布全国甚至全世界,这些分公司的网络经常要访问总公司网络的资源,如何有效、经济地实现这种需求,这是我们本节要给大家介绍的主要内容。在本节中,我们将以一个实例来介绍互联的方法。
一、VPN技术简介
VPN又称虚拟专用网,VPN使用“Tunnel(隧道)”技术传输数据,而“Tunnel”在传输数据时需要相应的协议支持,它们主要是PPTP(Point-to-Point Tunneling Protocol)和L2TP(Layer2 Tunneling ProtocolP)协议。
PPTP协议将其他协议和数据封装于IP网络中,该方式用在公共的Internet创建VPN,远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。此协议由Microsoft开发,与Windows操作系统集成很好。在数据安全性方面,此协议使用40bit或128bit的加密算法。
L2TP协议是在Internet上创建VPN的协议。它支持非IP的协议,例如:AppleTalk和IPX,这个协议是在PPTP和L2F的技术之上制定的标准Internet Tunnel协议。在数据安全方面,建议使用IPSec作为加密方式。
VPN是依靠ISP或其他的NSP(网络服务提供商)在公用网中建立自己的虚拟连接,在虚拟连接中达到与远程的局域网连接的目的。VPN具有如下特点:
(1)解决了企业进行远程通信必须购置专用远程访问服务器,必须使用租用线路的高成本、低扩展性的问题。
(2)将远程网络主干的通信的软硬件维护的任务交给ISP管理,大大减少了企业为了管理网络所投入的人力和物力,减少了企业的管理成本。
(3)利用点对点等隧道协议(PPPTP)以及第二层隧道协议(L2TP)可以实现多点建立VPN,使得用户可以开通多个VPN,以便同时访问Internet和企业网络。
(4)采用Microsoft的点对点加密协议(MPPE)以及安全IP标准(IPsec)可以实现VPN的安全策略。
二、网络场景及需求
1.网络场景
一个总公司建立了总公司网络,服务器申请的合法的外网卡IP地址为198.198.1.1,掩码为255.255.255.0,服务器内网卡的IP地址为:172.18.1.1,其内网IP地址范围为172.18.1.2到172.18.2.254(私用IP地址),掩码为255.255.0.0。分公司服务器的外网卡IP地址为172.18.3.1,内网卡IP地址为:172.18.3.2,掩码为255.255.0.0,内网的IP地址范围为172.18.3.3到172.18.3.254,掩码为255.255.0.0。
2.网络结构图
其网络结构图如图7-38所示。
3.用户需求
分公司网络中的每个用户均可以访问总公司的每一台计算机上的资源。
图7-38 网络结构图
三、创建VPN网络
1.创建VPN网络的必要条件
(1)VPN服务器的外网卡的IP地址必须是合法的IP地址。
(2)不论是总公司网络还是分公司网络均应通过本地ISP商接入Internet。关于本地网络接入Internet我们在前面已经详细介绍过,在此,假设总公司和分公司的网络均已接入了Internet网络,并且服务器的IP地址已按上述网络场景设置完毕。
(3)VPN服务器的操作系统在本案例中必须是Windows 2000 Server。
2.创建VPN服务器
创建VPN服务器是实现本案例的关键,下面是创建VPN服务器的步骤:
第一步:打开“路由和远程访问”主界面,用鼠标右键单击服务器,选择“配置并启用路由和远程访问”选项,并在图7-39中选中“虚拟专用网络(VPN)服务器”选项。单击“下一步”按钮后,出现如图7-40所示的界面,在图中选择用于远程客户访问的协议,一般是TCP/IP协议。
图7-39 选择建立VPN服务器的选项
图7-40 设置远程客户协议:TCP/IP
单击“下一步”按钮后,在出现的如图7-41所示的界面中选择VPN服务器连接Internet的网卡(此处为外网卡,其IP地址为:198.198.1.1)。单击“下一步”按钮后,出现如图7-42所示的界面,在图中选择连接本地网络用户的网络连接,在这里选择内网卡。
图7-41 选择VPN服务器连接Internet的网卡
图7-42 为本地网络选择网络接口(内网卡)
单击“下一步”后,出现如图7-43所示的界面。根据网络场景要求,VPN客户获得IP地址的方式应该选择“来自一个指定地址范围”选项。单击“下一步”按钮后,出现如图7-44所示的界面,在图中单击“新建”按钮,在弹出的“新建地址范围”窗口中,根据网络场景的要求输入IP地址范围,本案例是172.18.1.2至172.18.2.254,一共是509个IP地址。设置完后,按“确定”按钮,单击“下一步”按钮,完成VPN服务器的安装和设置。完成VPN服务器配置后的界面如图7-45所示。在图7-45的右边,大家看见了一些端口,有PPTP端口,也有L2TP端口。
图7-43 设置VPN客户获得IP地址的方式
图7-44 新建分配给VPN客户IP地址的范围
图7-45 配置VPN服务器后的界面
当VPN客户与服务器断开连接后,则服务器释放端口,等待其他VPN客户连接。同时,端口是虚拟的,在VPN服务器中允许最多设置16 384个PPTP端口和最多30 000个L2TP端口。这些端口的数量对于一般企业来说足够了。在此大家必须明白这些端口的作用,当客户连接到VPN服务器时,VPN服务器便分配一个空闲的端口给VPN客户,若VPN客户断开连接时,VPN服务器便释放VPN端口,等待其他VPN客户的接入。同时VPN端口数可以设置,如图7-46所示。其设置方法是:在路由和远程访问主界面中,用鼠标右键单击服务器名下的“端口”,在弹出的快捷菜单中选择“属性”选项,便出现端口属性窗口,在端口属性窗口中双击“WAN微型端口(PPTP或L2TP)”,便出现“配置设备-WAN微型端口”窗口,在窗口中的“最多端口数”一栏输入最多的端口数,如图7-46所示。
图7-46 配置VPN服务器的端口数
第二步:设置远程访问策略。
为了安全需要,往往在VPN服务器一端要设置远程访问策略,如允许接入的时间、IP地址、计算机名称等。接下来我们以一个例子来讲述如何新建远程访问策略。假设仅允许VPN客户在星期一至星期五的早上8:00至12:00之间远程访问VPN服务器,而其他时间一律不得访问VPN服务器。其设置的步骤为:在“路由和远程访问”的主界面中用鼠标右键单击“远程访问策略”,在弹出的快捷菜单中选择“新建远程访问策略”,如图7-47所示。
在出现的“添加远程访问策略”窗口中,输入好记的名字,如“允许接入的时间”,单击“下一步”按钮,在出现的“添加远程访问策略”的“条件”窗口中,单击“添加”按钮,出现如图7-48所示界面。
图7-47 新建远程访问策略
图7-48 选择条件类型
在图7-48中选择“Day-And-Time-Restrictions(允许用户连接的时间和日期)”,并按下“添加”按钮后,在出现的“时间限制”窗口中设置允许访问的时间,如图7-49所示。单击“确定”后,便出现“添加远程访问”的“权限”窗口,并选中“授予远程访问权限”项。设置完毕后的界面如图7-50所示。如此设置后,VPN客户只能在周一至周五的早上8:00至12:00才能接入到VPN服务器。其他策略设置大家自己掌握,我们在此仅举一例来说明如何新建远程访问策略。
第三步:设置VPN客户端。
通过前两步的设置,服务器方基本设置完毕了,接下来,我们以客户端操作系统Windows 2000为例,讲述如何来设置VPN客户端。
图7-49 设置时间限制
图7-50 新建了“允许接入时间”的策略
在客户端的桌面用鼠标右键单击“网上邻居”,在弹出的快捷菜单中选择“属性”,出现如图7-51所示的界面。在图中双击“新建连接”图标,出现如图7-52所示的界面,选择“通过Internet连接到专用网络”选项。
单击“下一步”按钮,在出现的如图7-53中输入VPN服务器的IP地址:198.198.1.1,如图7-53所示。
单击“下一步”按钮后,在出现的“可用连接”窗口中选择该连接是自己用还是所有用户均可用。一般选择“所有用户使用该连接”,单击“下一步”按钮后,为该连接输入一个名字,如“VPN连接”,则VPN客户端设置完毕。
图7-51 新建连接
图7-52 通过Internet连接到专用网络
图7-53 输入VPN服务器的IP地址
第四步:为VPN客户账号设置权限。
在Windows 2000系统中,默认情况下所有账号均无远程拨入的权限,要想使VPN客户所使用的账号具有拨入的权限,必须对账号进行设置,其设置方法如图7-54所示。在用户账号属性对话框中的“拨入”标签窗口中的“远程访问权限”一栏中选中“允许访问”后,按“确定”按钮即可。
图7-54 为账号设置拨入权限
第五步:测试VPN客户能否成功连接到VPN服务器。
在“网络和拨号连接”窗口中,双击刚才所建立的“VPN连接”,便出现如图7-55所示界面。在图7-55中,输入用户名和密码后,单击“连接”按钮,稍等片刻后,提示VPN连接已被连接,如图7-56所示。同时状态栏显示的图标如图7-57所示。
图7-55 开始连接到VPN服务器
图7-56 提示VPN连接已被连接
图7-57 提示VPN连接已被连接
至此,VPN客户端成功地连接到了VPN服务器,在VPN服务器一端也提示:一个VPN客户已经连接到VPN服务器,如图7-58所示,表示一个用户已连到VPN服务器。
图7-58 一个VPN客户连接到VPN服务器的显示情况
当VPN客户连接到VPN服务器后,VPN客户就可以像使用本地局域网的资源一样访问VPN服务器资源。要访问VPN服务器资源,必须知道VPN客户机的IP地址与VPN服务器的IP地址。要查找到它们,其方法如下:当VPN客户连接到VPN服务器后,在VPN客户一端的“网络和拨号连接”窗口中,双击上面所建立的“VPN连接”,便出现如图7-59所示界面。在图中的“VPN连接”状态窗口,单击“详细信息”标签,可以看见VPN服务器的IP地址为172.18.1.1,而VPN客户IP地址自动分配的为172.18.1.4,这样虽然服务器与客户机分别位于不同的地理位置,但采用VPN隧道技术后,将VPN服务器与VPN客户机连接到一个网络中,这样相互访问资源,就像访问本地网的资源一样。
要访问VPN服务器的资源,方法很简单,在VPN客户机一端参照图7-60操作即可。
在图7-60中的地址一栏中输入VPN服务器的IP地址172.18.1.1后回车,便出现VPN服务器172.18.1.1上的所有共享资源,如图7-61所示。
当然,其他VPN客户机要访问VPN服务器上的资源,也必须连接到VPN服务器,取得一个IP地址。只要知道一台连接到VPN服务器上的客户机的IP地址,不管这个VPN客户机在何方,均可以通过上面方式访问其共享资源。这样便达到了分公司与总公司的资源共享的目的。
图7-59 查看VPN客户和VPN服务器的地址
图7-60 VPN客户机访问VPN服务器的资源
图7-61 VPN服务器上的共享资源
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。