1、Windows 2000 的 VPN 技术为电子商务架桥徐昊 俊娜 企业在组建自己的企业内部网时,会受到企业办公场所的地理位置分布的限制。现实环境中,会有一些办公场所远离总部,企业要构成完整的 Intranet 就得进行远程连接。这种连接不是效率低就是费用高,使得企业的运营成本增加;为了解决这个问题产生了 VPN 技术。一、 什么是 VPN?VPN(Virtual Private Network,虚拟专用网络),它就是使远程客户端借用现有公用网的物理链路,在需要时链接到企业的 Intranet 上,从而扩展了 Intranet 的网络范围,降低了 Intranet 的组建成本,并且计算机之间的
2、通讯与专用线路上的计算机通讯具有一样的安全性。VPN 的优点:降低成本利用现有的公用网组建的 Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线;当一个远程用户在纽约想要连到北京的 Intranet,用拨号访问时,花的是国际长途话费;而用 VPN 技术时,只需在纽约和北京分别连接到当地的 Internet 就实现了互联,两边花的都是市话费。便于扩展对于发展很快的企业来说,VPN 就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,要考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了 VP
3、N 就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。便于管理链路中的设备由 ISP 进行管理,企业网的管理员只需维护与 ISP 的链接,不需参与这些设备的管理,大大减少了管理工作量。VPN 的缺点:速度比较慢,安全性与内部网相比要差一些二、 Windows 2000 VPN 的技术要点在 Windows 2000 VPN 网络中,由于信息是在公用网上进行传输的,安全性就成了第一重要因素。Windows 2000 VPN 网络通过以下几项技术解决了这个问题:网络隧道(Tunneling)隧道技术是让通信终端间能建立逻辑上的点对点网络连
4、接。Windows 2000 VPN 网络支持 Point to Point Tunneling Protocol(PPTP)和 Layer 2 Tunneling Protocol (L2TP)网络隧道连接协议,它们 PPTP、L2TP 工作于 OSI 的第二层。加密(Encryption)加密技术是将欲传送的信息进行重计算得到新非标准编码,使得只有拥有合法的密钥者才能够解读其中的真实信息。Windows 2000 VPN 网络中加密技术依据加密钥匙的长度不同有:40-bit DES(密钥 40 位长)、DES(64 位)、3DES(128 位)。3身份认证(User Authenticat
5、ion)身份认证技术用来验证接收者和发送者的真实身份。Windows 2000 VPN 网络中身份认证可使用EAP、MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP 等认证方法。4封包认证(Packet Authentication)封包认证是用来确保数据的完整性及确认数据未被黑客修改过。Windows 2000 VPN 网络中的封包认证协议通过 IP Sec 来实现,其中用 MD-5(128 位)或 SHA(160 位)保证数据的完整性,用 DES或 3DES 算法来加密数据。三、 Windows 2000 VPN 的实现VPN 产品可分硬件式 VPN 系统和软件式 VPN
6、系统。Windows 2000 属于软件式的 VPN 系统。1 实现的条件 对硬件的要求 对于 Windows 2000 VPN Server:由于加密、解密使得对 CPU 有较高的要求,其它配置满足 Windows 2000 Server 的需求即可。 对于 VPN Client:没有特殊要求 对软件的要求 对于 Windows 2000 VPN Server:操作系统自然是 Windows 2000 Server 对于 VPN Client: Windows 95:需要 Dial-Up-Networking (DUN) 1.3 组件 Windows 98:不需要其它组件 Windows N
7、T 4.0:SP3 以上的服务包 Windows 2000:不需要其它组件 其它条件 对于 Windows 2000 VPN Server:必须使用 TCP/IP 协议,最好拥有一个合法的静态 IP 地址;动态 IP 地址也可以,但需要客户端每次连接都需重新设置; 对于 VPN Client:必须使用 TCP/IP 协议,需连入 Internet 2 实现的方式 Point to End 网络 End to End 网络 3 实现步骤 Windows 2000 VPN Server 端的设置 首先,设置 Windows 2000 Server 与 Internet 相连,如:ISDN 或 Mo
8、dem 拨号(过程略) 其次,设置 Windows 2000 Server 成为 Windows 2000 VPN Server,即“配置并启用路由和远程访问”。 通过“开始”-“程序”-“管理工具”-“路由和远程访问”选中你的“VPN Server”,右键选择“配置并启用路由和远程访问”,然后按“路由和远程访问服务器安装向导”的提示来完成设置。 再通过“开始”-“程序”-“管理工具”-“路由和远程访问”,选中你的“VPN Server ”,右键选择“属性”。 在属性的五个标签中选择“常规”标签中的“远程访问服务器”和“路由器:用于局域网和请求拨号路由选择”,如下图。 在属性对话框中选择“安全
9、”标签中的“身份验证方法”,选择所需验证方法,如图。 在属性对话框中选择“IP”标签中的“静态地址池”,进行地址配置。 Windows 2000 VPN Remote Client 端的设置 首选,设置 Windows 2000 连接到 Internet 其次,设置 Windows 2000 成为 Windows 2000 VPN Remote Client。 通过“开始”-“设置”-“网络和拨号连接”-“新建连接”,然后按“网络连接向导”的提示进行操作,其中一些主要参数设置如下: “网络连接类型”选择“通过 Internet 连接到专用网络” “目标地址”输入“你的 VPN 主机名或 IP
10、地址”,IP 应为 Internet 合法的 “可用连接”选择“只是我自己使用此连接” “完成网络连接向导”输入“你建立的连接名称” 完成设置后,可再通过设置连接的“属性”,进一步完善 VPN Remote Client 端的设置,其中可对“安全措施:高级安全设置”和“网络”标签的进行设置来改变安全性,两个标签的界面如下图: Windows 2000 VPN Remote Network 端的设置 通过“开始”-“程序”-“管理工具”-“路由和远程访问”选中你的“VPN Server ”,选择“路由接口”,右键选择“新的请求拨号接口”,然后按“请求拨号接口向导”的提示来完成设置,其中一些主要参
11、数的设置如下: “连接类型”选择“使用虚拟专用网络连接” “VPN 种类”选择“第 2 层隧道协议” “目标地址”输入“你要连接的 VPN 服务器的主机名或 IP 地址” 如果用拨号连接到 Internet 上,实际上每台计算机有三个 IP 地址:一个是本地连接,设置在网卡上的;另一个是 ISP 分配给 Modem 的;第三个是 RAS 服务器分配给自己及客户端的。三种 IP 在通讯时,互不相干,独立工作,即使相同也可正常工作。四、与 IPSec 的结合IPSec 通过对通信的原始数据包进行封装,使得 VPN 网络的通信及数据更加安全。通过“开始”-“程序”-“管理工具”-“本地安全策略”-“安全配置”-“IP 安全策略,在本地机器”-“安全服务器”的属性进行安全设置。总之,Windows 2000 VPN 通过多种安全技术使在 VPN 网络变得更安全、更可靠、更值得信赖,为电子商务的开展在网络技术上提供了支持。
