1、Windows 2000的VPN技術(shù)為電子商務(wù)架橋徐昊 俊娜 企業(yè)在組建自己的企業(yè)內(nèi)部網(wǎng)時(shí)，會(huì)受到企業(yè)辦公場(chǎng)所的地理位置分布的限制。現(xiàn)實(shí)環(huán)境中，會(huì)有一些辦公場(chǎng)所遠(yuǎn)離總部，企業(yè)要構(gòu)成完整的Intranet就得進(jìn)行遠(yuǎn)程連接。這種連接不是效率低確實(shí)是費(fèi)用高，使得企業(yè)的運(yùn)營(yíng)成本增加；為了解決那個(gè)問(wèn)題產(chǎn)生了VPN技術(shù)。一、 什么是VPN？VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)），它確實(shí)是使遠(yuǎn)程客戶端借用現(xiàn)有公用網(wǎng)的物理鏈路，在需要時(shí)鏈接到企業(yè)的Intranet上，從而擴(kuò)展了Intranet的網(wǎng)絡(luò)范圍，降低了Intranet的組建成本，同時(shí)計(jì)算機(jī)之間的通訊與專用線路上的計(jì)算機(jī)

2、通訊具有一樣的安全性。VPN的優(yōu)點(diǎn)：降低成本利用現(xiàn)有的公用網(wǎng)組建的Intranet，要比租用專線或鋪設(shè)專線要節(jié)約開(kāi)支，而且當(dāng)距離越遠(yuǎn)時(shí)節(jié)約的越多。如：某企業(yè)的北京與紐約分部之間的連接，不太可能自鋪專線；當(dāng)一個(gè)遠(yuǎn)程用戶在紐約想要連到北京的Intranet，用撥號(hào)訪問(wèn)時(shí)，花的是國(guó)際長(zhǎng)途話費(fèi)；而用VPN技術(shù)時(shí)，只需在紐約和北京分不連接到當(dāng)?shù)氐腎nternet就實(shí)現(xiàn)了互聯(lián)，兩邊花的差不多上市話費(fèi)。便于擴(kuò)展關(guān)于進(jìn)展專門快的企業(yè)來(lái)講，VPN就更是不可不用了。假如企業(yè)組建自己的專用網(wǎng)，在擴(kuò)展網(wǎng)絡(luò)分支時(shí)，要考慮到網(wǎng)絡(luò)的容量，架設(shè)新鏈路，增加互聯(lián)設(shè)備，升級(jí)設(shè)備等；而實(shí)現(xiàn)了VPN就方便多了，只需連接到公用網(wǎng)上，對(duì)

3、新加入的網(wǎng)絡(luò)終端在邏輯上進(jìn)行設(shè)置，也不需要考慮公用網(wǎng)的容量問(wèn)題、設(shè)備問(wèn)題等。便于治理鏈路中的設(shè)備由ISP進(jìn)行治理，企業(yè)網(wǎng)的治理員只需維護(hù)與ISP的鏈接，不需參與這些設(shè)備的治理，大大減少了治理工作量。VPN的缺點(diǎn)：速度比較慢，安全性與內(nèi)部網(wǎng)相比要差一些二、 Windows 2000 VPN的技術(shù)要點(diǎn)在Windows 2000 VPN網(wǎng)絡(luò)中，由于信息是在公用網(wǎng)上進(jìn)行傳輸?shù)?，安全性就成了第一重要因素。Windows 2000 VPN網(wǎng)絡(luò)通過(guò)以下幾項(xiàng)技術(shù)解決了那個(gè)問(wèn)題：網(wǎng)絡(luò)隧道（Tunneling）隧道技術(shù)是讓通信終端間能建立邏輯上的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)連接。Windows 2000 VPN網(wǎng)絡(luò)支持Point

4、to Point Tunneling Protocol(PPTP)和Layer 2 Tunneling Protocol (L2TP)網(wǎng)絡(luò)隧道連接協(xié)議，它們PPTP、L2TP工作于OSI的第二層。加密(Encryption)加密技術(shù)是將欲傳送的信息進(jìn)行重計(jì)算得到新非標(biāo)準(zhǔn)編碼，使得只有擁有合法的密鑰者才能夠解讀其中的真實(shí)信息。Windows 2000 VPN網(wǎng)絡(luò)中加密技術(shù)依據(jù)加密鑰匙的長(zhǎng)度不同有：40-bit DES（密鑰40位長(zhǎng)）、DES（64位）、3DES（128位）。3身份認(rèn)證(User Authentication)身份認(rèn)證技術(shù)用來(lái)驗(yàn)證接收者和發(fā)送者的真實(shí)身份。Windows 2000

5、VPN網(wǎng)絡(luò)中身份認(rèn)證可使用EAP、MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP等認(rèn)證方法。4封包認(rèn)證(Packet Authentication)封包認(rèn)證是用來(lái)確保數(shù)據(jù)的完整性及確認(rèn)數(shù)據(jù)未被黑客修改過(guò)。Windows 2000 VPN網(wǎng)絡(luò)中的封包認(rèn)證協(xié)議通過(guò)IP Sec來(lái)實(shí)現(xiàn)，其中用MD-5（128位）或SHA（160位）保證數(shù)據(jù)的完整性，用DES或3DES算法來(lái)加密數(shù)據(jù)。三、 Windows 2000 VPN的實(shí)現(xiàn)VPN產(chǎn)品可分硬件式VPN系統(tǒng)和軟件式VPN系統(tǒng)。Windows 2000屬于軟件式的VPN系統(tǒng)。1 實(shí)現(xiàn)的條件對(duì)硬件的要求 關(guān)于Windows 2000 VP

6、N Server：由于加密、解密使得對(duì)CPU有較高的要求，其它配置滿足Windows 2000 Server的需求即可。 關(guān)于VPN Client：沒(méi)有專門要求 對(duì)軟件的要求 關(guān)于Windows 2000 VPN Server：操作系統(tǒng)自然是Windows 2000 Server 關(guān)于VPN Client： Windows 95：需要Dial-Up-Networking (DUN) 1.3組件 Windows 98：不需要其它組件 Windows NT 4.0：SP3以上的服務(wù)包 Windows 2000：不需要其它組件 其它條件 關(guān)于Windows 2000 VPN Server：必須使用T

7、CP/IP協(xié)議，最好擁有一個(gè)合法的靜態(tài)IP地址；動(dòng)態(tài)IP地址也能夠，但需要客戶端每次連接都需重新設(shè)置； 關(guān)于VPN Client：必須使用TCP/IP協(xié)議，需連入Internet 2 實(shí)現(xiàn)的方式Point to End網(wǎng)絡(luò) End to End網(wǎng)絡(luò) 3 實(shí)現(xiàn)步驟Windows 2000 VPN Server端的設(shè)置 首先，設(shè)置Windows 2000 Server與Internet相連，如：ISDN或Modem撥號(hào)（過(guò)程略） 其次，設(shè)置Windows 2000 Server成為Windows 2000 VPN Server，即“配置并啟用路由和遠(yuǎn)程訪問(wèn)”。 通過(guò)“開(kāi)始”-“程序”-“治理工具”

8、-“路由和遠(yuǎn)程訪問(wèn)”選中你的“VPN Server”，右鍵選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”，然后按“路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А钡奶崾緛?lái)完成設(shè)置。 再通過(guò)“開(kāi)始”-“程序”-“治理工具”-“路由和遠(yuǎn)程訪問(wèn)”，選中你的“VPN Server ”，右鍵選擇“屬性”。 在屬性的五個(gè)標(biāo)簽中選擇“常規(guī)”標(biāo)簽中的“遠(yuǎn)程訪問(wèn)服務(wù)器”和“路由器：用于局域網(wǎng)和請(qǐng)求撥號(hào)路由選擇”，如下圖。 在屬性對(duì)話框中選擇“安全”標(biāo)簽中的“身份驗(yàn)證方法”，選擇所需驗(yàn)證方法，如圖。 在屬性對(duì)話框中選擇“IP”標(biāo)簽中的“靜態(tài)地址池”，進(jìn)行地址配置。 Windows 2000 VPN Remote Client端的設(shè)置 首選，設(shè)置

9、Windows 2000連接到Internet 其次，設(shè)置Windows 2000成為Windows 2000 VPN Remote Client。 通過(guò)“開(kāi)始”-“設(shè)置”-“網(wǎng)絡(luò)和撥號(hào)連接”-“新建連接”，然后按“網(wǎng)絡(luò)連接向?qū)А钡奶崾具M(jìn)行操作，其中一些要緊參數(shù)設(shè)置如下： “網(wǎng)絡(luò)連接類型”選擇“通過(guò)Internet連接到專用網(wǎng)絡(luò)” “目標(biāo)地址”輸入“你的VPN主機(jī)名或IP地址”，IP應(yīng)為Internet合法的 “可用連接”選擇“只是我自己使用此連接” “完成網(wǎng)絡(luò)連接向?qū)А陛斎搿澳憬⒌倪B接名稱” 完成設(shè)置后，可再通過(guò)設(shè)置連接的“屬性”，進(jìn)一步完善VPN Remote Client端的設(shè)置，其中

10、可對(duì)“安全措施：高級(jí)安全設(shè)置”和“網(wǎng)絡(luò)”標(biāo)簽的進(jìn)行設(shè)置來(lái)改變安全性，兩個(gè)標(biāo)簽的界面如下圖： Windows 2000 VPN Remote Network端的設(shè)置 通過(guò)“開(kāi)始”-“程序”-“治理工具”-“路由和遠(yuǎn)程訪問(wèn)”選中你的“VPN Server ”，選擇“路由接口”，右鍵選擇“新的請(qǐng)求撥號(hào)接口”，然后按“請(qǐng)求撥號(hào)接口向?qū)А钡奶崾緛?lái)完成設(shè)置，其中一些要緊參數(shù)的設(shè)置如下： “連接類型”選擇“使用虛擬專用網(wǎng)絡(luò)連接” “VPN種類”選擇“第2層隧道協(xié)議” “目標(biāo)地址”輸入“你要連接的VPN服務(wù)器的主機(jī)名或IP地址” 假如用撥號(hào)連接到Internet上，實(shí)際上每臺(tái)計(jì)算機(jī)有三個(gè)IP地址：一個(gè)是本地連接，設(shè)置在網(wǎng)卡上的；另一個(gè)是ISP分配給Modem的；第三個(gè)是RAS服務(wù)器分配給自己及客戶端的。三種IP在通訊時(shí)，互不相干，獨(dú)立工作，即使相同也可正常工作。 四、與IPSec的結(jié)合IPSec通過(guò)對(duì)通信的原始