本站原创作者简介:朱良月(1978―),男,汉族,安徽,安徽新华学院信息工程学院教师,研究方向:计算机科学技术.
【摘 要 】随着社会信息化加速发展,企业的效益日益增长.人们对于网络的要求越来越高.因此基于固定物理地点的专线连接方式已难以适应现代企业的需求,于是企业对于自身的网络建设提出了更高的需求.在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业青睐,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输.现在很多公司通过使用IPSecVPN来保证公司总部和分支机构以及移动工作人员之间安全连接.
【关 键 词 】虚拟专用、Vpn服务器、lan、ipsec、隧道协议.
2.vpn介绍
2.1vpn的由来
在传统的企业组网方案中,要进行远程LAN到LAN互联,除了租用DDN专线或帧中继之外,并没有更好的解决方法.对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网.这样的方案必然导致高昂的长途线路租用费及长途费.于是,虚拟专用网VPN(VirtualPrivateNetwork)的概念与市场随之出现.利用VPN网络能够获得语音、视频方面的服务,如IP业务、电视会议、远程教学,甚至证券行业的网上路演、网上交易等等.
2.2VPN概念:
虚拟专用网(VirtualPrivateNetwork)简称VPN,是建立在公共网络平台上的虚拟专用网络.虚拟,是因为它不提供物理上的端到端的专有连接;专用,是因为它可以在LAN、WAN等之间的网络通道里共享信息,为某一企业、团体服务.
虚拟专用网络是专用网络的延伸,它包含了类似Inter的共享或公共网络链接.通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据.这个学名叫"虚拟专用网络"的VPN到底是个什么呢?
VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的.不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着.
公众信息网是对整个社会开放的公众基础网络,具有覆盖范围广、速度快、费用低、使用方便等特点.VPN技术就是利用公众信息网中传输,就如同在茫茫的广域网中为用户拉出一条专线.对于用户来讲,公众网络起到了“虚拟专用”的效果.通过VPN,网络对每个使用者也是专用的.也就是说,VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中.所以VPN对于每个用户,也是“专用”的,这一点应该是VPN给用户带来的最明显的变化.
2.3vpn技术特点:
保证数据的安全性:远端用户与总公司之间保持着安全可靠地连接,这个对于电子商务或金融网络与通信网络的融合特别重要.
服务质量保证:可以根据用户的等级的不同而提供不同等级的服务质量保证.
可扩充性和灵活性:能支持内网与外网任何类型的数据流,方便怎么节点,可以支持多媒体技术.
可管理性:可以通过软件来增加、修改和删除vpn用户,无需对硬件进行设置.
2.4Vpn的组成:
Vpn服务器:是建立连接所必须的,是响应vpn客户端的连接请求的重要部分.
Vpn客户端:是访问网络上的vpn服务器的用户计算机通常是指装有windows系列操作系统的计算机.
连接协议:远程访问协议用于协商连接.
3.Vpn服务的安装:
借助VPN,企业外出人员可随时连到企业的VPN服务器,进而连接到企业内部网络.借助windows2008和远程访问服务,可以实现基于软件的VPN.
首先,以管理员组用户身份登陆到服务器选择“开始”菜单中的“管理工具”.其次,在弹出的“服务器管理器”对话框,单击左侧“角色”后选择“添加角色”管理控制台窗口中,单击“网络策略和访问服务”,单击“下一步”出现选择“角色服务”对话框,右侧要勾选网络策略服务器、路由和远程访问服务.最后,继续“下一步”并“确认安装选择”,安装完毕后关闭对话框.
4.vpn服务配置:
从“管理工具”中打开“路由和远程访问”菜单打开“路由和远程访问”控制台,右键单击服务器“配置并启用路由和远程访问”命令,左键单击“下一步”弹出“路由和远程访问服务器安装向导”对话框,单击选中“远程访问(拨号或VPN)”,“下一步”,只选择“VPN”并单击“下一步”,在此对话框中选择连接到外网的IP地址,“下一步”并设置“来自一个指定的地址范围”,在这里可以编辑IPv4地址范围分配,比如我们可以设置起始地址:10.20.1.20,和结束地址:10.20.1.30,在这里设置了11个地址数.当然,这个地址要根据每个单位的需要来分配的.当设置好了后单击“确定”按钮,返回“地址范围分配”对话框.最后,单击“下一步”到“管理多个远程访问服务器”对话框,该对话框用于在设置身份验证的方法时是使用路由和远程访问来对身份进行验证还是与RADIUS服务器一起工作,这里选择“否,使用路由和远程访问来对连接请求进行身份验证”单选按钮.我们使用静态IP地址池为客户端分配IP地址可以减少IP地址解析时间,提高连接速度.
如果服务器端有固定的IP地址,则客户端可随时与服务器建立VPN连接.如果服务器采用ADSL拨号方式接入Inter,则需要在每次更改IP地址后通知客户端,或者申请动态域名解析服务.
如果作为一个VPN网络还是不够的,还需要设置赋予用户远程连接的权限,出于安全考虑,VPN服务器配置完成以后所有用户均被拒绝拨入到服务上(初始状态)因此需要为指定用户赋予拨入权限.所以要设置“允许访问”,除此之外还需要在客户端创建VPN连接.
5.vpn故障处理
作为一个网络建立是一时的,而维护则是长久的,比如vpn网络有故障了,怎么排查管理?
首先要考虑到是否有网络修改,其次如果发现网络故障存在多个问题,一般要一个一个的解决,这样确保不出问题.
在排查vpn故障时要遵循自下而上或者自上而下的端到端故障排除.在此仅以第二层隧道协议出了问题的解决方案为例.首先要考虑集中器上收到远程接入客户的呼叫,然后看集中器是否完成了链路协议协商和部分验证,接下来需要确认在集中器和第二层隧道协议网络服务之间建立了隧道和会话,最终再确认远程接入客户端和网络服务器之间是否成功的完成了PPP的协商.
在我们排除vpn故障时,不要忽略物理层、数据链路层和网络层的协议.必须要了解vpn工作原理,比如首先发生什么,然后发生什么,再发生什么.当然有了这么多的想法还不行,还需要借助一些故障排除工具:show、ping、traceroute和debug命令.Show命令可以查看各种有关vpn相关的信息数据.Ping和traceroute是检查IP的连接情况和跨网段的网络路由.Debug是用来显示vpn相关的状态信息和错误信息.
【参考文献】
[1]张栋刘晓辉等.windowsserver2008组网技术详解.北京:电子工业出版社.2010
[2]马涛王琦.windowsserver2008配置与管理实例教程.北京:机械工业出版社,2013.6
[3]王占京 张丽诺 雷波.VPN网络技术与业务应用.北京:国防工业大学.2012.5