基于Windows Server2008系統(tǒng)的VPN遠程訪問服務應用

摘 要

隨著計算機網(wǎng)絡的迅速發(fā)展，移動無紙化辦公及遠程網(wǎng)絡辦公需要計算機中的遠程訪問越來越多，通過遠程訪問服務，可以用來為遠程辦公人員、外出人員，以及監(jiān)控和管理多個異地服務器的網(wǎng)絡管理員等遠程用戶，通過某種遠程連接方式，對組織內(nèi)部網(wǎng)絡的軟硬件資源進行訪問的服務，文章基于Windows server2008系統(tǒng)利用VPN技術遠程訪問服務器做了詳細的探討。

【關鍵詞】vps 遠程訪問 網(wǎng)絡辦公

1 windows server2008遠程訪問服務概述

基于windwos Server2008平臺的遠程訪問服務支持兩種連接方式：撥號網(wǎng)絡連接和vpn連接。

2.1 撥號網(wǎng)絡連接

通過使用遠程通信提供商提供的PSTN（公用交換電話網(wǎng)絡），ISDN（綜合業(yè)務數(shù)字網(wǎng)）、ADSL（非對稱數(shù)字用戶線路）或X.25等連接方式。

2.2 VPN連接

是一條穿越公用網(wǎng)絡，能在異地的兩臺計算機或者局域網(wǎng)之間傳輸加密數(shù)據(jù)并在數(shù)據(jù)包中封裝了身份驗證信息和一致性校驗信息的信息隧道。數(shù)據(jù)可以通過這條隧道在非安全的公用網(wǎng)絡中安全地傳輸，達到?jīng)_遠程客戶機上安全訪問某個局域網(wǎng)的目的。VPN的“虛擬性”是指整個VPN網(wǎng)絡的任意兩個結點之間的連接并沒有傳統(tǒng)專網(wǎng)建設所需的點到點的物理鏈路，而是架構在公共網(wǎng)絡之上的邏輯網(wǎng)絡；VPN的“專用性”是指VPN的隧道一經(jīng)建立便不會被他人占用，直到撤銷VPN連接為止。總之，通過VPN連接提供的服務可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

2 VPN服務系統(tǒng)的組成

VPN服務系統(tǒng)的組成主要包括以下構件。

2.1 VPN服務器

用于接收并響應遠程訪問客戶機的連接請求，并建立連接，進而提供遠程客戶訪問內(nèi)部網(wǎng)絡資源。

2.2 VPN客戶端

用于發(fā)起VPN連接請求的主機。

2.3 隧道協(xié)議

是用來創(chuàng)建VPN客戶機到VPN服務器上的安全連接。

2.4 Internet連接

VPN服務器和客戶機都必須進入Internet。

3 Vpn的安全技術

由于vpn傳輸?shù)氖撬接行畔ⅲ踩珕栴}是vpn的核心。目前vpn主要采用隧道技術、數(shù)據(jù)加密技術和用戶認證技術來保證安全。其中，隧道技術定義數(shù)據(jù)的封裝形式，并利用ip協(xié)議以安全方式在Internet上傳送，數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜取，用戶認證則保證未獲認證的用戶無法訪問內(nèi)部網(wǎng)絡。

3.1 隧道技術

Vpn實現(xiàn)的關鍵技術是隧道，vpn的隧道技術類似于點對點連接技術，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。

3.2 加密與解密技術

加密與解密技術的主要任務是如何在公共數(shù)據(jù)網(wǎng)上安全地傳輸數(shù)據(jù)和密鑰而不被他人竊取。加解密技術是數(shù)據(jù)通信中一項較為成熟的技術，vpn可直接利用現(xiàn)有技術。

3.3 用戶認證技術

用戶認證技術最常用的是用戶名稱與密碼獲卡片式認證等方式。

4 vpn的工作過程

（1）遠端vpn客戶機通過撥號等方式連接到公共網(wǎng)絡，建立與互聯(lián)網(wǎng)的撥號連接；

（2）vpn客戶機發(fā)起vpn連接請求，用戶撥號本地nsp（網(wǎng)絡服務商）的接入設備，如網(wǎng)絡訪問服務器nas，發(fā)出ppp連接請求，nas收到呼叫后，在用戶和nas之間建立ppp鏈路，然后，nas對用戶進行身份驗證，確定是合法用戶后與企業(yè)內(nèi)部的vpn服務器（vpn網(wǎng)關）建立一條虛擬連接（vpn連接）。在建立vpn連接的過程中，雙方必須確定采取何種vpn隧道協(xié)議和鏈接路線的路由路徑等；

（3）vpn客戶機通過vpn連接建立的隧道訪問企業(yè)內(nèi)部網(wǎng)絡的資源，在進入隧道簽nas對訪問數(shù)據(jù)包進行加密和再封裝，封裝的方式很具所采用的vpn技術不同而不同。

（4）將封裝后的數(shù)據(jù)包通過隧道在公共網(wǎng)絡上傳送至接收方的vpn服務器。

（5）vpn服務器收到數(shù)據(jù)包對其進行解包處理并還原成原始的數(shù)據(jù)包，核對數(shù)字簽名無誤后，根據(jù)所實用的vpn協(xié)議，對數(shù)據(jù)包進行解密。

（6）vpn服務器將還原后的原始數(shù)據(jù)包發(fā)送至目標主機，由于原始數(shù)據(jù)包的目標地址是企業(yè)內(nèi)部的某臺主機的ip，所以該數(shù)據(jù)包能夠被正確地發(fā)送到目標主機。

5 Windows Server2008配置過程

（1）配置準備工作，點擊“開始”右邊的“服務器管理器”，在“服務器管理器”里點擊“角色”，在“角色”上點擊右鍵選譯“添加角色”，點擊“下一步”，在“角色”里選擇“網(wǎng)絡策略和訪問服務”，點擊“下一步”，點擊“下一步”，選擇“路由和遠程訪問服務”，點擊“安裝”。

（2）配置VPN服務器，點擊“角色”-“網(wǎng)絡策略和訪問服務”-“路由和遠程訪問”-在“路由和遠程訪問”上點右鍵選擇“配置并啟用路由和遠程訪問”-點擊“下一步”-選譯“自定義配置”點擊“下一步”-選擇“VPN訪問”和“NAT”點擊“下一步”-配置成功點擊“完成”，出現(xiàn)提示”啟動服務”點擊“啟動服務”。

（3）現(xiàn)在配置下NAT：在“路由和遠程訪問”-“IPv4”-“NAT”上點擊右鍵選擇“新增接口”-在接口里選一下你的外網(wǎng)接口，我這里的是本地連接，點擊“確定”彈出屬性-在這里選擇“公用接口連接到Internet”-“在此接口上啟用NAT”，點擊確定-在“路由和遠程訪問”上點擊右鍵選擇“屬性” -在彈出的窗口中選譯“IPv4”-“靜態(tài)地址池”點擊“添加”-在“起始IP地址”里輸入“172.16.0.1”，“結束IP地址”里輸入“172.16.0.254”點擊“確定”-點擊“確定”，現(xiàn)在給用戶分配的IP地址段已經(jīng)配置好了。VPN服務器配置成功后，還需要帳號連接。在這里我推薦使用PCVPN管理系統(tǒng)，因為PCVPN管理系統(tǒng)專為管理VPN用戶而設計，可以設置VPN用戶連接數(shù)、VPN用戶限速、設置VPN用戶到期時間等功能，達到你輕松管理VPN用戶的目的。當然你也可以用系統(tǒng)自帶的管理VPN用戶。

（4）配置VPN連接帳號：點擊“配置”-“本地用戶和組”-“用戶”-在“用戶”上點擊右鍵選擇“新用戶”，輸入“用戶名”和“密碼”在選譯“用戶不能更換密碼”和“密碼永不過期”，點擊“創(chuàng)建”，在點擊“關閉”-雙擊新增加的用戶“pcvpn”彈出“屬性”窗口-彈出“屬性”選擇“撥入”-“網(wǎng)絡訪問權限”-“允許訪問”點擊“確定”，現(xiàn)在VPN服務器已全部完成配置，可以用添加的用戶登陸VPN服務器了。

總之，利用windows server2008配置vpn能夠解決我們在工作中的許多問題，為網(wǎng)絡辦公自動化提供了有力的保障，在實際運用過程中會遇到各種各樣的問題，需要我們認真的研究，多多的實踐。

作者簡介

駱海玉（1981-），男，河南省南陽市人。大學本科學歷。現(xiàn)為南陽醫(yī)學高等專科學校助理工程師，主要從事學校校園網(wǎng)的建設及維護工作。

作者單位

南陽醫(yī)學高等專科學校網(wǎng)絡中心 河南省南陽市 473000