如何有效建立Win2000 VPN服務器
用戶是否聽說過虛擬專用網VPN的優越特性?是否準備好在遠程訪問設備上看看它的優越性了嗎?那麼,用戶應該很高興的是,Windows 2000提供了一個非常好的VPN平台,尤其是連接小型遠程辦公,支持遠程辦工人員(也就是電子通勤族)從家庭工作室進行遠程連接。而且,用戶將會看到在 Windows 2000上建立VPN是非常簡單的。同時,Win2K能夠從根本上動態提升Windows NT的VPN服務器的性能和安全性。在這篇文章中,我介紹一下用戶建立自己的VPN所需要的硬件和軟件,以及如何在公司網絡中配置一台VPN服務器,如何配置遠程辦工人員的PCs,使他們能夠建立到公司LAN網絡的VPN連接。文章主要集中於介紹安裝VPN的基本過程,不會涉及更高級方面的問題,例如建立一個遠程辦公網絡的服務器對服務器端的VPN連接,配置遠程訪問策略,或配置VPN連接,使之能夠通過防火牆和代理服務器。有了這些認知,我們就開始介紹如何配置Windows 2000服務器遠程訪問VPN。準備基本設備
用戶需要考慮的第一件事就是VPN服務器的硬件設備。要知道Windows 2000本身就需要大量的硬件資源。在一個公司的網絡環境中,有可能只希望VPN服務器作為專用的服務器來提供服務,機器上只運行Windows 2000服務器平台或Windows 2000高級服務器平台。對於這樣的配置,建議至少要使用奔騰Ⅲ 450-MHz的處理器,256兆字節的RAM。對於小公司網絡或只有不超過200個用戶,並且支持少於20個遠端連接的公司分部網絡來說,可以使用奔騰 Ⅱ300MHz(或更高)處理器或者至少128兆RAM的賽揚(Celeron)處理器。
用戶的服務器需要兩塊網卡。一塊連接Internet,另一塊連接局域網。用戶可能會想到,這就意味著VPN服務器的實際功能更像一個VPN路由器,而不僅僅是一台服務器。它要驗證用戶權限,產生安全通道,然後同任何路由器一樣,根據路由表中的信息判斷,是否允許用戶訪問他們所要連接的網絡中的子網資源,或其他的子網。用戶應該有這樣的印象,這些資源也包括非Windows資源,像NetWare 和UNIX服務器。
最後應該考慮的是用戶的Internet 連接。使用一台VPN服務器可能意味著可以拋掉很多當前使用的RAS專用電話線路。但是,就某種意義來說,這無疑是拆東牆補西牆,因為在這種情況下用戶有可能要考慮增加公司辦公系統的Internet網絡帶寬。是否要作出這種決定取決於下列因素:起始帶寬的大小、當前的帶寬利用率、用戶數目和連接VPN服務器的遠程分部網絡的數目。同樣,如果在公司網絡中已經有一個始終在線的Internet連接的話,VPN會工作的更好。如果有一個撥號Internet 連接的話,我所建議的唯一的VPN解決方案就是在公司網絡和遠程分部網絡之間建立服務器到服務器的連接。
[b]配置VPN服務器[/b]
在考慮過硬件配置問題之後,就需要在機器上安裝Windows 服務器和最近的服務包。同時要保證在服務器上沒有安裝其他不需要的服務,例如DNS服務、DHCP服務和IIS服務。同樣要避免裝載任何額外的第三方軟件,除了那些不得不安裝的軟件,如備份代理程序。
安裝Windows服務器期間,應該選擇靜態分配IP地址方式。要為第一塊網卡設置一個真實的Internet IP地址和Internet路由器的缺省網關。另一塊網卡應該擁有一個分配給局域網的IP地址,而且不應該使用缺省網關。
還要為VPN服務器設置域/工作組。所作的設置取決於用戶服務器進行用戶驗證的方式。有三個基本選項:VPN服務器在本地驗證用戶;使用 Windows 2000 域安全性;或將安全驗證工作轉給RADIUS服務器。如果選擇VPN服務器在本地驗證用戶,就要為VPN服務器建立一個工作組——類似於「Internet」這樣的名字。如果使用活動目錄並且用Windows 2000 域控制器進行驗證,就要將VPN服務器加入到Windows 2000的域中。如果有一系列的VPN服務器,可能要使用一個RADIUS服務器(例如微軟的Internet驗證服務)來完成驗證工作。在這個例子中,我們使用VPN服務器本地驗證用戶方式。
如果用戶已經安裝了Windows 2000服務器,那麼依次打開「開始」 「程序」 「管理工具」 「路由和遠程訪問」,打開「路由和遠程訪問」窗口,如圖A所示。然後,在相應服務器名的圖標上單擊,然後單擊「操作」按鈕,從結果菜單中選擇「配置並啟用路由和遠程訪問」。載入創建一個新服務器的嚮導。選擇「手動配置服務器」,就會進入 RRAS開始進行配置。嚮導可能會提示要選擇VPN選項,但是用戶可以根據自己的要求進行選擇。VPN嚮導可能有一點古怪,最好在RRAS中手動配置基本的VPN設置,以便在將來可以知道如何進行問題跟蹤和糾正。
[align=center][attach]1401[/attach][/align][align=center]圖A[/align]右擊相應VPN服務器圖標開始進行配置,選擇「屬性」。調出用戶用來激活VPN服務器的主選項。在「常規」標籤中,一定要選擇「路由器」和「遠程訪問服務器」這兩個複選框,選擇「用於局域網和請求撥號路由選擇」選項,如圖B所示。切換到「安全」標籤,如果VPN服務器自己作驗證或者用戶使用一個 Windows域作驗證的話,選擇「Window 身份驗證」。如果用戶使用的是一個RADIUS服務器,選擇「RADIUS身份驗證」。對於「PPP」和「事件日誌」標籤中的信息,可以保留缺省設置或者根據需要進行選擇。
在「IP」標籤中的設置是非常重要的,如圖C所示。需要複選「啟用IP路由」和「允許基於IP的遠程訪問和請求撥號連接」複選框,然後在「IP地址分配」組中選擇「動態主機配置協議(DHCP)」方式或「靜態地址池」(在希望客戶連接的子網內)方式。將「適配器」選項設置為連接用戶LAN網絡的適配器。「IP」標籤中的設置是很重要的,因為這些設置規範了VPN接入客戶接收到的IP地址和網絡信息。在大多數情況下,建議使用DHCP方式為VPN用戶配置地址信息。使用局域網內那個用戶用來接收他們的IP信息的DHCP服務器,為VPN客戶配置地址信息是特別高效的。VPN客戶也能夠接受靜態IP地址,會在進行客戶配置時看到。
[align=center][attach]1402[/attach][/align][align=center]圖B[/align]
[align=center][attach]1403[/attach][/align][align=center]圖C[/align]
頁:
[1]