虚拟专用网络.docx
- 文档编号:7022632
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:27
- 大小:27.40KB
虚拟专用网络.docx
《虚拟专用网络.docx》由会员分享,可在线阅读,更多相关《虚拟专用网络.docx(27页珍藏版)》请在冰豆网上搜索。
虚拟专用网络
概要
虚拟专用网络(VPN)允许您通过一个网络(如Internet)将组件连接到另一个网络。
可以将基于Windows2000Server的计算机当作远程访问服务器,这样其他用户就可以通过VPN与之相连,然后访问您的本地驱动器或网络上的共享文件。
虚拟专用网络是通过在Internet或另外的公用网络上“建立隧道”来实现的,可提供与专用网络相同的安全性和功能。
有了VPN,通过公用网络的连接可以使用Internet的路由架构传输数据,而对用户来说,数据好像是通过一个专门的专用链路传送的。
本文介绍如何安装虚拟专用网络(VPN)以及如何在Windows2000中新建VPN连接。
回到顶端
VPN概述
虚拟专用网络(VPN)是一种通过公用网络(如Internet)连接专用网络(如您的办公室网络)的方法。
它将到拨号服务器的拨号连接的优点与Internet连接的方便与灵活性相结合。
通过使用Internet连接,您可以周游世界,而同时在大多数地方仍可以通过当地最近的Internet访问电话号码连接到您的办公室。
如果您的计算机(和办公室)有高速Internet连接(如电缆或DSL),您就可以以最快的Internet速度与办公室通讯,比使用模拟调制解调器的任何拨号连接速度快得多。
VPN使用经过身份验证的链接来确保只有授权用户才能连接到您的网络,而且这些用户使用加密来确保他们通过Internet传送的数据不会被其他人截取和利用。
Windows使用点对点隧道协议(PPTP)或第二层隧道协议(L2TP)实现此安全性。
VPN技术使得公司可以通过公用网络(如Internet)连接到其分支办事处或其他公司,同时又可以保证通讯安全。
通过Internet的VPN连接从逻辑上讲相当于一个专用的广域网(WAN)链接。
回到顶端
VPN的组件
Windows2000中的VPN组件包括一个VPN服务器、一个VPN客户机、一个VPN连接(连接中数据被加密的部分),以及隧道(连接中数据被封装的部分)。
建立隧道是通过Windows2000中包括的两个隧道协议完成的,这两个协议都是随“路由和远程访问”安装的。
Windows2000包括的两个隧道协议是:
•
点对点隧道协议(PPTP):
使用“Microsoft点对点加密”提供数据加密。
•
第二层隧道协议(L2TP):
使用IPSec提供数据加密、身份验证和完整性。
到Internet的连接应使用专用线路,如T1、FractionalT1或FrameRelay。
WAN适配器必须配置指派给您的域或由Internet服务提供商(ISP)提供的IP地址和子网掩码,以及ISP路由器的默认网关。
注意:
要启用VPN,您必须使用具有管理权限的帐户登录。
回到顶端
如何安装和启用VPN
要安装和启用VPN服务器,请按下列步骤操作:
1.
在MicrosoftWindows2000VPN计算机上,确保到Internet的连接和到您的局域网(LAN)的连接都已正确配置。
2.
单击开始,指向管理工具,然后单击“路由和远程访问”。
3.
单击树中的服务器名称,再单击操作菜单上的“配置并启用路由和远程访问”,然后单击下一步。
4.
在通用配置对话框中,单击“虚拟专用网络(VPN服务器)”,然后单击下一步。
5.
在远程客户机协议对话框中,确认列表中包括TCP/IP,单击“是,所有可用的协议都在列表上”,然后单击下一步。
6.
在Internet连接对话框中,选择将连接到Internet的Internet连接,然后单击下一步。
7.
在“IP地址分配”对话框中,选择自动以便使用您子网上的DHCP服务器给拨号客户机和服务器分配IP地址。
8.
在管理多个远程访问服务器对话框中,确认“不,我现在不想设置此服务器使用RADIUS”复选框已选中。
9.
单击下一步,然后单击完成。
10.
右键单击端口节点,然后单击属性。
11.
在端口属性对话框中,单击WAN微型端口(PPTP)设备,然后单击配置。
12.
在“配置设备-WANMiniport(PPTP)”对话框中,执行下列操作之一:
•
如果不想支持到服务器上安装的调制解调器的直接用户拨号VPN,请单击以清除请求拨号路由选择连接(入站和出站)复选框。
•
如果想要支持到服务器上安装的调制解调器的直接用户拨号VPN,请单击选中请求拨号路由选择连接(入站和出站)复选框。
13.
在最多端口数文本框中,键入您希望同时存在的PPTP连接的最大数目。
(这可能取决于可用IP地址的数目)。
14.
对L2TP设备重复步骤11至13,然后单击确定。
回到顶端
如何配置VPN服务器
要进一步根据需要配置VPN服务器,请按照下列步骤操作。
将远程访问服务器配置为路由器
为让远程访问服务器能在您的网络中正确地转发通信量,必须用静态路由或路由协议将其配置为一个路由器,这样远程访问服务器才能访问到内部网中的所有位置。
要将服务器配置为路由器,请按照下列步骤操作:
1.
单击开始,指向管理工具,然后单击“路由和远程访问”。
2.
右键单击服务器名称,然后单击属性。
3.
在常规选项卡上,单击以选中启用此计算机作为路由器。
4.
选择“仅用于局域网(LAN)路由选择”或“用于局域网和请求拨号路由选择”,然后单击确定,关闭属性对话框。
如何配置PPTP端口
确认所需的PPTP端口数。
要检查端口数或添加端口,请按照下列步骤操作:
1.
单击开始,指向管理工具,然后单击“路由和远程访问”。
2.
在控制台树中,展开“路由和远程访问”,展开服务器名,然后单击端口。
3.
右键单击端口,然后单击属性。
4.
在端口属性对话框中,单击WAN微型端口(PPTP),然后单击配置。
5.
在配置设备对话框中,选择设备的最大端口数目,然后选择选项以指定该设备是仅接受传入连接,还是接受传入和传出两种连接。
如何管理地址和名称服务器
VPN服务器必须有可提供的IP地址,以便在连接进程的IP控制协议(IPCP)协商阶段将它们分配给VPN服务器的虚拟接口和VPN客户机。
分配给VPN客户端的IP地址实际分配给了VPN客户端的虚拟接口。
对于基于Windows2000的VPN服务器,默认情况下,分配给VPN客户端的IP地址是通过DHCP获得的。
您也可以配置静态IP地址池。
VPN服务器还必须配置名称解析服务器(通常是DNS和WINS服务器)地址,以在IPCP协商期间分配给VPN客户端。
如何管理访问
在用户帐户上配置拨入属性并配置远程访问策略,以管理对拨号网络和VPN连接的访问。
注意:
默认情况下拒绝用户对拨号的访问。
通过用户帐户访问
如果您是按用户管理远程访问,则对于允许创建VPN连接的用户帐户,可在用户的属性对话框中的拨入选项卡上,单击允许访问。
如果VPN服务器只允许VPN连接,则请删除称为“如果启用拨入许可,就允许访问”的默认远程访问策略。
然后新建一个远程访问策略,给它取一个描述性名称,如“按用户帐户允许VPN访问”。
有关详细信息,请参见Windows2000帮助。
小心:
删除默认策略后,则与您创建的策略配置一个也不匹配的拨号客户机将被拒绝访问。
如果VPN服务器也提供拨号远程访问服务,则不要删除默认策略,但要移动其位置,使它成为最后一个起作用的策略。
通过组成员身份访问
如果您按组管理远程访问,请使用“管理工具”或MMC管理单元中的“ActiveDirectory用户和计算机控制台”,对所有用户帐户单击“通过远程访问策略控制访问”单选按钮。
创建一个其成员可以创建VPN连接的Windows2000组。
如果VPN服务器只允许VPN连接,则请删除名称为“如果启用拨入许可,就允许访问”的默认远程访问策略。
下一步,新建一个远程访问策略,给它取一个描述性的名称,例如“如果是允许创建VPN的组的成员,则允许访问VPN”,然后将Windows2000组指派给此策略。
如果VPN服务器也提供拨号网络远程访问服务,则不要删除默认策略,而是移动其位置,使它成为最后一个起作用的策略。
如何从客户机配置VPN连接
要建立到VPN的连接,请按照下列步骤操作:
1.
在客户机上,确认与Internet的连接配置正确。
2.
单击开始,指向设置,然后单击网络和拨号连接。
3.
双击建立新连接。
4.
单击下一步,再单击通过Internet连接到专用网络,然后单击下一步。
5.
执行下列操作之一:
•
如果您使用拨号连接来连接Internet,请单击自动拨此初始连接,然后从列表中选择您的拨号Internet连接。
•
如果您使用的是全时连接(如电缆调制解调器),请单击不拨初始连接。
6.
单击下一步。
7.
键入您想连接到的计算机的主机名(如M)或IP地址(如123.123.123.123),然后单击下一步。
8.
如果想让登录到此计算机的任何人都可以使用此连接,请单击以选择供所有用户使用,如果想让此连接只有在您登录到计算机时可用,请单击以选中仅供自己使用,然后单击下一步。
9.
为此连接键入一个描述性的名称,然后单击完成。
注意:
此选项只有在您作为Administrators组的成员登录时才可用。
10.
单击开始,指向设置,然后单击网络和拨号连接。
11.
双击新建的连接。
12.
单击属性以继续为此连接配置选项:
•
如果要连接到一个域,请单击选项选项卡,然后单击以选中“包含Windows登录域”复选框,以指定在尝试连接前是否要求提供Windows2000登录域信息。
•
如果想让该连接在断线后重新拨号,则请单击选项选项卡,然后单击选中“断线重拨”复选框。
要使用连接,请按下列步骤操作:
1.
单击开始,指向设置,然后单击网络和拨号连接。
2.
双击新建的连接。
3.
如果目前没有到Internet的连接,Windows可让您连接到Internet。
4.
建立到Internet的连接后,VPN服务器会提示您输入用户名和密码。
输入您的用户名和密码,单击连接,然后就可以使用您的网络资源了,方式与您直接连接到网络上时一样。
注意:
要从VPN上断开,请右键单击连接图标,然后单击断开连接。
疑难解答
远程访问VPN疑难解答
无法建立远程访问VPN连接
•
原因:
客户机的名称与网络上另一台计算机的名称相同。
解决方案:
检查确认网络上所有计算机的名称和到网络的连接是否都使用了唯一的计算机名。
•
原因:
VPN服务器上的“路由和远程访问”服务未启动。
解决方案:
验证VPN服务器上“路由和远程访问”服务的状态。
有关如何监视、启动和停止“路由和远程访问”服务的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN服务器上未启用远程访问。
解决方案:
在VPN服务器上启用远程访问。
有关如何启用远程访问服务器的更多信息,请参见Windows2000联机帮助。
•
原因:
没有为入站远程访问请求启用PPTP或L2TP端口。
解决方案:
为入站远程访问请求启用PPTP或L2TP端口,或两个端口都启用。
有关如何配置远程访问端口的更多信息,请参见Windows2000联机帮助。
•
原因:
在VPN服务器上未启用VPN客户机使用的LAN协议来支持远程访问。
解决方案:
在VPN服务器上启用VPN客户机使用的LAN协议以支持远程访问。
有关如何查看远程访问服务器属性的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN服务器上的所有PPTP或L2TP端口已被当前连接的远程访问客户端或请求拨号路由器使用。
解决方案:
在“路由和远程访问”中单击端口,检查确认VPN服务器上所有的PPTP或L2TP端口是否尚未被使用。
如有必要,更改PPTP或L2TP端口号以允许存在更多的并发连接。
有关如何添加PPTP或L2TP端口的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN服务器不支持VPN客户机的隧道协议。
默认情况下,Windows2000远程访问VPN客户机使用自动服务器类型选项,这意味着它们将首先尝试建立基于IPSec之上的L2TP的VPN连接,然后才尝试建立基于PPTP的VPN连接。
如果VPN客户端使用点对点隧道协议(PPTP)或第二层隧道协议(L2TP)两者中的一种服务器类型选项,请验证选中的隧道协议是否受VPN服务器支持。
默认情况下,一台运行Windows2000Server和“路由和远程访问”服务的计算机就是一个有五个PPTP端口和五个L2TP端口的L2TP和PPTP服务器。
要创建一个仅支持PPTP的服务器,请将L2TP端口的数量设置为零。
要创建一个仅支持L2TP的服务器,请将PPTP端口的数量设置为零。
解决方案:
检查是否配置了相应数目的PPTP或L2TP端口。
有关如何添加PPTP或L2TP端口的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN客户端和VPN服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。
解决方案:
将VPN客户端和VPN服务器以及远程访问策略配置为至少使用一种通用身份验证方法。
有关如何配置身份验证的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN客户端和VPN服务器以及远程访问策略未配置为至少使用一种通用加密方法。
解决方案:
将VPN客户端和VPN服务器以及远程访问策略配置为至少使用一种通用加密方法。
有关如何配置加密的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案:
验证VPN连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。
为了建立连接,连接尝试的设置必须:
•
至少满足一种远程访问策略的所有条件。
•
通过用户帐户(设置为允许访问)或通过用户帐户(设置为“通过远程访问策略控制访问”)授予远程访问权限,并授予匹配的远程访问策略的远程访问权限(设置为“授予远程访问权限”)。
•
与该配置文件的所有设置匹配。
•
与该用户帐户的拨入属性的所有设置相匹配。
有关远程访问策略的简介,以及如何接受连接尝试的更多信息,请参见Windows2000联机帮助。
•
原因:
远程访问策略配置文件的设置与VPN服务器的属性冲突。
远程访问策略配置文件的属性和VPN服务器的属性都包含下列设置:
•
多重链接
•
带宽分配协议
•
身份验证协议
如果相应的远程访问策略的配置文件的设置与VPN服务器的设置冲突,则连接尝试将被拒绝。
例如,如果相应的远程访问策略配置文件指定必须使用EAP-TLS身份验证协议,而VPN服务器上没有启用EAP,则连接尝试将被拒绝。
解决方案:
验证远程访问策略配置文件的设置以确保不与VPN服务器的属性冲突。
有关如何启用身份验证协议和配置身份验证的更多信息,请参见Windows2000联机帮助。
•
原因:
应答路由器无法验证呼叫路由器的凭据(用户名、密码和域名)。
解决方案:
验证VPN客户端的凭据(用户名、密码和域名)是否正确以及是否可由VPN服务器验证。
•
原因:
在静态IP地址池中没有足够的地址。
解决方案:
如果VPN服务器配置了静态IP地址池,请验证池中是否有足够的地址。
如果静态池中的所有地址都已分配给连接中的VPN客户端,则VPN服务器就不能够分配IP地址,而且连接尝试将被拒绝。
根据需要修改静态IP地址池。
有关TCP/IP和远程访问以及如何创建静态IP地址池的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN客户机配置为可请求其自己的IPX节点编号,而VPN服务器配置为不允许IPX客户机请求其自己的IPX节点编号。
解决方案:
配置VPN服务器使之允许IPX客户机请求它们自己的节点编号。
有关IPX和远程访问的更多信息,请参见Windows2000联机帮助。
•
原因:
给VPN服务器配置了一段IPX网络上其他地方正在使用的IPX网络编号范围。
解决方案:
给VPN服务器配置一个在IPX网络上唯一的IPX网络编号范围。
有关IPX和远程访问的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN服务器的身份验证提供程序配置不正确。
解决方案:
验证身份验证提供程序的配置是否正确。
您可以将VPN服务器配置为使用Windows2000或RADIUS来验证VPN客户机的凭据。
有关身份验证和计帐提供程序的更多信息,以及如何使用RADIUS身份验证的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN服务器无法访问ActiveDirectory。
解决方案:
如果VPN服务器是混合模式或本机模式Windows2000域的一个成员服务器而且配置为使用Windows2000身份验证,则请检查:
•
“RAS和IAS服务器”安全组是否存在。
如果不存在,请创建该组并将组类型设置为“安全”并将组作用域设置为“本地域”。
•
“RAS和IAS服务器”安全组对“RAS和IAS服务器访问检查”对象有读取权限。
•
VPN服务器计算机的计算机帐户是“RAS和IAS服务器”安全组中的一个成员。
可以使用“netshrasshowregisteredserver”命令查看当前注册。
可以使用“netshrasaddregisteredserver”命令在指定的域中注册服务器。
如果您向RAS和IAS服务器安全组添加(或从中删除)VPN服务器计算机,则此更改不会立即生效(这是由Windows2000缓存ActiveDirectory信息的方式决定的)。
要让此更改立即生效,需要重启VPN服务器计算机。
•
对于本机模式的域,VPN服务器已加入到了域中。
有关如何添加组、如何验证RAS和IAS安全组的权限以及远程访问的NetShell命令的更多信息,请参见Windows2000联机帮助。
•
原因:
WindowsNT4.0VPN服务器无法验证连接请求。
解决方案:
如果VPN客户机正在拨入到运行着WindowsNT4.0的VPN服务器,而此服务器是Windows2000混合模式域的成员,则请使用下列命令验证Everyone组是否已添加到Pre-Windows2000CompatibleAccess组中:
"netlocalgroup"Pre-Windows2000CompatibleAccess""
如果没有,则请在域控制器计算机上的命令提示符处键入下列命令,然后重新启动域控制器计算机:
netlocalgroup"Pre-Windows2000CompatibleAccess"everyone/add
有关Windows2000域中WindowsNT4.0远程访问服务器的更多信息,请参见Windows2000联机帮助。
•
原因:
VPN服务器无法与配置的RADIUS服务器通讯。
解决方案:
如果RADIUS服务器只可以通过Internet接口访问到,则请给下列端口的Internet接口添加一个输入筛选器和一个输出筛选器:
UDP端口1812(基于RFC2138“远程身份验证拨入用户服务(RADIUS)”)、用于RADIUS身份验证的UDP端口1645(针对较早的RADIUS服务器)、UDP端口1813(基于RFC2139“RADIUS计帐”),或用于RADIUS计帐的UDP端口1646(针对较早的RADIUS服务器)。
有关如何添加数据包筛选器的更多信息,请参见Windows2000联机帮助。
•
原因:
无法使用Ping.exe实用工具通过Internet连接到VPN服务器。
解决方案:
由于在VPN服务器的Internet接口上配置了基于IPSec的PPTP和L2TP数据包筛选,ping命令使用的Internet控制消息协议(ICMP)数据包被筛选掉了。
为使VPN服务器能够响应ICMP(ping)数据包,需要添加允许IP协议1通信量(ICMP通信量)的一个输入筛选器和一个输出筛选器。
有关如何添加数据包筛选器的更多信息,请参见Windows2000联机帮助。
路由器到路由器VPN疑难解答
无法建立路由器到路由器VPN连接
•
原因:
VPN客户端(呼叫路由器)和VPN服务器(应答路由器)上未启动“路由和远程访问”服务。
解决方案:
检查VPN客户端和VPN服务器上路由和远程访问服务的状态。
有关如何监视、启动和停止“路由和远程访问”服务的更多信息,请参见Windows2000联机帮助。
•
原因:
呼叫路由器和应答路由器上未启用LAN和WAN路由。
解决方案:
在呼叫和应答路由器上启用“本地和远程路由(LAN和WAN路由器)”。
有关如何启用LAN和WAN路由的更多信息,请参见Windows2000联机帮助。
•
原因:
没有为入站和出站请求拨号路由选择连接启用PPTP或L2TP端口。
解决方案:
为入站和出站请求拨号路由选择连接启用PPTP或L2TP端口,或二者都启用。
有关如何在端口上启用路由的更多信息,请参见Windows2000联机帮助。
•
原因:
呼叫或应答路由器上的所有PPTP或L2TP端口当前正由处于连接状态的远程访问客户机或请求拨号路由器使用着。
解决方案:
在“路由和远程访问”中单击端口,检查确认VPN服务器上所有的PPTP或L2TP端口是否尚未被使用。
如
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟 专用 网络