中小企业网络构建十步法之:轻松玩转VPN

2018-06-09 16:27

  【IT168技术】VPN(Virtual Private Network)是虚拟专用网络的缩写,属于远程访问技术,简单地说就是利用公网链架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。上述介绍的VPN应用属于VPN用户的单点拨入,VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN,在中小企业网络构建这一系列中,我们只会介绍如何创建单点拨入的VPN,至于站点到站点的VPN架设后期会在恰当的专题中介绍。

  VPN服务的实现有很多种方式,如现在的一些网络操作系统本身可以实现VPN,也可以购买专门的VPN设备,ISA Server防火墙也可以实现VPN。所以最终使用哪一种,完全可以根据实际情况来进行选择,在此我们出于成本和安全性方面的考虑,准备在ISA 2006上启用VPN功能。

  下面,咱们就通过实例来看一下,如何通过ISA 2006实现单点的拨入VPN,以实现员工在外网也能连接到企业内网,以实现在家办公、远程打印等需求。

  同为微软的产品,因此ISA2006非常巧妙地调用了Win2003中的由和远程访问组件来实现VPN功能,但用户并不需要事先服务器上的由和远程访问进行配置,ISA2006会自动实现对由和远程访问的调用。

  方案一: 内网和ISA Server服务器同在域的内,推荐做法,好处是不需要RADIUS 服务器,降低了网络的复杂性。

  PPTP:PPTP 是用于在中间网络上传输点对点协议(PPP)帧的一种隧道机制。PPTP只考虑了对VPN用户的身份验证,不支持对计算机身份进行验证。

  L2TP/IPSEC:L2TP/IPSEC从字面上理解是在IPSEC上运行L2TP,IPSEC负责数据的封装加密,L2TP的作用和PPTP类似,负责在IP网络上做出VPN隧道。从理论上分析L2TP协议应该比PPTP更安全一些,因为L2TP不但能在用户级别实现PPP验证,还能实现计算机级别的身份验证。

  至于用户,网络管理员可以根据实际情况进行相应的选择,一般来说,如果在集中管理的中,也就是说已经有域的话,推荐使用方案一,这样的好处是在用户身份验证方面就简单多了,如果没有域的话,可以考虑使用RADIUS技术(RADIUS技术以后有机会再做介绍)。但不推荐使用镜像帐户。至于协议方面,如果安全性要求不是很高的情况下可以使用PPTP,好处是简单方便,如果对安全性方面有很高的要求的情况下,可以考虑结合PKI机制使用L2TP。

  我们准备在内网192.168.1.10上安装AD,使其成为一台DC,方法是运行:Dcpromo。如下图所示:

  点击下一步之后,然后依次选择“新域的域控制器”-----“在新林中的域”,再输入相应的域名,如下图所示:

  当点击下一步之后,如果没有重名的话,则会为此域名生成一个NetBIOS名,如下图所示:

  然后会要求指定数据库文件、日志文件以及Sysvol的存放文件夹, 在此例中,我就直接默认了,紧接着会弹出DNS诊断的提示,如果已经安装有DNS,可以选择第一项,如果没有的话,则选择第二项,系统自动安装并配置DNS,如下图所示:

  接下来,还需要选择用户和组对象的默认权限及目录服务还原模式的管理员密码,根据需要进行相应的设置。最后就静等AD的安装。

  2、 将ISA Server这台机器加入到域中,成为域中的一台服务器。方法如下所示:

  在“我的电脑”---属性中----选择域:然后输入DC上管理员的用户名和密码,并重新启动计算机,即可加入到域中。

  下面咱们就可以看一下VPN的具体设置了,关于PPTP的配置还是很简单的: