花生壳典型应用之VPN篇.docx

花生壳典型应用之VPN篇.docx

《花生壳典型应用之VPN篇.docx》由会员分享，可在线阅读，更多相关《花生壳典型应用之VPN篇.docx（10页珍藏版）》请在冰豆网上搜索。

花生壳典型应用之VPN篇

花生壳典型应用之--VPN篇

VPN技术简介　　　

概述

VPN的全称是VirtualPrivateNetwork，翻译过来一样称为虚拟专用网络。

其要紧作用确实是利用公用网络（主若是互联网）将多个私有网络或网络节点连接起来。

通过公用网络进行连接能够大大降低通信的本钱。

一样来讲两台连接上互联网的运算机只要明白对方的IP地址，是能够直接同通信的。

只是位于这两台运算机以后的网络是不能直接互联的，缘故是这些私有的网络和公用网络利用了不同的地址空间或协议，即私有网络和公用网络之间是不兼容的。

VPN的原理确实是在这两台直接和公用连接的运算机之间成立一个条专用通道。

连个私有网络之间的通信内容通过这两台运算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。

如此关于两个私有网络来讲公用网络就像一般的通信电缆，而接在公用网络上的两台运算机或设备那么相当于两个特殊的线路接头。

由于VPN连接的特点，私有网络的通信内容会在公用网络上传输，出于平安和效率的考虑一样通信内容需要加密或紧缩。

而通信进程的打包和解包工作那么必需通过一个两边协商好的协议进行，如此在两个私有网络之间成立VPN通道是需要一个专门的进程，依托于一系列不同的协议。

这些设备和相关的设备和协议组成了一个VPN系统。

一个完整的VPN系统一样包括以下几个单元：

VPN效劳器，一台运算机或设备用来接收和验证VPN连接的请求，处置数据打包和解包工作。

VPN客户端，一台运算机或设备用来发起VPN连接的请求，也处置数据的打包和解包工作。

VPN数据通道，一条成立在公用网络上的数据连接。

注意所谓的效劳器和客户端在VPN连接成立以后在通信的角色是一样的，效劳器和客户端的区别在于连接是由谁发起的罢了。

那个概念在两个网络之间的连接尤其明显。

应用情景

咱们能够假想一下的情景：

公司的总部在广州，有两个办事处别离在香港和上海，两个办事处的网络需要和总部连接，同时办事处之间也需要彼此连接。

解决这种问题以前只有一种方法确实是别离申请两条专线连接总部和两个办事处，两个办事处之前的通信通过总部转发。

远程专线的费用是超级昂贵的，在以前也只有银行、证券公司和大象企业才有能力负担。

有了互联网和VPN技术以后解决方法能够变成如此，总部通过一条专线和互联网连接，两个办事处别离在本地申请互联网的拨号连接。

然后通过在互联网上成立两条VPN通道将三个网络连接起来。

如此能够省去远程专线费用。

只是互联网的专线连接也不廉价，这种解决方案临时也只有大中型公司能够负担得起。

那么什么缘故总部必需利用互联网专线呢，那个地址牵涉到一个VPN的技术细节，在成立VPN通道的时候，连接的发起者必需明白同意连接的效劳器的IP地址，就像咱们打之前必需明白对方的号码一样。

而一般的拨号连接每次上网的IP地址都不相同。

只是此刻有一个专门好的解决方案，通过花生壳动态域名效劳能够让一个拨号连接取得的IP地址与一个固定的域名绑定在一路，当做立VPN连接的时候，连接成立者只需要输入连接同意方的域名就能够够了。

只是同意方的IP地址怎么改变，那个域名都能够说明到同意方当前的Ip地址上。

如此就能够够省去一条互联网的专线连接，大大降低了通信的费用，如此VPN的解决方案中小型企业也能够负担得起了。

二、计划VPN接入环境

VPN不但能够用于上述网络对网络的连接，也能够用于单台运算机到网络的连接。

在利用VPN的时候咱们需要计划一下咱们应用环境。

第一咱们需要列出需要连接的节点和节点的类型，和之间的访问关系，即由谁发起连接和向谁发起连接的问题。

如此咱们能够确认在咱们环境中确信哪些地址需要安装VPN效劳器，哪些地址仅仅是配置客户端就能够够了。

关于需要安装VPN效劳器的地址咱们需要一条比较高速的互联网线路，一个固定的IP地址，或利用花生壳配置一个固定的域名。

下面的介绍时基于微软间操作系统进行的。

微软的操作系统中提供VPN效劳器功能的有Window2000Server和AdvanceServer，和比较久的NTServer，固然这些操作系统也能够作为VPN的客户端。

其他的那么全数都能够作为VPN客户端。

（Window95必需安装DialupNetwork组件）。

确信了效劳器和客户端以后，咱们还需要计划个节点的IP地址。

每一个私有网络必需利用不同的地址段，在各自的地址段中必需划分出一部份用于VPN的接入。

以下的介绍咱们都是围绕着Window2000的配置进行的。

三、配置VPN接入效劳器

安装花生壳

只有VPN效劳器才需要安装花生壳效劳，在计划环境的时候必需为每台VPN效劳器申请一个Oray护照。

如此每台效劳器就会有一个不同的域名。

在客户端拨号的时候能够通过域名操纵连接不同的网络。

一样建议花生壳直接安装在VPN效劳器上，并配置为自动启动。

如此只要效劳器在线域名必然有效。

固然若是VPN效劳器也提供互联网共享的话也能够将花生壳安装在内部网络的任何一台运算机上，只是必需保证这台运算机可不能在效劳器在线的时候关机，以避免域名失效。

网络连接预备

作为VPN效劳器事实上确实是一台路由器，一样需要安装两块或以上的网卡，其中一块网卡负责和互联网连接。

另一块网卡那么连接内部网络。

在进行下面的配置之前第一必需检测效劳器和互联网的连接是不是正常。

另外很重要的一点确实是必需保证效劳器和互联网连接的网卡取得的是一个公网地址，即接入的ISP不是利用地址转换技术。

检测的方法如下：

在命令行输入ipconfig，检查和互联网连接的网卡的IP地址，若是其地址在以下范围之一那么不是公网地址，ISP利用了地址转换技术提供接入效劳。

如此就必需改换ISP。

配置路由和远程访问效劳

激生路由和远程访问效劳

在安装Window2000效劳器或高级效劳器的时候路由和远程效劳是默许安装好的，只是没有激活算了，因此咱们需要第一激生路由和远程访问效劳。

步骤如下：

在程序/治理工具中，点击

“路由和远程访问”。

打开路由和远程访问效劳治理界面，见图3-1

图3-1

当前的治理界面中尚未添加效劳器，所接下来需要将本机添加进去，方式是在效劳器状态上按鼠标右键，选择添加效劳器，打开添加效劳器的对话框，选择“这台运算机”，见图3-2

图3-2

按确信以后治理界面显现本机，而且处于停止状态，见图3-3

图3-3

接下来需要激活本机的路由和远程访问效劳，在本级效劳器上按鼠标右键，选择配置和激生路由和远程访问效劳。

系统打开路由和远程访问效劳安装向导。

按下一步显现想到的功用设置页面，见图3-4。

图3-4

选择手动配置效劳器，事实上这是最简单的配置方式，咱们临时撇开复杂的概念，那个选择事实上已经将大部份咱们需要的功能完成了。

按下一步然后完成，系统会询问是不是启动路由和远程访问效劳，回答是。

然后咱们又回到治理界面。

见图3-5

图3-5

接下来咱们所需要改动的地址只有一个确实是配置VPN接入是分派的IP地址。

配置接入的IP地址

VPN效劳在同意了VPN客户端的接入以后就会为客户端分派一个IP地址，客户端确实是用那个地址和效劳器或效劳器连接的内部网络通信。

那个地址需要实现分派好，那个地址能够有两种配置方式：

一、利用和内部网络相同的地址段，如此远程接入的VPN客户就和直接连接在内部网络的运算机一样，其网络配置和在公司内部的运算机没有什么区别。

这种方式适合于单机拨入的情形，但不太适合网络对网络的VPN互联。

二、利用和内部网络不同的地址段，这时VPN效劳器相当于一台路由器，比较和与网络对网络的互联。

关于单机就比较麻烦，关于接入移动式办公的电脑最好仍是选用第一种方式。

配置接入地址段的方式也有两种方式，一种是利用DHCP效劳器，另一种确实是直接在接入效劳器上配置。

前一种方式需要介绍DHCP效劳器的利用，那个地址就暂不介绍了。

以下是配置接入效劳器自己的地址段的方式。

在接入效劳器上按鼠标右键，点击属性，打开效劳器的属性对话框，选择IP页面，如图3-6

图3-6

选择“静态地址”，按添加打开静态地址配置对话框，如图3-7

图3-7

输入其实抗击和终止地质，注意地址数量必需比最大的接入数量多一个，因为效劳老是占用地址段的第一个地址。

配置访问权限

用户必需有相应的权限才能利用接入效劳，那个权限是在用户治理工具中配置的。

若是利用活动目录那么必需利用活动目录的拥护和运算机进行治理，若是利用本机的账号那么利用运算机治理中的用户和组的功能。

远程拨入的权限是一个个用户配置的，默许情形下所有效户都没有拨入权限。

咱们在用户治应当选择需要拨入的用户，打开属性对话框，选择拨入页面。

在远程访问权限当选择“许诺访问”即可，见图3-8

图3-8

四、配置客户端

那个地址介绍的客户端指的是单台PC连接VPN效劳器的情形，即单机和网络的连接。

关于网络到网络的连接我将在后续的文章介绍。

单机连接2000Server做的VPN效劳器超级简单，和平常Modem拨号上网差不多。

区别在于原先填写号码的地址此刻必需填写VPN效劳器的Ip地址或域名。

另外咱们需要记住VPN是一种成立在已有的网络连接上的一种专用连接，即人和VPN都需要一个底层的网络连接，咱们能够在成立VPN拨号连接的时候指定底层连接（如连接互联网的拨号连接），如此在拨VPN的时候运算机遇自动拨互联网的连接。

固然你若是利用多种互联网连接或直接利用局域网类型的连接。

能够不指定那个底层连接，在拨VPN之前自己手工拨号上互联网。

成立VPN拨号连接的方式如下：

第一打开操纵面板里面的网络和拨号连接，点击新建连接。

系统会打开拨号连接向导，按下一步，进入网络连接类型的选择，如图4-1

图4-1

选择通过Internet连接到专用网络，按下一步，进入公用网络配置，见图4-2

图4-2

若是你利用的局域网形式的接入选择，不拨初始连接，若是你利用一个固定的拨号网络连接互联网，那么选择自动拨此初始连接，并选择对应的拨号连接名称。

按下一步，进入目标地址配置，见图4-3

图4-3

输入VPN效劳器的IP地址或域名，若是你的VPN效劳器采纳的是动态连接，这时花生壳就显示出其威力了，只需要输入了VPN效劳器的动态域名，咱们就能够够省去大笔固定线路的租用费用了。

按下一步，输入新建VPN连接的名称，见图4-4

图4-4

至此VPN客户端配置完毕。

若是你有多个VPN效劳器能够重复上述步骤，为每一个VPN接入效劳器成立相应的连接。