虛擬專用網絡問答

■江蘇 孫秀洪

編者按：虛擬專用網絡相比普通網絡擁有極高的安全性而被企業廣泛應用，本文列舉了虛擬專用網絡使用過程中可能出現的一些問題，希望對大家有所幫助。

在進行虛擬專用連接時，有時會彈出遠程計算機沒有反應的錯誤提示，請問為什么會出現這種錯誤，遇到這種錯誤時該如何解決？

答：這種問題多半是網絡延遲引起的，只要多連接幾次，就能解決問題了。

如果還是不能解決問題，可 以 依 次 單 擊“開 始”、“運行”命令，彈出系統運行對話框，輸入“regedit”命令并回車，切換到系統注冊表編輯窗口，將鼠標定位到“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CEBFC1-08002bE10318}/<000x>”節點上，這里的“<000x>”其實是WAN 微型端口驅動程序的網絡適配器。

用鼠標右鍵單擊目標節點，從右鍵菜單中依次選擇“新 建”、“DWORD 值” 命令，手工創建一個新的雙字節鍵值，將其名稱設置為“ValidateAddress”，再將其數值設置為“0”，之后重新啟動計算機系統，讓上述設置正式生效。

以前，筆者在Windows XP客戶端系統中，可以使用虛擬專用連接登錄單位虛擬專用服務器，而且在登錄成功的狀態下，筆者既能訪問到單位內部網絡中的數據信息，又能訪問Internet 網絡中的站點頁面。然而，筆者將計算機的操作系統升級為了Windows 7 系統后，發現使用相同的登錄賬號與密碼，登錄連接虛擬專用服務器后，發現可以登錄到單位內部網絡，但不能打開網頁內容。請問如何解決這種問題？

答：這種問題很可能是Windows 7 系統下的虛擬專用網絡連接沒有自動獲得DNS 參數造成的，我們可以為Windows 7 客戶端系統手工配置好正確的DNS 服務器地址參數，其IP地址參數仍然采用動態分配方式上網。

在進行該操作時，依次單擊“開始”、“控制面板”命令，雙擊控制面板中的“網絡和共享中心”圖標，展開網絡和共享中心管理窗口，單擊左側區域的“更改適配器設置”按鈕，彈出網絡連接列表界面；用鼠標右鍵單擊虛擬專用連接圖標，點選右鍵菜單中的“屬性”命令，打開虛擬專用連接屬性對話框，點選“網絡”標簽，在對應標簽設置頁面中，選中“Internet 協 議版本4（TCP/IPv4）”選項，單擊該選項下面的“屬性”按鈕，切換到TCP/IPv4 屬性對話框。選中“自動獲得IP 地址”選項，讓Windows 7 系統自動獲得IP 地址，再選中“使用下面的DNS 服務器地址”選項，在首選DNS 服務器位置處輸入自己經常使用的DNS服務器地址，最后按“確定”按鈕保存設置操作。

有時，嘗試以虛擬專用連接方式與遠程服務器建立通信，遠程服務器卻出現了不支持加密的提示，請問如何消除該提示？

答：很簡單！在Windows XP 系統環境下，用鼠標右鍵單擊系統桌面上的“網上鄰居”圖標，執行右鍵菜單中的“屬性”命令，彈出網絡連接列表窗口，找到目標虛擬專用連接，打開它的快捷菜單，選擇“屬性”命令，進入目標連接屬性對話框，點擊“安全”標簽，在對應標簽設置頁面的“數據加密”位置處，選中“沒有加密也可以連接”選項，確認后保存設置操作即可。

在Windows 7 系統環境下，依次點擊“開始”、“控制面板”命令，雙擊系統控制面板窗口中的“網絡共享中心”圖標，在其后界面中點擊“更改適配器”按鈕，再選中目標虛擬專用連接圖標，打開它的右鍵菜單，點擊“屬性”命令，在其后彈出的虛擬專用連接屬性對話框中，將“數據加密”位置處的“沒有加密也可以連接”選項選中，確認后保存設置操作即可。

如果虛擬專用服務器禁止用戶借助網絡訪問這臺計算機時，虛擬專用客戶端用戶也不能正常與虛擬專用服務器建立連接，請問如何檢查虛擬專用服務器有沒有對網絡訪問進行限制？

答：首先依次單擊虛擬專用服務器系統中的“開始”、“運行”命令，打開系統運行對話框，執行“gpedit.msc”命令，切換到系統組策略控制臺窗口。在該控制臺窗口左側列表中，將鼠標定位到“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”、“用戶權限分配”節點上，找到目標節點下的“從網絡訪問此計算機”組策略選項，用鼠標雙擊該選項，彈出對應組策略屬性對話框。

在“本地安全設置”頁面中，看看虛擬專用客戶端用戶的帳號名稱是否出現在其中，倘若沒有看到的話，不妨及時按下“添加用戶和組”按鈕，從其后出現的帳號選擇對話框中，導入添加虛擬專用客戶端用戶帳號名稱，確認后返回，這樣目標虛擬專用客戶端用戶就可以借助網絡訪問虛擬專用服務器系統了。

請問有哪些用戶適合使用虛擬專用網絡？哪些用戶不適合使用虛擬專用網絡？

答：一般來說，有三類用戶非常適合使用虛擬專用網絡：一是對線路可用性和保密性有特殊要求的用戶；二是用戶、站點分布范圍廣，彼此之間的距離遠，遍布全球各地，需要通過長途方式聯系的用戶；三是位置眾多，特別是遠程辦公室站點多的企業用戶和遠程教育用戶。

相對而言，下面三類用戶或許并不適于采用虛擬專用網絡：一是注重網絡性能而不是組網成本的用戶；二是對數據傳輸安全性高度重視的用戶；三是網絡系統采用不常見的協議或特殊應用，無法在IP隧道中傳送數據的用戶。

筆者計算機安裝的是Windows 7 系統，多次嘗試在該系統中進行虛擬專用連接時，連接總不成功，重新啟動Windows 7 系統也不行，連接過程中總提示：由于Modem 或網絡適配器存在問題，請問這是怎么回事？

答：這多半是Windows 7系統中的Telephony 服務沒有啟動運行。只要依次點擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“services.msc”命令，切換到系統服務列表界面，從中找到目標系統服務Telephony，用鼠標雙擊之，打開對應服務屬性對話框，點擊“啟動”按鈕，同時將啟動類型選擇為“自動”，確認后保存設置操作即可。

大家知道，現在市場上大部分虛擬專用都采用L2TP 協議和IPSec 協議，請問這兩種協議有什么特點？

答：L2TP 協議是國際標準隧道協議，能以隧道方式使PPP包通過各種網絡協議，只是該協議不支持任何加密措施，適合普通遠程撥號用戶。IPSec協議是一個標準的第三層安全協議，它是在隧道外面再封裝，保證了在傳輸過程中的安全，這種協議的主要特征在于它可以對所有IP 級的通信進行加密。

單位有一臺安裝了Windows XP 系統的計算機，可以訪問Internet 網絡，但在其中進行虛擬專用連接時，系統彈出錯誤691 提示，請問為什么會出現這種提示？

答：這種錯誤很可能是由于虛擬專用連接時，使用的登錄賬戶或密碼不正確，也有可能是沒有使用虛擬專用服務的操作權限。默認狀態下，虛擬專用服務要求一個賬號只能在一臺計算機中使用，所以我們務必要查看自己的連接用戶名是否出現了重復。倘若在虛擬專用連接過程中出現了掉線，建議大家不要急著重復連接，盡量等待幾分鐘。要是仍然提示錯誤，建議大家將自己的用戶名提供給管理員，請他們幫忙解決。

在使用虛擬專用網絡的過程中，頻繁會發生“不能建立虛擬專用連接，虛擬專用服務器不能到達”的錯誤，請問怎么解決這類錯誤？

答：可以按照如下步驟來解決：倘若Windows 系統中啟動運行了系統防火墻，不妨先關閉防火墻的運行狀態，并進行重新連接測試。在使用了路由器的網絡環境中，遇到上述錯誤提示時，建議重新啟動一下路由器后臺系統。

除此之外，還要檢查終端系統的IPsec Policy Agent服務運行狀態是否正常，一旦發現其被禁止運行時，必須要將其啟動起來。要做到這一點，可以在系統桌面上，用鼠標右鍵單擊“我的電腦”或“計算機”圖標，執行快捷菜單中的“管理”命令，在計算機管理窗口中，將鼠標定位到“服務和應用程序”、“服務”節點上，找到IPsec Policy Agent 服務，并打開該服務的屬性對話框，點擊“啟動”按鈕，同時將啟動類型選擇為“自動”，確認后保存設置操作。

為便于單位員工訪問內網資源，不少單位都部署了虛擬專用服務器，員工通過虛擬專用連接就能遠程訪問內網資源。不過，虛擬專用連接需要通過外網才能完成，這容易給單位內網帶來安全威脅，請問怎樣保護虛擬專用連接安全？

答：首先對虛擬專用連接加強密碼認證，因為密碼是一種十分有效的認證形式，只有知道密碼的用戶，才能正常通過虛擬專用連接進行遠程訪問。

目前虛擬專用連接可以采用身份認證技術、加解密技術、隧道技術、密鑰管理技術等來確保網絡連接安全，其中在用戶身份驗證安全技術方面，虛擬專用連接主要是通過PPP 協議用戶級身份驗證的方法來進行驗證，這些驗證方法包括質詢握手身份驗證、密碼身份驗證、可擴展身份驗證、Shiva 密碼身份驗證等。在數據加密和密鑰管理方面，虛擬專用連接采用MPPE 加密算法和IPSec機制加密上網數據，同時采用公、私密鑰對的方法管理密鑰內容。

其次啟用安全策略。通常來說，要是單位內網允許用戶進行遠程訪問操作，常常會對這些訪問用戶應用事先定義好的安全策略，確保遠程訪問操作不會威脅內網安全。要是單位內網使用了一些標準的操作系統，那么也必須要求遠程訪問用戶使用同樣的安全標準。例如，單位內網要求每位員工都要安裝殺毒軟件，并且定期下載更新病毒數據庫，那么我們也要強制遠程訪問用戶滿足這些運行要求。

第三進行日志跟蹤。為了及時發現虛擬專用連接中的異常問題，我們必須加強對這種連接操作進行日志跟蹤記錄。一旦遇到不正常現象時，只要打開系統事件查看器，找到相關日志記錄，快速定位虛擬專用連接的時間日期、目的地址、源地址，通過這些信息找到具體的故障原因。除了要對網絡登錄行為進行監控記錄外，還應該盡可能地監控連接會話信息。要是意外遇到安全事故時，那么可以利用的信息源就比較多，找到具體原因的速度就比較快。而且更為重要的是，倘若網絡中事先部署了預防監控措施，那么日志記錄中的任何異常現象，都能被網管員及時發現，這樣安全威脅程度將會始終處于可控狀態。

以前，筆者在自己的筆記本中，使用虛擬專用客戶端軟件，可以輕松訪問單位虛擬專用服務器中的數據信息。近日，筆者下載安裝了360 安全衛士，一次偶然的重新啟動后，看到虛擬專用客戶端軟件無法與單位內網中的虛擬專用服務器建立連接了。不知道是什么原因？請問如何解決該故障？

答：由于問題是在安裝360安全衛士后出現的，這說明問題多少與該軟件有關，很可能是360 安全衛士自動優化惹的禍。進入360 安全衛士主操作窗口，切換到阻止列表，檢查虛擬專用 Service 選項是否被優化禁用了，只要取消這項禁用設置，就能解決上述問題！

為什么與國外虛擬專用服務器建立連接后，訪問國內網頁速度會變得很慢？

答：因為與國外虛擬專用服務器建立連接后，本地網絡出口就相當于自動變成了國家帶寬出口，所以我們在連接國外虛擬專用服務器的狀態下，訪問國內網站頁面的速度自然是十分緩慢的，整個訪問過程需要先從國內連接到國外，再從國外返回到國內。倘若是訪問國外網頁時，此時線路方式從國內直接傳輸到國外是相對最快的。此外，還取決于我們所選的線路距離，倘若我們使用的是外國的通信線路，那么瀏覽自己國內的網頁肯定很慢。

很多時候，需要記憶的登錄賬號與密碼比較多，例如進行虛擬專用連接時，需要輸入賬號與密碼，請問如何高效記憶它們呢？

答：在Vista 以上版本系統中，利用系統新增加的“憑據管理器”功能，可以高效記憶各類賬號與密碼。

在使用該功能記憶賬號與密碼時，依次單擊“開始”、“控制面板”命令，雙擊“憑據管理器”圖標，點擊其后界面中的“添加Windows 憑據”按鈕，彈出添加憑據對話框，在“目標地址”位置處輸入需要訪問的主機或站點地址，之后輸入登錄賬號與密碼，再按“確定”按鈕即可，如此一來日后在共享訪問或虛擬專用連接時，不用再次輸入登錄賬號與密碼，就能快速進行訪問了。

請問為什么Windows 2008系統會選用遠程服務網關功能，來對服務器進行網絡啟動或管理，而不選用傳統的遠程桌面連接或虛擬專用連接方式？

答：大家知道，將服務器中的重要資源暴露在Internet網絡中，可能會存在很大的安全隱患。利用遠程桌面連接方式，對服務器進行網絡啟動或管理時，需要開放服務器3389的TCP 端口，使用虛擬專用連接方式進行網絡啟動或管理時，實施起來并不太方便，因為不少公共Internet 無線上網節點并沒有開啟PPTP 或L2TP通信端口，同時有的公共網絡也不能正常初始化虛擬專用連接。

與之前的兩種遠程連接方式相比，Windows 2008 系統的遠程服務網關功能，既安全又通用，它將RDP 封裝在HTTPS中，網管員能利用HTTPS 的端口TCP 443 與遠程服務網關服務器建立連接，遠程服務網關對普通計算機系統進行身份驗證，從HTTPS 中解壓RDP，之后在TCP 3389 端口上將連接轉發給目標資源。通過遠程服務網關，普通計算機系統只需要訪問TCP 443 端口，就能與遠程服務器建立一個安全的RDP會話。此外，善于利用遠程服務網關的身份驗證功能，可以有效提升網絡啟動或管理的安全性。

如果虛擬專用服務器沒有開通遠程接入功能，那么虛擬專用客戶端用戶不管如何連接，都不能訪問虛擬專用服務器中的內容。請問怎樣查看虛擬專用服務器有沒有開通遠程接入功能？

答：首先以系統管理員權限登錄虛擬專用服務器系統，依次單擊“開始”、“程序”、“管理工具”、“路由和遠程訪問”選項，切換到路由和遠程訪問控制臺窗口，右擊該窗口左側列表中的虛擬專用服務器主機名稱，點擊右鍵菜單中的“屬性”命令，彈出目標主機的屬性對話框。點選“常規”標簽，在其后彈出的標簽設置頁面中，看看“遠程訪問服務器”選項有沒有被選中，一旦看到它沒有處于選中狀態時，那就說明虛擬專用服務器還沒有開通遠程接入功能，此時只要及時將它重新選中，確認后保存設置操作，這樣虛擬專用服務器就能支持普通用戶進行虛擬專用連接了。

虛擬專用網絡在傳輸數據時，會通過加密技術將一臺計算機要發送的數據進行編碼后，傳輸給另一臺計算機，而后者必須通過解碼才能訪問數據內容。虛擬專用支持公鑰加密技術和對稱密鑰加密技術，請問這兩種技術有什么特點？

答：公鑰加密技術結合使用了公鑰和私鑰。公鑰由用戶自己的計算機提供給其他任何希望進行安全通信的計算機，私鑰只有用戶自己的計算機知道，如果要解碼被加密的數據信息，計算機一定要使用發送方的計算機提供的公鑰以及它自己的私鑰。

對稱密鑰加密技術要求每臺計算機都有一個密鑰，用于對通過網絡發送到另一臺計算機的信息包進行加密。對稱密鑰要求用戶知道將要進行通信的計算機是哪一臺，以便在每臺計算機上安裝密鑰。對稱密鑰加密實際上與密碼相同，兩臺計算機都必須知道密碼才能對信息進行解碼。