外网通过VPN访问 公司局域网内文件
- 谷普下载 |
| 您所在的位置： >
> 外网通过VPN访问 公司局域网内文件外网通过VPN访问 公司局域网内文件更新：&&&&编辑：一支花&&&&来源：谷普网&&&&人气：加载中...&&&&字号：|标签：&&&&&&&&&&&&
实验拓扑图想出来的外网VPN VPN在虚拟专用网中使用特定属于隧道协议，与虚拟专用网服务器建立连接，虚拟专用网可以帮助远程用户轻松的可信的安全连接，并保证数据传输。优点1：降低成本优点2：传输数据可靠优点3：连接灵活优点4：完全控制 自己做 ，公网ip是192.168.80.10xp用来做 服务器的FTP服务器 文件ip地址192.168.90.99/24 内网地址这时我们ping下文件服务器试下，肯定ping不同 不在一段！内网ip地址公网vpn服务器ip地址用虚拟机做的，所以一定要绑好网卡，不能错，VM1网卡绑在vm1上 vm2网卡绑在vm2上，vm1 网段80段 公网 vm2 网段90段在xp FTP文件服务器ping VPN服务器注意防火墙要关掉！！！配置vpn图 一定要选vpn地址分配 必须是私有地址 就是内部地址 把密码复杂性要求关了，用secpol.msc进入本地安全策略 密码策略关了 方便我们做实验建个用户和密码 这里 我直接用 hao账号 密码123 简单的做个用户 ，把用户下次登录时 要更改密码那个勾一定要去掉点击 账号然后属性进去 拨入选择允许访问做个 个文件夹，abc在客户端 自己的上设置网络连接方式输入用户名和密码发现已经连接上去了，，这时我们可以看下 详细信息 看下ip地址发现自己的ip是 90.101 服务器 ip是192.168.90.100 第一个地址都是用来给服务器，现在在ping文件服务器 的然后我们访问共享文件夹 用UNC路径访问看可以直接访问了，只要有权限 什么事都可以做是不是一样，这个是服务器上的记事本 用来用的好了实验实现！！！在家就可以访问的服务器 方便多了！反过来就可以做校园网了，用vpn分配账号和密码 给每个人，然后私有地址直接到服务器 方便管理！也可以记账，下次做个实验试试看！今天实验就到这。本文出自 “xx技术控c” 博客，请务必保留此出处
| 分类选择您可能在找这些君，已阅读到文档的结尾了呢~~
广告剩余8秒
文档加载中
远程访问服务器的安装与配置
学习笔记 14：051、安装远程服务器前需要注意的事项：正确配置操作系统对服务器满足网络所需要的最佳安全性作了正确的配置。该计算机上必须有两个网络接口，一个接口连接到Internet，另一个连接到专用网络。已为网络接口安装了所有的网络协议。2、远程访问服务器类型及各自主要作用：远程访问 VPN服务器
在Windows Server 2003系统中可以利用
路由和远程访问
服务将服务器配置为允许..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
远程访问服务器的安装与配置 学习笔记
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口信息化虚拟专用网络的基本用途
虚拟专用网络的基本用途 时间： 11:15:45作者：中国IT实验室 本文关键词：无
虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。
与使用专线拨打长途或（1-800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。
通过Internet实现网络互连
可以采用以下两种方式使用VPN连接远程局域网络。
1.使用专线连接分支机构和企业局域网。
不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet.VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。
2.使用拨号线路连接分支机构和企业局域网。
不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP.VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。
应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP.VPN服务器必须一天24小时对VPN 数据流进行监听。
连接企业内部网络计算机
在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。
采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。使用VPN服务器，但是企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。
上一篇:下一篇:
您看到此篇文章时的感受是：
最受关注的文章：
最新更新文章：
本篇文章共有
- 发表评论 -
科技疯?数码虚拟专用网络（VPN）连接基础
远程访问是指通过透明的方式将位于本地网络以外（远程网络）位置上的特定计算机连接到本地网络中的一系列相关技术。当启用远程访问时，远程客户可以通过远程访问技术像直接连接到本地网络一样来使用本地网络中的资源。在Windows服务器操作系统中均包含了远程访问服务，它是作为路由和远程访问服务中的一个组件，远程访问服务支持远程访问客户端使用拨号网络连接和虚拟专用网络连接这两种方式的远程访问：
&&&&&&&&& 拨号网络连接远程访问方式：通过拨号远程访问方式，远程访问客户端可以利用电信基础设施（通常情况下为模拟电话线路）来创建通向远程访问服务器的临时物理电路或虚拟电路。一旦这种物理电路或虚拟电路被创建，其余连接参数将通过协商方式加以确定。
&&&&&&&&& 虚拟专用网络（VPN）连接远程访问方式：通过虚拟专用网络远程访问方式，VPN客户端可以通过IP网络（例如Internet）与充当VPN服务器的远程访问服务器建立虚拟点对点连接。一旦这种虚拟点对点连接被创建，其余连接参数将通过协商方式加以确定。
由于IP网络的流行，拨号网络连接远程访问方式已经基本不再使用。在此我仅对虚拟专用网络（VPN）连接远程访问方式进行阐述。对于一个完整的VPN远程访问连接，它由以下元素组成：
远程访问VPN客户端
VPN客户端既可以是独立的计算机，也可以是建立站点到站点VPN连接的VPN服务器。而根据VPN客户端类型的不同，VPN分为以下两种连接类型：
&&&&&&&&& 远程访问VPN：由一台独立的计算机作为VPN客户端向VPN服务器发起VPN连接，从而此VPN客户端计算机可以访问VPN服务器所连接的内部网络中的资源。Windows XP、Windows 2000、Windows NT 4.0、Windows ME和Windows 98 VPN客户端均可与Windows的VPN服务器或运行其它大多数VPN服务器的远程访问服务器建立VPN连接。这种类型的VPN又称为客户端到服务器VPN。
&&&&&&&&& 站点到站点VPN：在连接到不同内部网络的两台VPN服务器之间进行VPN连接，当VPN连接成功建立后，它们所连接的内部网络中均可以相互进行访问，就像直接通过物理链路连接到一起。VPN服务器会将通过VPN连接的数据进行加密和封装，但是本地子网中的客户和VPN服务器之间的通讯并不会进行加密。Windows的VPN服务器均可以和其他VPN服务器创建站点到站点的VPN连接。这种类型的VPN又称为网关VPN或路由器到路由器VPN。
远程访问VPN服务器
基于Windows服务器操作系统的远程访问服务器能够接受基于PPTP或L2TP/IPSec的远程访问VPN连接，或者基于PPTP、L2TP/IPSec或IPSec隧道模式的站点到站点VPN连接。
VPN承载链路
远程访问VPN客户端必须能够通过IP网络访问到远程访问VPN服务器，如果VPN服务器位于某个内部网络而VPN客户端位于Internet之上，那么必须在VPN服务器连接到Internet的网关上为VPN服务器做端口映射。
Windows远程访问服务器与客户端支持两种远程访问VPN协议 ：
&&&&&&&&& 端到端隧道协议（PPTP）
&&&&&&&&& 第二层隧道协议（L2TP）
而对于站点到站点VPN连接，除了使用上述协议外，你还可以使用IPSec隧道模式。
端到端隧道协议（PPTP）
端到端隧道协议（PPTP）是微软基于PPP协议开发的隧道协议，在RFC 2637中进行定义，在Windows系统中广泛使用。PPTP首先在Windows NT 4.0中提供支持，并且随TCP/IP协议一起自动进行安装。PPTP是对端到端协议（PPP）的一种扩展，它采用了PPP所提供的身份验证、压缩与加密机制，并且通过Microsoft端到端加密（MPPE）技术来对数据包进行加密、封装和隧道传输。
PPTP具有以下特性：
&&&&&&&&& PPTP帧通过通用路由封装（Generic Routing Encapsulation，GRE，协议ID 47）报头和IP报头（TCP 1723）进行封装，在IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址；
&&&&&&&&& 使用Microsoft端到端加密（MPPE）技术来对多种协议的数据包进行加密、封装和在IP网络上进行隧道传输；
&&&&&&&&& PPTP隧道连接协商身份验证、压缩与加密；
&&&&&&&&& PPTP支持VPN客户端IP地址的动态分配；
&&&&&&&&& MPPE使用RSA/RC4算法和40位、56位或128位的密钥进行加密；
&&&&&&&&& MPPE将通过由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密，因此为对PPP帧中所包含的有效数据进行加密，虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2或EAP-TLS身份验证协议；PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装；
&&&&&&&&& 初始加密密钥在用户身份验证时产生并且定期刷新；
&&&&&&&&& 在PPTP数据包中，只有数据负载才进行了加密。
如果使用PPTP协议的VPN客户端部署在NAT网关之后，那么要求NAT网关具有理解PPTP协议的NAT编辑器，否则VPN客户将不能创建VPN连接。目前的绝大部分NAT网关中都具有PPTP NAT编辑器，均可以很好的支持PPTP协议。
第二层隧道协议（L2TP）
第二层隧道协议（L2TP）是微软PPTP隧道协议和CISCO第二层转发协议（L2F）的结合体，在RFC 2661中进行定义（最新的版本是L2TPv3，在RFC 3931中定义）。与PPTP利用MPPE进行数据包加密不同，L2TP依靠Internet协议安全性（IPSec）技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec，VPN客户端与VPN服务器都必须支持L2TP和IPSec才能使用L2TP/IPSec。L2TP将随同路由与远程访问服务一起自动进行安装。
在IPSec数据包基础上所进行的L2TP封装由两个层次组成：
&&&&&&&&& L2TP封装： PPP帧（IP或IPX数据包）将通过L2TP报头和UDP报头进行封装。
&&&&&&&&& IPSec封装： 上述封装后所得到的L2TP报文将通过IPSec封装安全性有效载荷（ESP）报头、用以提供消息完整性与身份验证的IPSec身份验证报尾以及IP报头再次进行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。IPSec加密机制将通过由IPSec身份验证过程所生成的加密密钥对L2TP报文进行加密。
L2TP具有以下特性：
&&&&&&&&& L2TP隧道数据可以在任何支持点对点传输的网络中进行传输，例如IP、帧中继、ATM网络等等；
&&&&&&&&& L2TP使用UDP协议来进行隧道管理；
&&&&&&&&& L2TP基于UDP协议发送封装的PPP数据包；
&&&&&&&&& 负载数据可以被加密和压缩；
&&&&&&&&& 使用IPSec封装安全性有效载荷（ESP）进行加密，IPSec ESP在RFC 3193中进行定义；
&&&&&&&&& 虽然L2TP/IPSec提供了用户验证机制，但是同样要求计算机进行验证。计算机验证是相互的，每一端的计算机都必须向对方进行验证；
&&&&&&&&& 对于计算机验证，要求计算机证书。VPN客户端和VPN服务器（远程访问VPN）、或两端的VPN服务器（站点到站点VPN）都必须具有有效的证书。你可以配置使用预共享的L2TP密钥，这样就无需计算机证书，但是由于所有VPN客户都必须配置相同的预共享密钥，这样带来的后果是极大的降低了L2TP的安全性。
&&&&&&&&& 每一端都必须能够验证另一端提供的证书是否有效，如果计算机证书是由不同的证书权威颁发，那么会出现问题。
和PPTP协议不一样，如果基于L2TP/IPSec协议的VPN客户端部署在NAT网关之后，只有VPN服务器和VPN客户端支持IPSec NAT穿越(NAT-T)时，VPN客户端才能和VPN服务器成功创建VPN连接。NAT-T在RFC 3947中进行定义，它描述了IPSec协议如何穿越NAT服务器。和L2TP/IPSec使用UDP端口500、1701不同，NAT-T使用UDP 4500端口。Windows Server 2003、Microsoft L2TP/IPSec VPN客户端软件和L2TP/IPSec NAT-T更新后的Windows XP和Windows 2000支持NAT-T。
但是，微软不推荐在NAT网关后的Windows server 2003上使用IPSec NAT-T，并且修改了Windows XP SP2中的IPSec通讯行为，使其默认情况下不再支持NAT网关后的IPSec NAT-T。详情请参见和。
IPSec隧道模式
对于站点到站点VPN连接，除了上述的PPTP和L2TP/IPSec外，你还可以使用IPSec隧道模式。IPSec隧道模式单独使用IPSec来创建一个加密的隧道，通常用于和不支持L2TP/IPSec或PPTP协议的非Windows VPN服务器之间创建加密通讯。和L2TP、PPTP不同，IPSec隧道模式不需要验证用户账户，它具有以下特性：
&&&&&&&&& IP数据包通过IPSec进行加密，并在IP网络上进行隧道传输；
&&&&&&&&& IPSec隧道模式只能用于站点到站点的VPN类型；
&&&&&&&&& IPSec隧道模式需要额外的IPSec安全策略配置；
选择远程访问VPN协议
PPTP和L2TP/IPSec的区别主要有：
&&&&&&&&& PPTP使用MPPE进行加密，L2TP/IPSec和IPSec隧道模式使用IPSec ESP进行加密。
&&&&&&&&& PPTP加密在PPP身份验证通过后处理连接时开始，因此，身份验证过程没有被MPPE加密。L2TP/IPSec会先进行安全协商再进行身份验证，并对PPP身份验证数据包进行加密，因此L2TP/IPSec比PPTP提供了更高的安全性。
&&&&&&&&& PPTP使用MMPE和RC4，而L2TP/IPSec使用DES或3DES；
&&&&&&&&& PPTP和L2TP/IPSec均要求用户使用基于PPP的身份验证协议进行身份验证；
&&&&&&&&& L2TP/IPSec还要求使用计算机证书进行计算机验证。因此，L2TP/IPSec提供了更强壮的身份验证过程。但是，带来的不便之处是L2TP/IPSec需要公共密钥基础服务（PKI）或预共享的连接密钥，而PPTP则无需PKI。
&&&&&&&&& IPSec ESP要求基于数据包的数据源验证和数据完整性验证，另外，IPSec ESP提供了中继保护，这防止了数据包的重现攻击；而PPTP没有提供这些保护。
&&&&&&&&& IPSec ESP和PPTP（通过使用MPPE）提供了基于每个数据包的加密。
&&&&&&&&& 你可以将基于PPTP的VPN服务器部署在NAT网关后，但是不建议将基于L2TP/IPSec、IPSec的VPN服务器部署在NAT网关后。
&&&&&&&&& L2TP/IPSec比PPTP更耗费CPU性能。
在选择VPN协议时，你应考虑以下几点：
&&&&&&&&& 是否存在公共密钥基础服务（PKI），如果不存在则选择PPTP；强烈建议不要在商用网络中通过预共享的连接密钥来使用L2TP，这样会极大的降低L2TP的安全性；
&&&&&&&&& 如果要求最高的安全级别，选择L2TP/IPSec；
&&&&&&&&& 只有在特别需要时才使用IPSec隧道模式；
&&&&&&&&& 如果企业安全策略要求DES或3DES，则使用L2TP/IPSec；
&&&&&&&&& 如果使用IPSec导致CPU负荷过重，使用PPTP；
&&&&&&&&& 如果VPN服务器部署在NAT网关后，选择PPTP；
&&&&&&&&& 部署PPTP比部署IPSec更为简单。
对于VPN客户的身份验证、访问授权和记账，你可以选择两种不同的方式：Windows或RADIUS。你可以为这三种功能选择一种方式，也可以选择一种方式用于身份验证和授权，而另一种用于记账。
当使用Windows验证时，如果VPN服务器是独立服务器，则使用本地账户（SAM）来验证VPN客户；如果VPN服务器是域成员服务器，则使用活动目录数据库来验证VPN客户。如果使用RADIUS进行身份验证，那么就算VPN服务器是独立服务器，也可以通过RADIUS使用活动目录数据库来进行验证。在Windows服务器中同样提供了RADIUS服务器组件，不过被称为Internet验证服务器（IAS），关于Internet验证服务器更详细的信息，请参见一文。
PPTP和L2TP/IPSec均要求用户进行身份验证，并且对于L2TP/IPSec，你必须配置用户身份验证和计算机身份验证。Windows VPN服务器支持的身份验证方式有：
&&&&&&&&& 可扩展身份验证协议（EAP）
&&&&&&&&& Microsoft质询式握手身份验证协议（MS-CHAP）
&&&&&&&&& MS-CHAP第2版（MS-CHAP v2）
&&&&&&&&& 质询式握手身份验证协议（CHAP）
&&&&&&&&& Shiva式口令身份验证协议（SPAP）
&&&&&&&&& 可扩展身份验证协议（EAP，包含EAP-MD5、EAP-TLS、EAP/MS-CHAPv2等等）
它们之间的详细区别请参考Windows的帮助，常用的身份验证方式是MS-CHAP、MS-CHAP v2和EAP-TLS。
当VPN客户通过身份验证时，VPN服务器将通过拨入VPN的用户账户的拨入属性来决定是否允许它的远程访问，如下图所示：
允许访问：显式允许VPN客户的远程访问；
拒绝访问：显式拒绝VPN客户的远程访问；
通过远程访问策略控制访问：根据VPN服务器配置的授权方式的不同（Windows还是RADIUS），通过自己的远程访问策略（Windows方式）或RADIUS服务器的远程访问策略（RADIUS方式）来决定是否允许VPN客户的访问。远程访问策略是定义是否授权VPN客户远程访问的一系列规则集合，VPN服务器按照从上到下的顺序执行第一个匹配VPN客户连接请求的远程访问策略。如果VPN客户匹配某个授权访问的远程访问策略，则VPN服务器允许VPN客户的拨入，如果VPN客户不匹配任何授权访问的远程访问策略或者匹配某个拒绝访问的远程访问策略，则VPN服务器拒绝VPN客户端的访问。
如果此RRAS服务器属于活动目录，你需要提升域功能级为Windows 2000 Native或者Windows server 2003后，才能使用通过远程访问策略控制访问选项。并且此RRAS服务器的计算机账户必须加入到域本地安全组RAS and IAS Servers组中，否则该RRAS服务器不能读取域用户的拨入权限设置。在启用路由和远程访问服务时，会自动加入到RAS and IAS Servers组中，如果没有自动加入，你可以手动进行添加或者在路由和远程访问服务器上运行Netsh ras add registeredserver命令。
当VPN服务器允许VPN客户拨入VPN时，将会为VPN客户分配一个IP地址。你可以配置VPN服务器通过内部网络中的DHCP服务器来为VPN客户分配一个IP地址，也可以手动配置一个静态IP地址范围来为VPN客户进行分配。但是，如果配置使用和内部网络不一致的子网来用于VPN客户的地址分配时，你必须添加内部网络通过VPN服务器到达VPN客户的路由。关于VPN客户的地址分配更详细的信息，请参见网络专家Gable Guy的文章&&以及ISA中文站中我的文章。
当VPN客户创建VPN拨号连接时，默认会启用远程网络上的默认网关，即把VPN连接作为自己的默认网关。这将导致VPN客户不能访问除自己本地子网外的其他本地网络，也不能通过本地网络连接到Internet。关于此选项的详细信息，请参见网络专家Gable Guy的文章&&。
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：144281次
积分：2981
积分：2981
排名：第12359名
原创：153篇
转载：36篇
评论：10条
(1)(1)(1)(1)(1)(1)(2)(2)(1)(1)(1)(2)(3)(3)(1)(3)(2)(10)(2)(2)(5)(143)
(window.slotbydup = window.slotbydup || []).push({
id: '4740881',
container: s,
size: '200,200',
display: 'inlay-fix'