WindowsServer2003VPN基礎(chǔ)

微軟公司在它的新操作系統(tǒng)——Windows Server 2003家族中繼續(xù)提供對(duì)VPN通信技術(shù)的支持，并且還增加了許多新的特性，使得微軟的Windows VPN方案更加實(shí)用，安全性更強(qiáng)。下面先來(lái)了解VPN通信的基礎(chǔ)知識(shí)。
    虛擬專(zhuān)用網(wǎng)（VPN）是專(zhuān)用網(wǎng)絡(luò)的延伸，它包含了類(lèi)似Internet的共享或公共網(wǎng)絡(luò)鏈接。通過(guò)VPN可以以模擬點(diǎn)對(duì)點(diǎn)專(zhuān)用鏈接的方式通過(guò)共享或公共網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。要模擬點(diǎn)對(duì)點(diǎn)鏈路，應(yīng)壓縮或包裝數(shù)據(jù)，并加上一個(gè)提供路由信息的報(bào)頭，該報(bào)頭使數(shù)據(jù)能夠通過(guò)共享或公用網(wǎng)絡(luò)到達(dá)其終點(diǎn)。若要模擬專(zhuān)用鏈接，數(shù)據(jù)應(yīng)加密以進(jìn)行保密，沒(méi)有加密密鑰，在共享或公用網(wǎng)絡(luò)上截取的數(shù)據(jù)包是無(wú)法破譯的。封裝和加密專(zhuān)用數(shù)據(jù)之處的鏈接是虛擬專(zhuān)用網(wǎng)（VPN）連接。
    在整個(gè)VPN通信中，主要有兩種VPN通信方式，適用于兩類(lèi)不同用戶選擇使用，滿足各方面用戶與企業(yè)VPN服務(wù)器進(jìn)行通信的需求。這兩種VPN通信方式就是俗稱(chēng)的“遠(yuǎn)程訪問(wèn)VPN”和“路由器到路由器VPN”，前者也稱(chēng)之為“Access VPN”（遠(yuǎn)程訪問(wèn)VPN），后者又包括“Intranet VPN（企業(yè)內(nèi)聯(lián)VPN）”和“Extranet VPN（企業(yè)外聯(lián)VPN）”。前者是采用Client-to-LAN（客戶端到局域網(wǎng)）的模式，而后者所采用的是LAN-to-LAN（局域網(wǎng)到局域網(wǎng)）模式。前者適用于單機(jī)用戶與企業(yè)VPN服務(wù)器之間的VPN通信連接，而后者適用于兩個(gè)企業(yè)局域網(wǎng)VPN服務(wù)器之間的VPN通信連接。
    在家里或者旅途中工作的用戶可以使用遠(yuǎn)程訪問(wèn)VPN連接建立到組織服務(wù)器的遠(yuǎn)程訪問(wèn)連接，方法是使用公共網(wǎng)絡(luò)（例如Internet）提供的基礎(chǔ)結(jié)構(gòu)。從用戶的角度來(lái)講，VPN是一種在計(jì)算機(jī)（VPN客戶端）與企業(yè)服務(wù)器（VPN服務(wù)器）之間的點(diǎn)對(duì)點(diǎn)連接。VPN與共享或公用網(wǎng)絡(luò)的具體基礎(chǔ)結(jié)構(gòu)無(wú)關(guān)，因?yàn)樵谶壿嬌蠑?shù)據(jù)就象是通過(guò)專(zhuān)用的私有鏈接發(fā)送的。這種遠(yuǎn)程訪問(wèn)VPN連接只能是單向的，即由遠(yuǎn)程客戶端向VPN服務(wù)器發(fā)起連接請(qǐng)求，VPN服務(wù)器端不可能向客戶機(jī)發(fā)起連接請(qǐng)求。
    在這種VPN中，VPN用戶先呼叫ISP，與ISP建立連接之后，ISP服務(wù)器就呼叫建立點(diǎn)對(duì)點(diǎn)隧道協(xié)議 （PPTP） 或第二層隧道協(xié)議 （L2TP） 隧道的遠(yuǎn)程訪問(wèn)服務(wù)器。這些協(xié)議已自動(dòng)安裝到計(jì)算機(jī)。建立VPN連接之后，你就可以訪問(wèn)企業(yè)網(wǎng)絡(luò)，單位也能夠使用VPN連接來(lái)為地理位置分開(kāi)的辦公室建立路由連接，或者在保持安全通訊的同時(shí)通過(guò)公共網(wǎng)絡(luò)，例如Internet，連接到其他單位。這里所用的就是“路收器到路由器VPN連接”，這種連接通常是雙向的，即連接的雙方用戶都可以對(duì)對(duì)方發(fā)起VPN通信連接，所訪問(wèn)的資源通常也是對(duì)方整個(gè)網(wǎng)絡(luò)資源。通過(guò)Internet被路由的VPN連接邏輯上作為專(zhuān)用的WAN鏈接來(lái)操作。通過(guò)遠(yuǎn)程訪問(wèn)和路由連接，組織可以使用VPN連接將長(zhǎng)途撥號(hào)或租用線路換成本地?fù)芴?hào)或者到Internet服務(wù)提供者（ISP）的租用線路。
    【說(shuō)明】在Microsoft Windows Server 2003 Web Edition和Windows Server 2003 Standard Edition上，你最多可以創(chuàng)建1000個(gè)點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）端口和1000個(gè)兩層隧道協(xié)議（L2TP）端口。但是在Windows Server 2003 Web Edition系統(tǒng)中一次只能接收一個(gè)虛擬專(zhuān)用網(wǎng)（VPN）連接。Windows Server 2003 Standard Edition最多可以接受1000個(gè)并發(fā)的VPN連接。如果已經(jīng)連接了1000個(gè)VPN客戶端，則其他連接嘗試將被拒絕，直到連接數(shù)目低于1000為止。
    在Microsoft Windows Server 2003 家族中有兩種基于點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）的VPN 技術(shù)，它們分別是：
    （1）點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）
    PPTP協(xié)議使用用戶級(jí)別的PPP身份驗(yàn)證方法和用于數(shù)據(jù)加密的Microsoft點(diǎn)對(duì)點(diǎn)加密（MPPE）。
    （2）帶有Internet協(xié)議安全性（IPSec）的第二層隧道協(xié)議（L2TP）
    L2TP將用戶級(jí)別的PPP身份驗(yàn)證方法和計(jì)算機(jī)級(jí)別的證書(shū)與用于數(shù)據(jù)加密的IPSec或隧道模式中的IPSec（IPSec本身在其中僅對(duì)IP通信提供封裝）一起使用。
    表1描述了使用 VPN 連接的優(yōu)點(diǎn)
    VPN的優(yōu)點(diǎn)
    Microsoft Windows Server 2003家族提供如下虛擬專(zhuān)用網(wǎng)（VPN）的新功能：
    1. 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）透明度
    運(yùn)行Windows Server 2003的VPN服務(wù)器通過(guò)Internet協(xié)議安全性（L2TP/IPSec）通信（源于NAT后的VPN客戶端）支持“第二層隧道協(xié)議”。要使該功能正常運(yùn)行，客戶端計(jì)算機(jī)必須支持如下IPSec協(xié)議工作組Internet草案：
    NAT協(xié)商-遍歷IKE（draft-ietf-ipsec-nat-t-ike-02.txt）。
    對(duì)IPsec數(shù)據(jù)包的UDP封裝（draft-ietf-ipsec-udp-encaps-02.txt）。
    2. 使用“網(wǎng)絡(luò)負(fù)載平衡”的VPN部署
    結(jié)合“網(wǎng)絡(luò)負(fù)載平衡”，運(yùn)行Windows Server 2003的VPN服務(wù)器支持VPN部署，從而創(chuàng)建高效的VPN解決方案。包含了對(duì)于點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）和帶有“網(wǎng)絡(luò)負(fù)載平衡”的L2TP/IPSec VPN解決方案的支持。
    3. 通過(guò)TCP/IP名稱(chēng)解析（NetBT）代理NetBIOS
    當(dāng)遠(yuǎn)程訪問(wèn)VPN客戶端連接到VPN服務(wù)器時(shí)，它依賴(lài)于名稱(chēng)解析目標(biāo)網(wǎng)絡(luò)上的DNS或WINS服務(wù)器。
    DNS和WINS服務(wù)器在組織上是相同的，該組織為主機(jī)名稱(chēng)解析使用DNS或?yàn)镹etBIOS名稱(chēng)解析使用WINS。但是，在小型或家庭辦公室環(huán)境，可能不存在這些服務(wù)器。在這種情況下，需要通過(guò)其他方式解析嘗試進(jìn)行通訊的計(jì)算機(jī)名，從而獲得成功的通訊。
    不使用WINS或DNS服務(wù)器，通過(guò)運(yùn)行Windows Server 2003的VPN服務(wù)器可以解析NetBIOS名，因?yàn)閃indows Server 2003操作系統(tǒng)包括NetBT代理。使用NetBT代理，所連接的VPN客戶端和VPN服務(wù)器連接至的網(wǎng)絡(luò)段上的節(jié)點(diǎn)能夠解析所有其他的NetBIOS名稱(chēng)。解析過(guò)程如下：
    （1）當(dāng)一個(gè)VPN客戶端需要將名稱(chēng)解析為IP地址，而不需要配置的DNS或WINS服務(wù)器時(shí)，它將把NetBIOS名稱(chēng)查詢(xún)數(shù)據(jù)包發(fā)送至VPN服務(wù)器。當(dāng)連接至VPN服務(wù)器的網(wǎng)絡(luò)段上的節(jié)點(diǎn)需要將名稱(chēng)解析為IP地址，而不需要配置的DNS或WINS服務(wù)器時(shí)，它將把NetBIOS名稱(chēng)查詢(xún)數(shù)據(jù)包作為廣播在網(wǎng)絡(luò)段上發(fā)送。
    （2）VPN服務(wù)器接收NetBIOS名稱(chēng)查詢(xún)數(shù)據(jù)包，檢查解析的NetBIOS名的本地緩存，并且當(dāng)沒(méi)有找到名稱(chēng)時(shí)將NetBIOS名稱(chēng)查詢(xún)作為NetBIOS廣播在所有連接的接口上轉(zhuǎn)發(fā)，除了連接到所有VPN客戶端的邏輯接口。
    （3）已經(jīng)注冊(cè)了NetBIOS名稱(chēng)的節(jié)點(diǎn)將正NetBIOS名稱(chēng)查詢(xún)響應(yīng)發(fā)送至VPN服務(wù)器。
    （4）VPN服務(wù)器接收NetBIOS名稱(chēng)查詢(xún)響應(yīng)，然后在接口上（NetBIOS名稱(chēng)查詢(xún)數(shù)據(jù)包源于該接口）將其轉(zhuǎn)發(fā)至發(fā)送節(jié)點(diǎn)。
    結(jié)果是連接至VPN服務(wù)器（以及所有連接的VPN客戶端）的網(wǎng)絡(luò)段上的網(wǎng)絡(luò)節(jié)點(diǎn)都能夠自動(dòng)解析所有其他名稱(chēng)，而不使用DNS或WINS服務(wù)器。
    4. L2TP連接的預(yù)共享密鑰配置
    Windows Server 2003家族支持計(jì)算機(jī)證書(shū)和預(yù)共享密鑰，將其作為身份驗(yàn)證的方法以建立L2TP連接的IPSec安全關(guān)聯(lián)。一個(gè)預(yù)共享密鑰是在VPN客戶端和VPN服務(wù)器上配置的一個(gè)文本字符串。預(yù)共享密鑰是一種相對(duì)較弱的身份驗(yàn)證方法，因此建議你僅當(dāng)部署公鑰基礎(chǔ)結(jié)構(gòu)（PKI）以獲取計(jì)算機(jī)證書(shū)時(shí)，或者VPN客戶端要求預(yù)共享密鑰時(shí)，才使用預(yù)共享密鑰身份驗(yàn)證。你可以使用L2TP連接的預(yù)共享密鑰，并從運(yùn)行“路由和遠(yuǎn)程訪問(wèn)”的服務(wù)器的屬性上的“安全”選項(xiàng)卡指定預(yù)共享密鑰。
    運(yùn)行Windows XP的遠(yuǎn)程訪問(wèn)VPN客戶端也支持預(yù)共享密鑰的身份驗(yàn)證。你可以使用預(yù)共享密鑰的身份驗(yàn)證，并從網(wǎng)絡(luò)連接中VPN連接屬性上的“安全”選項(xiàng)卡上的“IPSec設(shè)置”中配置預(yù)共享密鑰。
    對(duì)于運(yùn)行Windows Server 2003操作系統(tǒng)的計(jì)算機(jī)間的路由器到路由器的VPN連接，也支持預(yù)共享密鑰身份驗(yàn)證。你可以使用預(yù)共享密鑰的身份驗(yàn)證，并在路由和遠(yuǎn)程訪問(wèn)中請(qǐng)求撥號(hào)接口的屬性上的“安全”選項(xiàng)卡上的“IPSec設(shè)置”中為請(qǐng)求撥號(hào)接口配置預(yù)共享密鑰。