论Windows 2000的VPN技术为电子商务架桥

Windows2000的VPN技术为电子商务架桥

徐昊俊娜企业在组建自己的企业内部网时，会受到企业办公场所的地理位置分布的限制。现实环境中，会有一些办公场所远离总部，企业要构成完整的Intranet就得进行远程连接。这种连接不是效率低就是费用高，使得企业的运营成本增加；为了解决这个问题产生了VPN技术。一、什么是VPN？VPN（VirtualPrivateNetwork，虚拟专用网络），它就是使远程客户端借用现有公用网的物理链路，在需要时链接到企业的Intranet上，从而扩展了Intranet的网络范围，降低了Intranet的组建成本，并且计算机之间的通讯与专用线路上的计算机通讯具有一样的安全性。VPN的优点：１．降低成本利用现有的公用网组建的Intranet，要比租用专线或铺设专线要节省开支，而且当距离越远时节省的越多。如：某企业的北京与纽约分部之间的连接，不太可能自铺专线；当一个远程用户在纽约想要连到北京的Intranet，用拨号访问时，花的是国际长途话费；而用VPN技术时，只需在纽约和北京分别连接到当地的Internet就实现了互联，两边花的都是市话费。２．便于扩展对于发展很快的企业来说，VPN就更是不可不用了。如果企业组建自己的专用网，在扩展网络分支时，要考虑到网络的容量，架设新链路，增加互联设备，升级设备等；而实现了VPN就方便多了，只需连接到公用网上，对新加入的网络终端在逻辑上进行设置，也不需要考虑公用网的容量问题、设备问题等。３．便于管理链路中的设备由ISP进行管理，企业网的管理员只需维护与ISP的链接，不需参与这些设备的管理，大大减少了管理工作量。VPN的缺点：速度比较慢，安全性与内部网相比要差一些二、Windows2000VPN的技术要点在Windows2000VPN网络中，由于信息是在公用网上进行传输的，安全性就成了第一重要因素。Windows2000VPN网络通过以下几项技术解决了这个问题：１．网络隧道（Tunneling）隧道技术是让通信终端间能建立逻辑上的点对点网络连接。Windows2000VPN网络支持PointtoPointTunnelingProtocol(PPTP)和Layer2TunnelingProtocol(L2TP)网络隧道连接协议，它们PPTP、L2TP工作于OSI的第二层。２．加密(Encryption)加密技术是将欲传送的信息进行重计算得到新非标准编码，使得只有拥有合法的密钥者才能够解读其中的真实信息。Windows2000VPN网络中加密技术依据加密钥匙的长度不同有：40-bitDES（密钥40位长）、DES（64位）、3DES（128位）。3．身份认证(UserAuthentication)身份认证技术用来验证接收者和发送者的真实身份。Windows2000VPN网络中身份认证可使用EAP、MS-CHAPv2、MS-CHAP、CHAP、SPAP、PAP等认证方法。4．封包认证(PacketAuthentication)封包认证是用来确保数据的完整性及确认数据未被黑客修改过。Windows2000VPN网络中的封包认证协议通过IPSec来实现，其中用MD-5（128位）或SHA（160位）保证数据的完整性，用DES或3DES算法来加密数据。三、Windows2000VPN的实现VPN产品可分硬件式VPN系统和软件式VPN系统。Windows2000属于软件式的VPN系统。1．实现的条件对硬件的要求对于Windows2000VPNServer：由于加密、解密使得对CPU有较高的要求，其它配置满足Windows2000Server的需求即可。对于VPNClient：没有特殊要求对软件的要求对于Windows2000VPNServer：操作系统自然是Windows2000Server对于VPNClient：Windows95：需要Dial-Up-Networking(DUN)1.3组件Windows98：不需要其它组件WindowsNT4.0：SP3以上的服务包Windows2000：不需要其它组件其它条件对于Windows2000VPNServer：必须使用TCP/IP协议，最好拥有一个合法的静态IP地址；动态IP地址也可以，但需要客户端每次连接都需重新设置；对于VPNClient：必须使用TCP/IP协议，需连入Internet2．实现的方式PointtoEnd网络EndtoEnd网络3．实现步骤Windows2000VPNServer端的设置首先，设置Windows2000Server与Internet相连，如：ISDN或Modem拨号（过程略）其次，设置Windows2000Server成为Windows2000VPNServer，即“配置并启用路由和远程访问”。通过“开始”-“程序”-“管理工具”-“路由和远程访问”选中你的“VPNServer”，右键选择“配置并启用路由和远程访问”，然后按“路由和远程访问服务器安装向导”的提示来完成设置。再通过“开始”-“程序”-“管理工具”-“路由和远程访问”，选中你的“VPNServer”，右键选择“属性”。在属性的五个标签中选择“常规”标签中的“远程访问服务器”和“路由器：用于局域网和请求拨号路由选择”，如下图。在属性对话框中选择“安全”标签中的“身份验证方法”，选择所需验证方法，如图。在属性对话框中选择“IP”标签中的“静态地址池”，进行地址配置。Windows2000VPNRemoteClient端的设置首选，设置Windows2000连接到Internet其次，设置Windows2000成为Windows2000VPNRemoteClient。通过“开始”-“设置”-“网络和拨号连接”-“新建连接”，然后按“网络连接向导”的提示进行操作，其中一些主要参数设置如下：“网络连接类型”选择“通过Internet连接到专用网络”“目标地址”输入“你的VPN主机名或IP地址”，IP应为Internet合法的“可用连接”选择“只是我自己使用此连接”“完成网络连接向导”输入“你建立的连接名称”完成设置后，可再通过设置连接的“属性”，进一步完善VPNRemoteClient端的设置，其中可对“安全措施：高级安全设置”和“网络”标签的进行设置来改变安全性，两个标签的界面如下图：Windows2000VPNRemoteNetwork端的设置通过“开始”-“程序”-“管理工具”-“路由和远程访问”选中你的“VPNServer”，选择“路由接口”，右键选择“新的请求拨号接口”，然后按“请求拨号接口向导”的提示来完成设置，其中一些主要参数的设置如下：“连接类型”选择“使用虚拟专用网络连接”“VPN种类”选择“第2层隧道协议”“目标地址”输入“你要连接的VPN服务器的主机名或IP地址”如果用拨号连接到Internet上，实际上每台计算机有三个IP地址：一个是本地连接，设置在网卡上的；另一个是ISP分配给Modem的；第三个是RAS服务器分配给自己及客户端的。三种IP在通讯时，互不相干，独立工作，即使相同也可正常工作。四、与IPSec的结合IPSec通过对通信的原始