近来,随着中国经济的腾飞、各种工业企业投资增加,中国已经成为世界的制造中心。大型生产型、经营型企业的生产、调度早已经就严重依赖于网络。
  随着企业规模的不断扩大,异地分支机构、办事处、连锁超市、经营部门、生产部门,以及投资管理机构,甚至出差人员对中心的数据越来越敏感,因此,这些企业大都已经或者正准备安装大型网络型ERP/财务软件用以满足以上各类需求。然而企业在付出高昂的软件安装部署实施费用后,大都为如何减少软件的运行费用而忧心重重。互联网的方便、高速和覆盖并没有被企业网充分利用,因为任何企业的IT经理都不会将企业内部网直接连接到互联网,企业内部网与互联网之间都会设置防火墙,只允许内部网络结点向互联网发起请求,进行互联网的访问,但不允许通过互联网结点访问企业内部的信息。因此公司老总很晚才下班,要在公司处理完所有的数据、邮件,尽管家中有宽带,但那是互联网接入,不能接到公司内部网络;出差在外的员工必须拔打昂贵的800号码或长途电话才能访问公司内部信息,以大约28.8Kbps的速率连接到公司内部网络,酒店的宽带接口却放在一边不能用。有什么好办法既能保证数据传输的安全性,又能降低运行成本呢?DDN专线吗,肯定不行,相关设备的安装难度,路由器等网络设备的大笔投入不说,光是每月昂贵的租用费用,随着分支机构的增加,这种负担正成为企业支出费用的大笔开销!利用传统的拨号线路吗?缓慢的速度,设备安装调试、管理、维护的问题更是让企业信息负责人望而却步。有没有一种更好的解决方案呢?怎样才能利用高速、便利的互联网接入安全地实现移动办公,在家办公呢?答案是远程接入×××。
  一、什么是×××?
  虚拟专用网(×××,Virtual Private Network)是一种利用公共网络来构建的私人专用网络技术,不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的×××为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
  二、×××的安全性
  目前×××主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
  1、隧道技术
  隧道技术是×××的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。   第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
  2、加解密技术
  加解密技术是数据通信中一项较成熟的技术,×××可直接利用现有技术。
  3、密钥管理技术
  密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
  4、使用者与设备身份认证技术
  使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式,目前这方面做的比较成熟的有国内的深信福科技的×××解决方案。
 
三、×××网络的可用性
  通过×××,企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴关键业务。虚拟网组成之后,远程用户只需拥有本地ISP的上网权 限,就可以访问企业内部资源,这对于流动性大、分布广泛的企业来说很有意义,特别是当企业将×××服务延伸到合作伙伴方时,便能极大地降低网络的复杂性和 维护费用。
  ×××技术的出现及成熟为企业实施ERP、财务软件、移动办公提供了最佳的解决方案。
  一方面,×××利用现有互联网,在互联网上开拓隧道,充分利用企业现有的上网条件,无需申请昂贵的DDN专线,运营成本低。
  另一方面,×××利用IPSEC等加密技术,使在通道内传输的数据,有着高达168位的加密措施,充分保证了数据在×××通道内传输的安全性。
  四、×××网络的可管理性
  随着技术的进步,各种×××软硬件解决方案都包含了路由、防火墙、×××网关等三方面的功能,企业或政府通过购买×××设备,达到一物多用的功 效,既满足了远程互联的要求,而且还能在相当程度上防止***的***、并能根据时间、IP、内容、Mac地址、服务内容、访问内容等多种服务来限制企业公司 内部员工上网时的行为,一举多得。
  ×××设备的安装调试、管理、维护都极为简单,而且都支持远程管理,大多数×××硬件设备甚至可通过中央管理器进行集中式的管理维护。出差人员 也可以通过客户端软件与中心的×××设备建立×××通道,从而达到访问中心数据等资源的目的。让互联无处不在,极大地方便了企业及政府的数据、语音、视频 等方面的应用。

五、windows 2003实现NAT地址转换和××× 服务器
  下面我们介绍一下通过Windows Server操作系统自带的路由和远程访问功能来实现NAT共享上网和×××网关的功能。网络拓扑图如下。我们要实现在异地通过×××客户端访问总部局域网各种 服务器资源。
  

第一步:系统前期准备工作
   服务器硬件:双网卡,一块接外网,一块接局域网。在windows2003中×××服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。
  首先确定是否开启了Windows Firewall/Internet Connection Sharing (ICS)服务,如果开启了Windows Firewall/Internet Connection Sharing (ICS)服务的话,在配置“路由和远程访问”时系统会弹出如下对话框。
  
  我们只要去“开始”-“程序”-“管理工具”-“服务”里面把Windows Firewall/Internet Connection Sharing (ICS)停止,并设置启动类型为禁用,如下图所示:
  
第二步:开启×××和NAT服务
  然后再依次选择“开始”-“程序”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口左边右击本地计算机名,选择“配置并启用路由和远程访问”,如下图所示:
  
 
 
在弹出的“路由和远程访问 服务器安装向导”中点下一步,出现如下对话框。
  

由于我们要实现NAT共享上网和×××拨入 服务器的功能,所以我们选择“自定义配置”选项,点下一步;
  
  在这里我们选择“×××访问”和“NAT和基本防火墙”选项,点下一步,在弹出的对话框中点“完成”,系统会提示是否启动服务,点“是”,系统会按刚才的配置启动路由和远程访问服务,最后如下图所示;
  

第三步:配置NAT服务
  右击“NAT/基本防火墙”选项,选择“新增接口”,弹出如下对话框;
  
  在这里我们根据自己的网络环境选择连接Internet的接口,选择“wan”接口,点“确定”,弹出“网络地址转换-wan属性”对话框,进行如下图所示配置;
  
  由于我们这个网卡是连接外网的所以选择“公用接口连接到Internet”和“在此接口上启用NAT”选项并选择“在此接口上启用基本防火墙”选项,这对 服务器的安全是非常重要的。
下面我们点“服务和端口”设置 服务器允许对外提供PPTP ×××服务,在“服务和端口”界面里点“×××网关(PPTP)”,在弹出的“编辑服务”对话框中进行如下图设置;
  
  点“确定”,回到“服务和端口”选项卡,确保选中“×××网关(PPTP)”,如下图;
  
第四步:根据需要设置×××服务
  设置连接数:右击右边树形目录里的端口选项,选择属性,弹出如下对话框;
  
  Windows Server 2003 企业版×××服务默认支持128个PPTP连接和128个L2TP连接,因为我们这里使用PPTP协议,所以我们双击“WAN微型端口(PPTP)选项, 在弹出的对话框里根据自己的需要设置所需的连接数;Windows Server 2003企业版最多支持30000个L2TP端口,16384个PPTP端口。
  设置IP地址:右击右边树形目录里的本地 服务器名,选择“属性”并切换到IP选项卡(如下图所示)。
  
  这里我们选择“静态地址池”点“添加”,根据需要接入数量任意添加一个地址范围,但是不要和本地IP地址冲突,如下图所示;
  
  点“确定”回到“IP”选项卡,点“确定”应用设置;
  第五步:设置远程访问策略,允许指定用户拨入
  新建用户和组:点“开始”-“程序”-“管理工具”-“计算机管理”,弹出“计算机管理”对话框,如下图;
  
  选择“本地用户和组”,右击“用户”-“新用户”进行如下图所示设置;
  
  点击“创建”新增一个用户;
  在右边的树形目录中右击“组”-“新建组”,添入“组名”,点“添加”在弹出的“选择用户”对话框中,点“高级”-“立即查找”,选择刚才建立的“TEST”用户,把用户加入刚才建立的组,如下图;
  
设置远程访问策略:在“路由和远程访问”窗口,右击右面树形目录中的“远程访问策略”,选择“新建远程访问策略”,在弹出的对话框中点“下一步”, 填入方便记忆的“策略名”,点“下一步”,选择“×××”选项,点“下一步”,点“添加”把刚才新建的组加入到这里,点“下一步”, “下一步”, “下一步”,“完成”,就完成了远程策略的设置,后面如果需要新的用户需要×××服务,只要为该用户新建一个帐号,并加入刚才新建的“TEST”组就可以 了。
第六步:设置动态域名
  我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在××× 服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时 可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在[url]www.oray.net[/url]下载,其安装及注意事项请参阅相关资料,这里不再详述
  六、×××客户端配置
  这一端配置相对简单得多,只需建立一个到×××服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows 2003客户端为例说明,其它的win2K操作系统设置都大同小异:
  第一步:在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连 接到我的工作场所的网络”,继续下一步,在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。
  
  第二步:在“××× 服务器选择”窗口里,等待我们输入的是×××服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名 (此域名需要在提供花生壳软件的[url]www.oray.net[/url]网站下载);接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后,为方便操作,可以 勾选“在桌面上建立快捷方式”选项,单击完成即会先出现如下图所示的×××连接窗口。输入访问×××服务端合法帐户后的操作就跟XP下“远程桌面”功能一 样了。连接成功后在右下角状态栏会有图标显示。
  
  第三步:连接后的共享操作,只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居”查找×××服务端共享目录;另一 种办法是在浏览器里输入×××服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点 击某个视频节目播放,省去下载文件这一步所花时间了。
  七、总结
  到这里我们已经实现了用一台Windows Server 2003操作系统做一台NAT和×××远程接入 服务器,实现公司或家庭共享上网和×××远程接入访问本地局域网,实现移动办公。但是这台 服务器在安全性和 功能上还有一定缺陷,我将在后面的文章中陆续介绍搭建基于L2TP OVER IPSEC的××× 服务器,以增强数据在网络传输中的安全性。介绍搭建基于Microsoft Internet Security and Acceleration (ISA) Server 2006防火墙的远程接入 服务器,介绍基于Microsoft Internet Security and Acceleration (ISA) Server 2006的站点到站点的虚拟专用网络。