2006年06月30日

随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。而在中国,这种远程接入办公的趋势也同样越来越明显。

过去,大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。

首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。

其次是IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径(深信服科技的IPSec VPN已经比较好的解决了这个问题)。如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。

然后是对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。

因此,SSL VPN技术孕育而生。SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。

但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,IPSec工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。

一、 SINFOR SSL VPN安全网关简介
为了便于用户既能很好的解决网间互连,又能便捷的实现移动办公应用,深信服科技推出了IPSec/SSL一体化的VPN安全网关——SINFOR SSL VPN硬件网关。该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL 两套主流VPN技术的完美结合。目前该系列产品有四款产品:M5100-S、M5400-S、M5600-S、M5800-S。

1、IPSec VPN功能

SINFOR SSL VPN安全网关集成了IPSec VPN功能,具备有SINFOR IPSec VPN的全部功能和技术特点,并集成了企业级的状态防火墙,有效保证了企业内网安全。SINFOR SSL VPN安全网关的IPSec VPN功能采用了深信服科技VPN领域的四项发明专利,即:WebAgent动态IP寻址技术,HARDCA硬件认证,多线路绑定的VPN系统,即插即用、随身携带的VPN客户端。

SINFOR SSL VPN安全网关的IPSec VPN功能可以和深信服科技IPSec VPN产品:P5100、S5100、M5100、M5400、M5600、M5800等VPN硬件网关以及DLAN系列软件VPN产品实现互连互通,方便用户根据自身实际环境按需选择产品模块,构建量身定制的VPN网络。

2、SSL VPN功能

SINFOR SSL VPN安全网关使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制,因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。

SINFOR SSL VPN安全网关内置了CA认证,用户可自建CA中心,也可支持第三方CA认证。除了支持常规的Local DB,LDAP/AD,Radius,Secur ID等认证以外,SINFOR SSL VPN安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能,SINFOR SSL VPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户终端软件就可以安全访问公司的任何资源。

由于采用了IPTunel技术,SINFOR SSL VPN安全网关实现了对应用程序的完整支持。包括:文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言,由于SSL 的易用性,无需部署和维护客户端软件,极大降低了企业的管理和维护成本。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说,SINFOR SSL VPN提供了性价比极高的远程接入解决方案,降低了企业的总体拥有成本。

目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题,SINFOR SSL VPN安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术(专利之一),在企业的数据中心采用多条上网线路,当VPN客户端在访问总部资源时,SINFOR SSL VPN安全网关会自动检测最优线路,使得使用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高。SINFOR SSL VPN安全网关的多线路智能选路功能,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了企业上网线路的带宽叠加和负载均衡,有效扩大了网络的出口带宽,保证了企业VPN网络的稳定性。

为了避免因SSL 的易用性,客户端的不安全因素通过SSL VPN登陆到企业内部网络而导致的安全问题,SINFOR SSL VPN安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL VPN登陆到企业总部带来的安全隐患,保证远程接入的安全性。并且,SINFOR SSL VPN安全网关除了支持多种常规安全认证以外,还增加了基于手机短信的动态身份认证功能。

当前,间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。SINFOR SSL VPN安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。即使用户在登陆SSL VPN时所使用的计算机存在间谍软件、木马等泄密工具,由于无法获得用户每次登陆时通过其手机接受的短信认证码,因而有效防止口令泄漏,保证了用户使用SSL VPN访问总部资源时的安全性。

二、 SINFOR SSL VPN功能介绍
作为新一代的远程接入解决方案,深信服科技推出的IPSec/SSL一体化的SINFOR SSL VPN有以下多种功能和技术特色:

3.1 IPSec/SSL 一体化
传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置(SINFOR IPSec VPN采用DKEY方式实现IPSec VPN零配置)。若企业的远程接入和移动办公数量增多,企业的维护成本将会成线性增加。而SSL VPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,无需安装或设定客户端软件,降低了企业的维护成本。因而,SSL在点对网互连方面,其易用性和安全性方面有着突出的优势。

然而,由于SSL VPN只适合点对网的连接,无法实现多个网络之间的安全互连。因而,在企业组建网对网方面,IPSec VPN就有着无可比拟的优势。而在点对网方面,由于IPSec VPN要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置,因而在易用性和维护成本上远远不如SSL VPN。

SINFOR SSL VPN安全网关结合了IPSec和SSL 两套主流的VPN技术,实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补,避免了单一VPN设备存在的不足。对于企业或者事业单位的分支网络,可以使用IPSec VPN实现安全互连,而对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IPSec /SSL VPN给企业带来的效益,节约了企业大量的管理成本和投入成本。

3.2 多线路技术实现智能选路和负载均衡(专利之一)
目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能,并成功应用到SINFOR SSL VPN安全网关中。

所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署SINFOR SSL VPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时,SINFOR SSL VPN 网关会自动检测最优线路,使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高,解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。

若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而SINFOR SSL VPN的多线路技术,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽叠加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。

SINFOR SSL VPN安全网关的多线路智能选路和负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。

3.3 完整支持所有应用系统
目前对于大部分SSL VPN设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSec VPN一样支持基于网络层以上的所有应用,因而也限制了SSL VPN的发展。

SINFOR SSL VPN安全网关通过html智能重构技术、应用转换技术和IPTunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。并且提供了Web资源、

由于采用了IPTunel技术,SINFOR SSL VPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSL VPN登陆界面时,只需安装一个Active X控件,在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡,因而SSL 远程登陆用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL VPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用,使得SINFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。

3.4 客户端安全检查,保证接入安全
在用户通过计算机IE打开SSL 登陆界面时,SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SINFOR SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。

3.5 集成多种认证方式,内置CA中心
SINFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。

SINFOR SSL VPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。同时,SINFOR SSL VPN。

一. VPN概述。

在架设此VPN服务器之前,我们有必要先了解一些相关知识,因为要使用VPN服务是需要一定的网

络基础的。VPN(Virtual Private Network)即虚拟专用网络,就是两个具有VPN发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全的隧道。在隧道的发起端(即服务端),用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。不言而喻,此种方式能在非安全的互联网上安全地传送私有数据来实现基于internet的联网操作。VPN技术的效果类似于传统的DDN专线联网方式,网络拓扑如下图所示。

 
 

注:在Win2K操作系统中内置有VPN服务,本文也是基于系统自带VPN服务的配置为主。

二、windows 2003 VPN服务端安装配置。

在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

第一步:依次选择“开始”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名,选择“配置并启用路由和远程访问”,如下图所示:

 

第二步:在出现的配置向导窗口点下一步,进入服务选择窗口,如下图所示。如果你的服务器如某此资料所说的那样只有一块网卡,那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的,如果你服务器有两块网卡,则可有针对性的选择第一项或第三项。然后一路点击下一步,完成开启配置后即可开始VPN服务了。

 
 

第三步:到这里还没完,以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡(如下图所示)。这里要说的是:如果你的internet拉入方式为宽带路由接入即DHCP方式,那就不需要改,不过根据笔者的经验,采用DHCP动态IP的网络速度相对较慢;而使用静态IP可减少IP地址解析时间,提升网络速度,其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段,也可自行定义,比如常见的局域网段“192.168.0.X”。

 

第四步:我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在www.oray.net下载,其安装及注意事项请参阅相关资料,这里不再详述第三步:到这里还没完,以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡(如下图所示)。这里要说的是:如果你的internet拉入方式为宽带路由接入即DHCP方式,那就不需要改,不过根据笔者的经验,采用DHCP动态IP的网络速度相对较慢;而使用静态IP可减少IP地址解析时间,提升网络速度,其起始IP地址和结束IP 地址的设置可以依据你所在地区的IP地址段,也可自行定义,比如常见的局域网段“192.168.0.X”。

 

三、VPN客户端配置。

这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows 2003客户端为例说明,其它的win2K操作系统设置都大同小异:

第一步:在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”,继续下一步,在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。

 

第二步:在“VPN服务器选择”窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的www.oray.net网站下载);接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后,为方便操作,可以勾选“在桌面上建立快捷方式”选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。 

 

四、连接后的共享操作。

只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居”查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视频节目播放,省去下载文件这一步所花时间了。

虚拟专用网络 (VPN) 允许您通过一个网络(如 Internet)将组件连接到另一个网络。您可以将基于 Windows 2000 Server 的计算机作为一个远程访问服务器,这样其他用户就可以用 VPN 连接到它,然后访问您本地驱动器或网络上的共享文件。虚拟专用网络是通过在 Internet 或另外的公用网络上"建立隧道"来实现的,可提供与专用网络相同的安全性和功能。有了 VPN,通过公用网络的连接可以使用 Internet 的路由架构传输数据,而对用户来说,数据好像是通过一个专门的专用链路传送的。

本文介绍如何安装虚拟专用网络 (VPN) 以及如何在 Windows 2000 中新建 VPN 连接。

VPN 概述

      虚拟专用网络 (VPN) 是一种通过公用网络(如 Internet)连接专用网络(如您的办公室网络)的方法。它将到拨号服务器的拨号连接的优点与 Internet 连接的方便与灵活性结合了起来。通过使用 Internet 连接,您可以周游世界,而同时在大多数地方仍可以通过当地最近的 Internet 访问电话号码连接到您的办公室。如果您的计算机(和办公室)有高速 Internet 连接(如电缆或 DSL),您就可以用最高的 Internet 速度与办公室通讯,比使用任何模拟调制解调器的拨号连接速度都要快得多。
      VPN 使用需身份验证的链路以确保只有授权用户可以连接到您的网络,而且他们使用加密来确保通过 Internet 传送的数据不会被其他人侦听和利用。Windows 使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 实现此安全性。
      VPN 技术使得公司可以通过公用网络(如 Internet)连接到其分支办事处或其他公司,同时又可以保持通信的安全性。通过 Internet 的 VPN 连接从逻辑上讲相当于一个专用的广域网 (WAN) 链路。

 

VPN 的组件

Windows 2000 中的 VPN 组件包括一个 VPN 服务器、一个 VPN 客户机、一个 VPN 连接(连接中数据被加密的部分),以及隧道(连接中数据被封装的部分)。建立隧道是通过 Windows 2000 中包括的两个隧道协议完成的,这两个协议都是随"路由和远程访问"安装的。Windows 2000 包括的两个协议是:
· 点对点隧道协议 (PPTP):使用"Microsoft 点对点加密"提供数据加密。
· 第二层隧道协议 (L2TP):使用 IPSec 提供数据加密、身份验证和完整性。
到 Internet 的连接应使用专用的线路,如 T1、Fractional T1 或 Frame Relay。WAN 适配器必须配置指派给您的域或由 Internet 服务提供商 (ISP) 提供的 IP 地址和子网掩码,以及 ISP 路由器的默认网关。
备注:要启用 VPN,您必须使用具有管理权限的帐户登录。

如何安装和启用 VPN

若要安装和启用 VPN 服务器,请按照下列步骤操作:
1. 在 Microsoft Windows 2000 VPN 计算机上,确保正确配置了到 Internet 的连接和到您的局域网 (LAN) 的连接。
2. 单击开始,指向管理工具,然后单击"路由和远程访问"。
3. 单击树中的服务器名称,然后单击操作菜单上的"配置并启用路由和远程访问",然后单击下一步。
4. 在通用配置对话框中,单击"虚拟专用网络(VPN 服务器)",然后单击下一步。
5. 在远程客户机协议对话框中,确认列表中包括了 TCP/IP,单击"是,所有可用的协议都在列表中",然后单击下一步。
6. 在 Internet 连接对话框中,选择将连接到 Internet 的 Internet 连接,然后单击下一步。
7. 在"IP 地址分配"对话框中,选择自动以便使用您子网上的 DHCP 服务器为拨号客户机和服务器分配 IP 地址。
8. 在管理多个远程访问服务器对话框中,确认已选中"不,我现在不想设置此服务器使用 RADIUS"复选框。
9. 单击下一步,然后单击完成。
10. 右键单击端口节点,然后单击属性。
11. 在端口属性对话框中,单击 WAN Miniport (PPTP) 设备,然后单击配置。
12. 在"配置设备 – WAN Miniport (PPTP) "对话框中,执行下列操作之一:
· 如果不想支持到服务器上安装的调制解调器的直接用户拨号 VPN,则请单击以清除请求拨号路由选择连接(入站和出站)复选框。
· 如果想支持到服务器上安装的调制解调器的直接用户拨号 VPN,则请单击以选中请求拨号路由选择连接(入站和出站)复选框。
13. 在最多端口数文本框中,键入您希望同时存在的 PPTP 连接的最大数目。(这可能取决于可用 IP 地址的数目)。
14. 对 L2TP 设备重复步骤 11 至 13,然后单击确定。 

如何配置 VPN 服务器

要进一步根据需要配置 VPN 服务器,请按照下列步骤操作。

将远程访问服务器配置为路由器

为了让远程访问服务器能在您的网络中正确地转发通信量,必须用静态路由或路由协议将其配置为一个路由器,这样才能从远程访问服务器访问 Intranet 中的所有位置。
若要将服务器配置为路由器,请执行下列操作步骤:
1. 单击开始,指向管理工具,然后单击"路由和远程访问"。
2. 右键单击服务器名,然后单击属性。
3. 在常规选项卡上,单击以选择启用此计算机作为路由器。
4. 选择"仅用于局域网 (LAN) 路由选择"或"用于局域网和请求拨号路由选择",然后单击确定,关闭属性对话框。 

如何配置 PPTP 端口

确认您需要的 PPTP 端口数量。若要检查端口数或添加端口,请按照下列步骤操作:
1. 单击开始,指向管理工具,然后单击"路由和远程访问"。
2. 在控制台树中,展开"路由和远程访问",展开服务器名,然后单击端口。
3. 右键单击端口,然后单击属性。
4. 在端口属性对话框中,单击 WAN Miniport (PPTP),然后单击配置。
5. 在配置设备对话框中,选择设备的最大端口数目,然后选择选项以指定该设备是仅接受传入连接还是接受传入和传出两种连接。 

如何管理地址和名称服务器

VPN 服务器必须有可供使用的 IP 地址,以便在连接进程的 IP 控制协议 (IPCP) 协商阶段将它们分配给 VPN 服务器的虚拟接口和 VPN 客户机。分配给 VPN 客户机的 IP 地址实际分配给了 VPN 客户机的虚拟接口。
对于基于 Windows 2000 的 VPN 服务器,分配给 VPN 客户机的 IP 地址默认通过 DHCP 获取。您也可以配置静态 IP 地址池。VPN 服务器还必须配置名称解析服务器(通常是 DNS 和 WINS 服务器)地址,以在 IPCP 协商期间分配给 VPN 客户机。

如何管理访问

在用户帐户上配置拨入属性并配置远程访问策略,以管理对拨号网络和 VPN 连接的访问。
备注:默认情况下拒绝用户对拨号的访问。

按用户帐户访问

如果您在按用户管理远程访问,则对于允许创建 VPN 连接的用户帐户,可在用户的属性对话框中的拨入选项卡上单击允许访问。如果 VPN 服务器只允许 VPN 连接,则请删除称为"如果启用拨入许可,就允许访问"的默认远程访问策略。然后新建一个远程访问策略,给它取一个描述性名称,如"按用户帐户允许 VPN 访问"。有关详细信息,请参见 Windows 2000 帮助。
注意事项:删除默认策略后,则与您的策略配置一个也不匹配的拨号客户机将被拒绝访问。
如果 VPN 服务器也提供拨号远程访问服务,则不要删除默认策略,但要移动其位置,使它成为最后一个要评估的策略。

按组成员访问

如果您按组管理远程访问,则请使用"管理工具"或 MMC 管理单元中的"Active Directory 用户和计算机控制台",对所有用户帐户单击"通过远程访问策略控制访问"单选按钮。创建其成员可以创建 VPN 连接的 Windows 2000 组。如果 VPN 服务器只允许 VPN 连接,则请删除名称为"如果启用拨入许可,就允许访问"的默认远程访问策略。下一步,新建一个远程访问策略,给它取一个描述性的名称,例如"如果是允许创建 VPN 的 组的成员,则允许访问 VPN",然后将 Windows 2000 组指派到此策略。
如果 VPN 服务器也允许使用拨号网络远程访问服务,则不要删除默认策略,而是移动其位置,使它成为最后一个要评估的策略。

如何配置来自客户机的 VPN 连接

若要设置到 VPN 的连接,请按照下列步骤操作:
1. 在客户计算机上,确认到 Internet 的连接配置正确。
2. 单击开始,指向设置,然后单击网络和拨号连接。
3. 双击建立新连接。
4. 单击下一步,然后单击通过 Internet 连接到专用网络,然后单击下一步。
5. 执行下列操作之一:
    1. 如果您使用拨号连接连接到 Internet,则请单击自动拨此初始连接然后从列表中选择您的拨号 Internet 连接。
   2. 如果您使用的是全时连接(如电缆调制解调器),则请单击不拨初始连接。
6. 单击下一步。
7. 键入您想连接到的计算机的主机名(例如 Microsoft.com)或 IP 地址(如 123.123.123.123),然后单击下一步。
8. 如果想让登录到此计算机的任何人都可以使用此连接,请单击以选择供所有用户使用,如果想让此连接只有在您登录到计算机时可用,则请单击以选择仅供自己使用,然后单击下一步。
9. 为此连接键入一个描述性的名称,然后单击完成。
备注:此选项只有在您作为 Administrators 组的成员登录时才可用。
10. 单击开始,指向设置,然后单击网络和拨号连接。
11. 双击新建的连接。
12. 单击属性以进一步配置该连接的选项:
· 如果您要连接到域,则单击选项选项卡,然后单击选中"包含 Windows 登录域"复选框,指定在尝试连接前是否要求提供 Windows 2000 登录域信息。
· 如果想在该连接断线后重新拨号创建该连接,则请单击选项选项卡,然后单击以选择"断线重拨"复选框。
若要使用连接,请按下列步骤操作:
1. 单击开始,指向设置,然后单击网络和拨号连接。
2. 双击新建的连接。
3. 如果目前没有到 Internet 的连接,Windows 可让您连接到 Internet。
4. 建立到 Internet 的连接后,VPN 服务器会提示您输入用户名和密码。输入您的用户名和密码,单击连接,然后就可以使用您的网络资源了,方式与您直接连接到网络上时一样。
备注:如要从 VPN 断开,可右键单击连接图标,然后单击断开连接。 

疑难解答

远程访问 VPN 疑难解答

"无法建立远程访问 VPN 连接"

· 原因:客户计算机的名称与网络上另一计算机的名称相同。
解决方案:检查确认网络上所有计算机的名称和到网络的连接是否都使用了唯一的计算机名。

· 原因:VPN 服务器上的路由和远程访问服务未启动。
解决方案:检查确认 VPN 服务器上路由和远程访问服务的状态。
有关如何监视、启动和停止"路由和远程访问"服务的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器上未启用远程访问。
解决方案:在 VPN 服务器上启用远程访问。
有关如何启用远程访问服务器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:未为入站远程访问请求启用 PPTP 或 L2TP 端口。
解决方案:为入站远程访问请求启用 PPTP 或 L2TP 端口,或两个端口都启用。
有关如何配置远程访问端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:在 VPN 服务器上未启用 VPN 客户机使用的 LAN 协议来支持远程访问。
解决方案:在 VPN 服务器上启用 VPN 客户机使用的 LAN 协议以支持远程访问。
有关如何查看远程访问服务器属性的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器上的所有 PPTP 或 L2TP 端口已被当前连接的远程访问客户机或请求拨号路由器使用。
解决方案:在"路由和远程访问"中单击端口,检查 VPN 服务器上所有的 PPTP 或 L2TP 端口是否尚未被使用。如有必要,更改 PPTP 或 L2TP 端口号以允许存在更多的并发连接。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器不支持 VPN 客户机的隧道协议。
默认情况下,Windows 2000 远程访问 VPN 客户机使用自动服务器类型选项,这意味着它们将首先尝试建立基于 IPSec 之上的 L2TP 的 VPN 连接,然后才尝试建立基于 PPTP 的 VPN 连接。如果 VPN 客户机使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP)服务器类型选项,则请检查选定的隧道协议是否受 VPN 服务器支持。
默认情况下,运行 Windows 2000 Server 和"路由和远程访问"服务的计算机就是具有五个 PPTP 端口和五个 L2TP 端口的 L2TP 和 PPTP 服务器。如要创建一个仅支持 PPTP 的服务器,则请将 L2TP 端口的数目设置为零。如要创建一个仅支持 L2TP 的服务器,则请将 PPTP 端口的数目设置为零。
解决方案:检查是否配置了相应数目的 PPTP 或 L2TP 端口。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 客户机和 VPN 服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。
解决方案:将 VPN 客户机和 VPN 服务器以及远程访问策略配置为至少使用一种通用身份验证方法。
有关如何配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 客户机和 VPN 服务器以及远程访问策略未配置为至少使用一种通用加密方法。
解决方案:将 VPN 客户机和 VPN 服务器以及远程访问策略配置为至少使用一种通用加密方法。
有关如何配置加密的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案:检查 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。为了建立连接,连接尝试的设置必须:
· 至少满足一种远程访问策略的所有条件。
· 被授予通过用户帐户(设置为"允许访问"或"通过远程访问策略控制访问")进行远程访问的权限,以及相应远程访问策略的远程访问权限(设置为"授予远程访问权限")。
· 与该配置文件的所有设置匹配。
· 与该用户帐户的拨入属性的所有设置匹配。
有关远程访问策略的简介,以及如何接受连接尝试的更多信息,请参见 Windows 2000 联机帮助。

· 原因:远程访问策略配置文件的设置与 VPN 服务器的属性冲突。
远程访问策略配置文件的属性和 VPN 服务器的属性都包含下列设置:
· 多重链接
· 带宽分配协议
· 身份验证协议
如果与远程访问策略匹配的配置文件的设置与 VPN 服务器的设置冲突,则连接尝试将被拒绝。例如,如果相应的远程访问策略配置文件指定必须使用 EAP-TLS 身份验证协议,而 VPN 服务器上没有启用 EAP,则连接尝试将被拒绝。
解决方案:检查远程访问策略配置文件的设置是否不与 VPN 服务器的属性冲突。
有关如何启用身份验证协议和配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器无法验证呼叫路由器的凭据(用户名、密码和域名)。
解决方案:检查 VPN 客户机的凭据(用户名、密码和域名)是否正确以及是否可由 VPN 服务器验证。

· 原因:在静态 IP 地址池中没有足够的地址。
解决方案:如果 VPN 服务器配置了静态 IP 地址池,请检查池中是否有足够的地址。如果静态池中的所有地址都已分配给连接中的 VPN 客户端,则 VPN 服务器就不能够分配 IP 地址,而且连接尝试将被拒绝。根据需要修改静态 IP 地址池。
有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 客户机配置为可请求其自己的 IPX 节点编号,而 VPN 服务器配置为不允许 IPX 客户机请求其自己的 IPX 节点编号。
解决方案:配置 VPN 服务器使之允许 IPX 客户机请求它们自己的节点编号。
有关 IPX 和远程访问的更多信息,请参见 Windows 2000 联机帮助。

· 原因:给 VPN 服务器配置了一段 IPX 网络上其他地方正在使用的 IPX 网络编号范围。
解决方案:给 VPN 服务器配置一个在 IPX 网络上是唯一的 IPX 网络编号范围。
有关 IPX 和远程访问的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器的身份验证提供程序配置不正确。
解决方案:检查身份验证提供程序的配置。您可以将 VPN 服务器配置为使用 Windows 2000 或 RADIUS 来验证 VPN 客户机的凭据。
有关身份验证和计帐提供程序的更多信息,以及如何使用 RADIUS 身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器无法访问 Active Directory。
解决方案:如果 VPN 服务器是混合模式或本机模式 Windows 2000 域的一个成员服务器而且配置为使用 Windows 2000 身份验证,则请检查:
· 是否存在"RAS 和 IAS 服务器"安全组。如果不存在,请创建该组并将组类型设置为"安全"并将组作用域设置为"本地域"。
· "RAS 和 IAS 服务器"安全组对"RAS 和 IAS 服务器访问检查"对象有读权限。
· VPN 服务器计算机的计算机帐户是"RAS 和 IAS 服务器"安全组中的一个成员。可以使用"netsh ras show registeredserver"命令查看当前注册。可以使用"netsh ras add registeredserver"命令在指定的域中注册服务器。
如果您向 RAS 和 IAS 服务器安全组添加或从中删除 VPN 服务器计算机,则此更改不会立即生效(这是由 Windows 2000 缓存 Active Directory 信息的方式决定的)。如想让此更改立即生效,需要重启 VPN 服务器计算机。
· 对于本机模式的域,VPN 服务器已加入到了域中。
有关如何添加组、如何验证 RAS 和 IAS 安全组的权限以及远程访问的 NetShell 命令的更多信息,请参见 Windows 2000 联机帮助。

· 原因:Windows NT 4.0 VPN 服务器无法验证连接请求。
解决方案:如果 VPN 客户机正在拨入到运行着 Windows NT 4.0 的 VPN 服务器,而此服务器是 Windows 2000 混合模式域的成员,则请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中:
"net localgroup "Pre-Windows 2000 Compatible Access""

如果没有,则请在域控制器计算机上的命令提示符下键入下列命令,然后重启域控制器计算机:
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

有关 Windows 2000 域中 Windows NT 4.0 远程访问服务器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器无法与配置的 RADIUS 服务器通讯。
解决方案:如果 RADIUS 服务器只可以通过 Internet 接口访问到,则请给下列端口的 Internet 接口添加一个输入筛选器和一个输出筛选器:UDP 端口 1812(基于 RFC 2138"远程身份验证拨入用户服务 (RADIUS)")、用于 RADIUS 身份验证的 UDP 端口 1645(针对较早的 RADIUS 服务器)、UDP 端口 1813(基于 RFC 2139"RADIUS 计帐"),或用于 RADIUS 计帐的 UDP 端口 1646(针对较早的 RADIUS 服务器)。
有关如何添加数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:无法使用 Ping.exe 实用程序通过 Internet 连接到 VPN 服务器。
解决方案:由于在 VPN 服务器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 数据包筛选,ping 命令使用的网际消息控制协议 (ICMP) 数据包被筛选掉了。为使 VPN 服务器能够响应 ICMP (ping) 数据包,需要添加允许 IP 协议 1 通信量(ICMP 通信量)的一个输入筛选器和一个输出筛选器。
有关如何添加数据包过滤器的更多信息,请参见 Windows 2000 联机帮助。 

路由器到路由器 VPN 疑难解答

"无法建立路由器到路由器 VPN 连接"

· 原因:VPN 客户机(呼叫路由器)和 VPN 服务器(应答路由器)上未启动"路由和远程访问"服务。
解决方案:检查 VPN 客户机和 VPN 服务器上路由和远程访问服务的状态。
有关如何监视、启动和停止"路由和远程访问"服务的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫路由器和应答路由器上未启用 LAN 和 WAN 路由。
解决方案:在呼叫和应答路由器上启用"本地和远程路由(LAN 和 WAN 路由器)"。
有关如何启用 LAN 和WAN 路由的更多信息,请参见 Windows 2000 联机帮助。

· 原因:没有为入站和出站请求拨号路由连接启用 PPTP 或 L2TP 端口。
解决方案:为入站和出站请求拨号路由连接启用 PPTP 或 L2TP 端口,或二者都启用。
有关如何在端口上启用路由的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫或应答路由器上的所有 PPTP 或 L2TP 端口当前正由处于连接状态的远程访问客户机或请求拨号路由器使用着。
解决方案:在"路由和远程访问"中单击端口,检查确认 VPN 服务器上所有的 PPTP 或 L2TP 端口是否尚未被使用。如有必要,更改 PPTP 或 L2TP 端口号以允许存在更多的并发连接。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器不支持呼叫路由器使用的隧道协议。
默认情况下,Windows 2000 请求拨号接口使用自动服务器类型选项,这意味着它们将首先尝试建立基于 IPSec 之上的 L2TP 的 VPN 连接,然后才尝试建立基于 PPTP 的 VPN 连接。如果呼叫路由器使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP)服务器类型选项,则请检查确认选定的隧道协议是否受应答路由器的支持。
默认情况下,一台运行 Windows 2000 Server 和"路由和远程访问"服务的计算机就是支持 PPTP 和 L2TP 的请求拨号路由器,有五个 L2TP 端口和五个 PPTP 端口。如要创建一个仅支持 PPTP 的路由器,请将 L2TP 端口的数目设置为零。如要创建一个仅支持 L2TP 的路由器,则请将 PPTP 端口的数目设置为零。
解决方案:验证在呼叫和应答路由器上是否配置了相应数目的 PPTP 或 L2TP 端口。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:未将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用身份验证方法。
解决方案:将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用身份验证方法。
有关如何配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:未将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用加密方法。
解决方案:将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用加密方法。
有关如何配置加密的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案:检查确认 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。为了建立连接,连接尝试的设置必须:
· 至少满足一种远程访问策略的所有条件。
· 被授予通过用户帐户(设置为"允许访问"或"通过远程访问策略控制访问")进行远程访问的权限,以及相应远程访问策略的远程访问权限(设置为"授予远程访问权限")。
· 与该配置文件的所有设置匹配。
· 与该用户帐户的拨入属性的所有设置匹配。
有关远程访问策略的简介,以及如何接受连接尝试的更多信息,请参见 Windows 2000 联机帮助。

· 原因:远程访问策略配置文件的设置与应答路由器的属性冲突。远程访问策略配置文件的属性和应答路由器的属性都包含下列设置:
· 多重链接
· 带宽分配协议
· 身份验证协议
如果与远程访问策略相匹配的配置文件的设置与应答路由器的设置冲突,则连接尝试将被拒绝。例如,如果相应的远程访问策略配置文件指定必须使用 EAP-TLS 身份验证协议,而应答路由器上没有启用 EAP,则连接尝试将被拒绝。
解决方案:检查以确保远程访问策略配置文件的设置不与远程访问路由器的属性冲突。
有关如何启用身份验证协议和配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫路由器的凭据(用户名、密码和域名)不正确而且不能由应答路由器验证。
解决方案:检查以确保呼叫路由器的凭据(用户名、密码和域名)正确而且能够由应答路由器验证。

· 原因:在静态 IP 地址池中没有足够的地址。
解决方案:如果应答路由器配置了静态 IP 地址池,请检查确认池中是否有足够的地址。如果静态池中的所有地址都已分配给连接中的远程访问客户机或拨号路由器,则应答路由器就不能够分配 IP 地址,而且连接尝试将被拒绝。根据需要修改静态 IP 地址池。
有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器配置了一个网络编号范围,而此编号范围正在 IPX 网络上的其他地方使用着。
解决方案:给应答路由器配置一个在 IPX 网络上是唯一的 IPX 网络编号范围。
有关 IPX 和远程访问的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器的身份验证提供程序配置不正确。
解决方案:检查身份验证提供程序的配置。您可以将应答路由器配置为使用 Windows 2000 或 RADIUS 来验证 VPN 客户机的凭据。
有关身份验证和计帐提供程序的更多信息,以及如何使用 RADIUS 身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器无法访问 Active Directory。
解决方案:如果应答路由器是混合模式或本机模式 Windows 2000 域的一个成员服务器而且配置为使用 Windows 2000 身份验证,则请检查确认:
· 是否存在"RAS 和 IAS 服务器"安全组。如果不存在,请创建该组并将组类型设置为安全并将组作用域设置为"本地域"。
· "RAS 和 IAS 服务器"安全组对"RAS IAS 服务器访问检查"对象有读取权限。
· 应答路由器计算机的计算机帐户是"RAS 和 IAS 服务器"安全组中的一个成员。您可以使用下列命令查看当前的注册:
"netsh ras show registeredserver"

您可以使用下列命令在特定的域中注册服务器:
"netsh ras add registeredserver"

如果您向"RAS 和 IAS 服务器"安全组添加或从中删除应答路由器计算机,则此更改不会立即生效(这是由 Windows 2000 缓存 Active Directory 信息的方式决定的)。如想让更改立即生效,必须重启应答路由器计算机。
· 对于本机模式的域,应答路由器已加入到了域中。
有关如何添加组、如何验证 RAS 和 IAS 安全组的权限,以及远程访问的 NetShell 命令的更多信息,请参见 Windows 2000 联机帮助。

· 原因:运行 Windows NT 4.0 及路由和远程访问服务 (RRAS) 的应答路由器不能验证连接请求。
解决方案:如果呼叫路由器正在拨入到运行带有 RRAS 的 Windows NT 4.0 的应答路由器,而此应答路由器是 Windows 2000 混合模式域的成员,请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中:
"net localgroup "Pre-Windows 2000 Compatible Access""

如果没有,则请在域控制器计算机上的命令提示符下键入下列命令,然后重启域控制器计算机:
"net localgroup "Pre-Windows 2000 Compatible Access" everyone /add"

有关 Windows 2000 域中 Windows NT 4.0 远程访问服务器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器无法与配置的 RADIUS 服务器通讯。
解决方案:如果只能通过 Internet 接口访问 RADIUS 服务器,则给下列端口的 Internet 接口添加一个输入筛选器和一个输出筛选器:UDP 端口 1812(基于 RFC 2138"远程身份验证拨入用户服务 (RADIUS)")、用于 RADIUS 身份验证的 UDP 端口 1645(针对较早的 RADIUS 服务器)、UDP 端口 1813(基于 RFC 2139"RADIUS 计帐"),或用于 RADIUS 计帐的 UDP 端口 1646(针对较早的 RADIUS 服务器)。
有关如何添加数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:无法使用 Ping.exe 实用程序通过 Internet 连接到应答路由器。
解决方案:由于在应答路由器的 Internet 接口上配置了基于 IPSec 数据包筛选的 PPTP 和 L2TP,Ping 命令使用的网际消息控制协议 (ICMP) 数据包被过滤掉了。为使应答路由器能够响应 ICMP 数据包,必须添加允许 IP 协议 1 通信量(ICMP 通信量)的一个输入筛选器和一个输出筛选器。
有关如何添加数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

 

"无法发送和接收数据"

· 原因:未给被路由的协议添加适当的请求拨号接口。
解决方案:给被路由的协议添加适当的请求拨号接口。
有关如何添加路由器接口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:路由器到路由器 VPN 连接的两端都没有支持双向通信量交换的路由。
解决方案:与远程访问 VPN 连接不同,路由器到路由器 VPN 连接不会自动创建默认路由。您需要在路由器到路由器 VPN 连接的两端都创建路由,以便路由器到路由器 VPN 连接的两端的通信量都可以路由到对方。
您可以手动向路由表中添加静态路由,也可以通过路由协议添加静态路由。对于持续性 VPN 连接,您可以在 VPN 连接上启用"开放式最短路径优先 (OSPF)"或"路由信息协议 (RIP)"。对于请求 VPN 连接,可以通过自动静态 RIP 更新来自动更新路由。
有关如何添加 IP 路由协议、如何添加静态路由以及如何执行自动静态更新的更多信息,请参见 Windows 2000 联机帮助。

· 原因:双向初始化的应答路由器作为远程访问连接,正在解释路由器到路由器的 VPN 连接。
解决方案:如果呼叫路由器的凭据中的用户名出现在路由和远程访问中的拨入客户机下,则应答路由器将把呼叫路由器解释为远程访问客户机。请检查确认呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫者是一个路由器,则接收呼叫的端口将显示为活动状态,而且相应的请求拨号接口处于连接中状态。
有关如何检查应答路由器的端口状态以及如何检查请求拨号接口状态的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。
解决方案:检查以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信量传输的数据包筛选器。可以给各请求拨号接口配置 IP 和 IPX 输入和输出筛选器,以精确控制允许进出该请求拨号接口的 TCP/IP 和 IPX 通信量的性质。
有关如何管理数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:远程访问策略配置文件中的数据包筛选器阻止了 IP 通信量的传输。
解决方案:检查确认 VPN 服务器(如果使用了 Internet 身份验证服务则是 RADIUS 服务器)上的远程访问策略的配置文件属性上是否未配置阻止 TCP/IP 通信量接发的 TCP/IP 数据包筛选器。您可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器,以精确控制 VPN 连接上允许的 TCP/IP 通信量的性质。检查配置文件 TCP/IP 数据包筛选器是否未在阻止需要的通信量。
有关如何配置 IP 选项的更多信息,请参见 Windows 2000 联机帮助。

其实架设VPN服务器已经不是什么新鲜事物了,狂人只是想把自己亲身架设VPN服务器的经历写下来,对于未架设过VPN的网络管理员来说,应该有一定的参考价值。
  狂人所在的工作单位是一家市级的医院,运行有一套医院信息管理系统(HIS)和只供内部访问的网站。由于在医院外有几个门诊分部,领导要求这些门诊分部也能使用HIS。狂人立即想到了使用VPN来进行远程接入。
一、网络概况
  在内部网中,由两台服务器(主/辅)共同组成一个群集,也是Active Directory 域服务器,安装并运行了HIS运行在主服务器上,辅服务器用于在主服务器出现故障时能立即接管,保证系统正常运转。而要使用HIS,必须要使用域用户身份登录。内部的WEB服务器是一***立的服务器,登录不需要进行身份验证。

二、安装并配置IAS 服务器
  在安装和配置VPN拨入服务器前首先要安装并配置IAS服务器。由于VPN拨入用户必须是域用户,其身份验证过程需要在IAS服务器上进行,而VPN服务器不是群集成员,所以狂人打算在安装辅域服务器上安装安装 IAS。辅域服务器安装的是WIN2000AD版操作系统。由于安装时默认是不会安装IAS服务的,因此首先要在控制面板中的添加删除程序中进行安装,安装的步骤如下(引述WIN2000帮助文件):
打开控制面板中的“添加或删除程序”。
单击“添加/删除 Windows 组件”。
在“Windows 组件向导”对话框中,单击“网络服务”,然后单击“详细信息”。
在“网络服务”对话框中,选择“Internet 验证服务”,单击“确定”,然后单击“下一步”。
如果出现提示,请插入 Windows 2000 光盘。
安装 IAS 之后,单击“完成”,然后单击“关闭”。
  安装成功后,在“管理工具”中就可以找到“Internet 验证服务”项了,然后双击打开,右键点击“Internet验证服务”,选择并点击“在Active Directory中注册服务”(图1)。

(图1)

接着会出现两个对话框(图2、3)

(图2)

(图3)

  启用授权后,还要将VPN拨入服务器加入至客户端列表中,操作步骤如图4、5、6。

(图4)

(图5)

(图6)

客户端的IP地址填写VPN服务器的内网地址,由于VPN服务器使用的是WINDOWS操作系统,因此“客户端-供应商”应该选择“Microsoft”。点击完成后会看到如下显示(图7)

(图7)

  到此,IAS服务器设置就基本完成了。

三、安装和配置VPN拨入服务器
  VPN拨入服务器的安装比较简单,只要确定服务器安装有“路由和远程访问”服务组件即可。接入来就是要配置VPN了。首先打开“路由和远程访问”,右键点击左边列表中的本地服务器名称,然后点“配置并启用路由和远程访问”(如图8),接着按提示操作。

(图8)

(图9)

(图10)

(图11)

因需要指定拨入端的IP地址,因此这里选择的是第2个选项(图12)

输入IP地址段,拨入的客户端分配得到的IP就是该地址段中的一个。(图13)

由于拨入的用户和密码需要在域服务器上验证,因此要选择第2项。(图14)

输入RADIUS服务器地址,就是之前配置“Internet验证服务”的那台服务器。(图15)

由于之前选择的是指定IP地址段,因此在启用路由器服务时会有此提示。(图16)

(图17)

  至此,整个VPN服务的架设就基本完成了,不过要想更好地应用VPN服务,还需要做好端口设置、拨入帐号设置、以及安全策略等工作。在此提一下端口设置,一般当VPN服务器开始时,默认会打开PPTP端口和L2TP端口各128个进行监听,但端口的数量是可以自行设定的,具体设置在“路由和远程访问”下有个“端口”的子树,点击展开后会看到端口列表,右键打开快捷菜单选择“属性”,即可分别对PPTP及L2TP端口数进行设置。

市场上的VPN解决方案有几种,最常用的是VPDN,就是基于拨号的VPN;第二种是VPRN,是基于路由的VPN;第三种是VLL,是基于虚拟专线的VPN;最后一种VPLS是基于局域网仿真的VPN。

隨著台灣與中國先後進入WTO世界貿易組織,台灣與大陸的經貿將有更密切的合作與接觸,如何利用網路加強企業內部管理與溝通,取得這一波競爭領先的優勢,已成為兩岸企業當務之急。

 

Seednet秉持「看見客戶的需求」理念,為兩岸三地企業客戶提供虛擬私有網絡服務(Managed IP VPN),滿足企業與大陸端連線需求,除此之外,也針對最新發展的VPN技術-MPLS,及VoIP語音整合做一個簡單之說明與應用之介紹,提供企業規劃與建置企業內部網路之參考,共同探索企業網路的新動力。 研討會議程表

 

14:00~14:20

 報到

 *會場敬備茶點及免費停車位  

14:20~14:30

 致歡迎詞

14:30~15:20

 大陸VPN發展趨勢與兩岸解決方案 

15:20~15:30

 中場休息

15:30~16:00

 MPLS簡介與應用

16:00~16:50

 企業網路語音VoIP整合介紹(實例應用) 

16:50~17:00

 綜合討論

 

 

 

*研討會相關訊息請電洽 (03)5753000 ext.3232陳小姐

该方案特点:
用户网络均采用拨号方式上网(ADSL和电话modem),没有固定的IP地址(包括总部)。传统的VPN设备无法进行互联。本公司提供全动态IP接入环境下的VPN互联方案。

 

方案概述:
1、IP-VPN的联网方式大致有三种:
1、  固定IP与固定IP;

2、  固定IP与动态IP;

3、  动态IP与动态IP。

第一种的联网方式是比较传统的方式,技术上最容易实现,目前的防火墙等设备就可以实现这种功能;第二种VPN联网方式(如:方案一)对于目前大多数专业的VPN厂商也基本能解决;而第三种方式即动态IP与动态IP之间的VPN通讯却成为很多厂商和科研机构望而却步的技术难题,实现及解决大规模的实际应用就更加困难。

本公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的攻关和研究,最终以“策略服务器”的方式解决了这个难题。

“策略服务器”管理系统由DynamicVPN管理服务器、网络管理员和DynamicVPN网元组成。Dynamic管理服务器由WEB服务器、管理应用服务器、数据库服务器组成。WEB服务器负责以WEB服务的形式对外提供各种管理服务,管理应用服务器完成具体的逻辑与业务处理功能,数据库服务器负责保存DynamicVPN管理所需要的各种数据,它可以是关系数据库和/或LDAP服务器。

本公司的“策略服务器”不但真正解决了全动态的VPN组网方案,还融入了PKI技术,采用基于数字证书的动态IKE进行协商和认证,解决了大规模VPN组网的安全管理和安全认证技术。

2、目前网络的现状
公司总部目前通过ADSL接入Internet,分部和门店通过ADSL或拨号接入Internet,分部及门店需要实时将商业数据上报总部,总部也需要根据反馈的信息实时向分部及门店下发商业调整指令等信息,上述整个流程由一套商业软件系统来完成。

该方案中,建议在总部采用:Sgw25B (支持ADSL接入的硬件安全网关);在有较大LAN的分公司采用Sgw25A(支持ADSL接入的硬件安全网关);在只有少量机器需要互联的地方(如:门店)采用“安全网关客户端软件”(装在局域网网关处的PC上);另外,由于整个系统没有固定IP,所以还要借用本公司托管在电信为全移动IP的VPN客户提供的公共的策略服务器(不需要用户维护,能够确保用户VPN专网的绝对安全。也可以由用户自建,如:放在用户的电信托管机房),该策略服务器主要用于各个局域网边界部署的安全网关以及安全客户端相互交换当时的地址。

每个拨号网关(硬/软件)在接入internet时,首先在策略服务器相应的目录下注册自己当前的IP,并取得同组的各上线网关/客户端的此时IP地址。接下来发起通讯的这一方,就可以根据获得的对端网关的IP地址,建立相应的VPN连接并进行通讯了。

  A B C D
1 北京东方华盾信息技术有限公司
(产品报价表 2006年) 
2
3
4 华盾VPN产品系列
5 PRODUCT PRODUCT DESCRIPTION LINE SUPPORT PUBLIC PRICE
6 品名 产品描述 线路支持 公开标准价格
7 华盾VPN 500 适用于电信、金融、能源、交通等大型集团企业总部或网络中心                          支持千兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 360,000元/台
8 接口:1个9针串口,6个千兆网口(支持光纤),支持USB接口设备。
9 尺寸:标准2U机架式机箱。
10 性能:标准IPSec/IKE协议,并发隧道12000条,多种加密/认证算法可选(国密局/3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份,高可靠性双冗余电源。
11 升级: 支持在线系统升级。
12 华盾VPN 400 适用于大型集团企业总部或网络中心                          支持千兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 240,000元/台
13 接口:1个9针串口,3个千兆自适应网口,支持USB接口设备。
14 尺寸:标准2U机架式机箱。
15 性能:标准IPSec/IKE协议,并发隧道5000条,多种加密/认证算法可选(国密局/3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份,高可靠性双冗余电源。
16 升级: 支持在线系统升级。
17 华盾VPN 300 适用于大型企业总部或网络中心  支持千兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 150,000元/台
18 接口:1个9针串口,2个千兆自适应网口,支持USB接口设备。
19 尺寸:标准2U机架式机箱。
20 性能:标准IPSec/IKE协议,并发隧道2000条,多种加密/认证算法可选(国密局/3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书、身份认证,集成完善的防火墙支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份。
21 升级: 支持在线系统升级。
22 华盾VPN 300L 适用于大中型企业总部或网络中心  支持千兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 100,000元/台
23 接口:1个9针串口,4个千兆自适应网口,支持USB接口设备。
24 尺寸:标准1U机架式机箱。
25 性能:标准IPSec/IKE协议,并发隧道1500条,多种加密/认证算法可选(国密局/3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份。
26 升级: 支持在线系统升级。
27 华盾VPN 200 适用于中小型企业网络中心或大型企业分支机构 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 55,000元/台
28 接口:2个9针串口,4个百兆自适应网口,支持USB接口设备。
29 尺寸:标准1U机架式机箱。
30 性能:标准IPSec/IKE协议,并发隧道1000条,多种加密/认证算法可选(国密局/3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份。
31 升级: 支持在线系统升级。
32 华盾VPN 200NP 适用于中小型企业网络中心或大型企业分支机构 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 45,000元/台
33 接口:1个9针串口,2个百兆网口,4个百兆交换口,支持USB接口设备。
34 尺寸:标准1U机架式机箱。
35 性能:标准IPSec/IKE协议,并发隧道800条,多种加密/认证算法可选(3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书、身份认证,集成完善的防火墙支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份。
36 升级: 支持在线系统升级。
37 华盾VPN 100 适用于分支机构或中小型企业 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 25,000元/台
38 接口:2个9针串口,4个百兆自适应网口,支持USB接口设备。
39 尺寸:桌面机,290(W)×155(D)×40(H)(mm)
40 性能:标准IPSec/IKE协议,并发隧道200条,多种加密/认证算法可选(3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务,支持双机热备份。
41 升级: 支持在线系统升级。
42 华盾VPN 100NP 适用于中小型网络环境 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 18,000元/台
43 接口:1个9针串口, 2百兆网口,4个百兆交换口。
44 尺寸:桌面机,230(W)×155(D)×34(H) (mm)
45 性能:标准IPSec/IKE协议,并发隧道100条,多种加密/认证算法可选(3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务。
46 升级: 支持在线系统升级。
47 华盾VPN 70 适用于小型网络环境 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 12,000元/台
48 接口:1个RJ45串口,1个百兆网口,4个百兆交换口。
49 尺寸:桌面机,250(W)×110(D)×40(H)(mm)
50 性能:标准IPSec/IKE协议,并发隧道30条,多种加密/认证算法,可选(3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书、身份认证,集成完善的防火墙,支持NAT穿越,内置L2TP/DHCP/拨号服务。
51 升级: 支持在线系统升级。
52 华盾VPN 50 适用于小型网络环境 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 6,800元/台
53 接口:1个RJ45串口,1个百兆网口,4个百兆交换口
54 尺寸:桌面机,175(W)×110(D)×30(H)(mm)
55 性能:标准IPSec/IKE协议,并发隧道10条,多种加密/认证算法可选(3DES/AES/MD5/SHA-1),支持预共享密钥、数字证书、身份认证,集成完善的防火墙支持NAT穿越,内置L2TP/DHCP/拨号服务。
56 升级: 支持在线系统升级。
57 VPN客户端 适用于端接/移动用户 支持十兆/百兆以太网络,支持小区宽带以及ADSL/ISDN/DDN等接入方式 500元/套
58 性能:标准IPSec/IKE协议,并发隧道 1 条,集成包过滤防火墙,支持NAT穿越,支持国密局批准算法及标准加密算法。
59 认证:支持UsbKey(证书)+口令的双因子身份认证。
60 操作系统:支持windows 2000/XP/2003操作系统、Linux操作系统
61 VPN KEY 适用于双因子强身份及密钥存储 支持华盾VPN网关设备/客户端 200元/个
62 VPN安管中心  功能:华盾VPN设备电子证书的生成、发放及集中管理,支持VPN设备通讯集中认证,设备安全域的管理,管理VPN节点数不限。   65,000元/套
63 操作系统:支持windows 2000/XP/2003操作系统。

都说IT行业是有前途的行业,大学毕业后才知道工作这么难,找工作难,有工作更困难。希望的经验可以给大家帮助。
     毕业后经过几次艰苦的面视跳到一家效益不错的公司,因为珍惜这分工作所以特别卖力。虽说是网管,但是什么都做,曾经两个月才休息一天。老总也特别欣赏我,工资也到了四千多。谁知道却被VPN害了。
     公司有一套财务和物流软件打算和分公司共享使用,一共有十二个分公司要使用。财务软件的供应商给我们推荐了VPN,并推荐了上海的一家公司,他们在医疗卫生行业做了好多案例,整个上海的卫生监督都是他们做的,因为我们也属于这个医疗卫生行业所以就和他们接触了一些时间,但是最后的整体方案的最后价格比较高。如果每个地方要全用硬件需要八万多,我感觉到太贵了,他们又推荐总部是用硬件,分公司使用软件,因为我们分公司要使用系统的电脑比较多,费用是两万多。我们比较倾向全部使用硬件,我们老总说费用是高了些,但是也没大问题。为了给公司省些钱我又做了一些研究。我在互连网上找了一下,一下子找到几十款产品,我找了十家公司,问了价格。我发现国内的VPN产品普遍比国外高,VIGOR,NETGEAR等都是国外比较有名的牌子啊,他们的路由器和交换机在中国占具了很大的市场。我不知道是什么原因,上海一家做软件VPN的公司也打来电话推荐产品,他们总部在深圳。号称是做VPN的老大,去年只做软件就做了五千万,今年推出了硬件产品,最低目标是一个亿。在他们的劝说下我试用了他们的软件产品(免费的,不试用白不试用)。软件VPN最麻烦的就是把他们安装在什么地方,他们说VPN是高算法的产品对服务器的要求特别高。我就把它安装在我们的物流软件服务器上。用了一个多月,并且只是在一个分之机构连上来。总体感觉维护太麻烦了,有一次我在服务器上装了一个软件后VPN就不能使用了;稳定性也不怎么好,并且最麻烦的就是自从安装了VPN后,那台服务器就经常中病毒,我必须整天看着它。期间还重新装了一次系统,让VPN公司又为我装了一次。我感觉到太麻烦了,就不想使用他们的,他们又给我推荐他们的硬件产品,我想是今年新推出的产品,效果也不一定怎么可靠,并且价格还很高,我就没同意试用,我问他们直接卸载掉可以吗,他们没好气的说可以(没办法,也麻烦人家一个多月了,这个气得受),我就没备分数据,直接卸载VPN。可是卸载重新启动后,我门的物流软件不能使用了,晕,狂晕,我有四天的数据没备分啊(我是一个礼拜备分一次)。挨了老总,销售经理,财务经理的臭骂,其他分公司人员的抱怨和忙了一个周末的时间后才搞定。(为了防止被人家告,我就不说是哪家软件VPN公司了)从此我完全放弃软件了。我看中了一家国外的产品,他们在中国也有案例,网吧和学校居多。最重要的是价格比国内的便宜。硬件比软件好多了,只要把他们当作路由器安装上去就好了,使用基本上没什么维护。在试用了一个礼拜后我就签合同了。总的价格在五万(太便宜的我不大放心)。一个月后我们公司开始同步使用软流和财务软件,经过培训和人员调整,一切都投入使用了。但是问题又出现了。他们的VPN产品有路由功能(产品型号是防火墙VPN),我就使用VPN替代了路由器。使用一段时间后我发现设备经常死机,有的时候会VPN不通,重新启动设备会好的。又过了一段时间,有的VPN连接不上去。我打电话给VPN设备的代理商,但是我发现他们能做的就是看看控制界面,什么也做不出来。(我终于相信所有代理商的能力都是不行的,其实他们只是系统集成商,只能布布线)。我开始打该软件VPN在中国的服务中心,经过几经周折,提供了各种信息后终于转到一个可以负责解答VPN问题的技术工程师那里。他让我用笔记本直接连接VPN后面,看是否正常,答案是正常的。他们说问题是我们局域网,和他们设备没关系,我问是否能帮我判断一下是局域网什么地方出问题,结果他说了几个我也知道的问题,然后礼貌的挂了电话。晕,我怎么办!我把局域网重新搞了一遍,还是不行,我重装了十五台电脑,奇迹出现了,好了。虽然又挨了几次骂,但谢天谢地,终于好了。又过了半年,虽然问题不段,但是都被我用一个办法解决了,重新把局域网重搞!半年后,总部的设备忽然出问题了,经常我激烈的争辩,他们服务中心答应我给设备检测,先发到维修站检测,两个礼拜后告诉我确实设备问题,修要维修,时间最少两个礼拜。加上前后的时间,花了一个半月才看到我可爱的设备,我真是类流满面啊。怎么能不哭呢!这一个半月我们的财务和物流软件是怎么使用的呢?我是怎么过的呢,其实最重要的是我们老总降了我一千块工资,是每个月啊!用我的钱我们老总又招了一个中专生。这家伙在老家有了三年的工作经验,人实在不厚道。他给老总说如果让他购买我们这套VPN,不会超过三万,时间是去年。他说的是对的,我当时确实被代理商骗了,国外VPN产品价格都是差不多的,很便宜,代理商二三折可以拿到货,给客户也就是五六折。我当时是九五折买的。客户一两千可以买到比较好的国外产品。但是我当时确实没吃回扣啊。我也人格发誓。可是我们老总不相信我。现在我在另外一家公司做网管,一个月拿两千块,我们老总很仁慈的对我说:“我就不追究你的法律责任了,你走吧,以后要好好做人”。 我听说替代我的哪个小子建议老总换了VPN设备,使用最开始物流软件公司推荐的那家产品。价格是以前的价格,但是我从网上看到,他们的VPN降价了。时间又过了几个月了,我又听说以前的老总认为那小子和厚道,工资涨到四千了。都说IT行业是有前途的行业,大学毕业后才知道工作这么难,找工作难,有工作更困难。希望的经验可以给大家帮助。

网络设备和解决方案提供商D-Link在业界权威的VPNC测试中表现出众,其宽带VPN路由器、防火墙等多个系列产品在操作性方面完全符合VPNC的标准要求,从而顺利通过了该项代表VPN产品具备高兼容性的标准认证。

  作为一家独立的非赢利性机构,虚拟专用网协会(VPNC)旨在促进虚拟专用网在保护信息安全方面的应用以及提高相关产品间的互操作能力,其所提供的专业认证已经成为产品遵循国际标准的重要标尺,并作为选购的关键性因素深受用户重视。VPNC公布的测试结果表明,D-Link的宽带VPN路由器系列产品、DFL防火墙设备和VPN客户端程序均符合可互操作互联网的行业IPSec标准。