虚拟专用网络和Windows-Server-2003：部署站点到站点VPN.doc

虚拟专用网络和Windows Server 2003：部署站点到站点VPN 简 介 1 Windows Server 2003站点到站点VPN的组件 5 部署基于PPTP的站点到站点VPN连接 21 部署基于L2TP/IPSec的站点到站点VPN连接 29 附录A：配置防火墙和Windows Server 2003 VPN路由器 37 附录B：候补配置 42 附录C：故障诊断 44 总 结 53 相关链接 53 简 介 虚拟专用网（VPN）是专用网络的扩展，它跨越共享或公共网络（例如 Internet）建立链接。通过VPN，您可以跨越一个共享或公共网络，以模拟点到点专用链接（例如基于电信运营商的长距离广域网[WAN]链接）的方式在两台计算机间传输数据。创建和配置一个虚拟专用网络的具体行动被称为虚拟专用网链接。 为了模拟点到点链接，需要使用一个带有路由信息的数据报头对数据进行封装，以便允许数据通过共享或公共网络到达其目的地。为了模拟一条专用链接，出于安全性考虑，数据将进行加密。如果没有密钥，即使在共享或公共网络截取到数据包也无法对其进行解读。对专有数据进行封装和加密的逻辑链接便是一个 VPN 链接。图1展示了 VPN 连接的逻辑示意图。 图1 VPN 连接的逻辑示意图 现在，在家中或旅途中工作的用户可以通过公共网络（例如 Internet）所提供的基础构架，使用 VPN 连接与企业服务器建立远程访问连接。从用户的角度来看，VPN 连接是一个计算机（VPN 客户端）和企业服务器（VPN 服务器）之间的点到点连接。对他们来说，并不关注共享或公共网络的确切基础构架，因为数据似乎是通过一个专门的专用链接来进行传输的。 企业也可以使用 VPN 连接来建立跨越公共网络（例如 Internet）的站点到站点连接，将位置分散的办公室或其他公司连接在一起，并同时保证安全的通讯。从逻辑上来看，站点到站点 VPN 连接将作为一个专门的 WAN 链接进行运作。 通过远程访问和站点到站点连接，企业就可以使用 VPN 连接与 Internet 服务提供商（ISP）进行交易，将远程拨号或租用线路转换为本地拨号或租用线路。 在 Windows Server 2003 操作系统中，有两种类型的基于 PPP 的站点到站点 VPN 技术： 1. 点到点隧道协议（PPTP） PPTP 利用用户级别的点到点协议（PPP）身份验证方式和 Microsoft 点到点加密（MPPE）进行数据加密。 2. 具有 Internet 协议安全（IPSec）的第二层隧道协议（L2TP） 具有 IPSec 的 L2TP (L2TP/IPSec) 利用用户级别的 PPP 身份验证方式和 IPSec 来实现使用证书的计算机身份验证，并确保数据的身份验证、完整性和加密。 注意: 在采用 IPSec 隧道模式实现站点到站点 VPN 连接时，可以使用运行 Windows Server 2003 的计算机。由于 IPSec 隧道并不是数据包转发和接收的逻辑接口，因此无法在 IPSec 隧道上运行路由协议。用于站点到站点 VPN 连接的 IPSec 隧道配置有着很大的差别，我们将不在本文中进行讨论。详细信息，请参阅Microsoft 知识库中的252735－如何在 Windows 2000 中配置 IPSec 隧道 对于加密，您可以选择链接加密，或者在链接加密以外再进行端到端加密： ● 链接加密只针对路由器之间链接上的数据。对于PPTP连接而言，您在使用 MPPE 时必须结合 MS-CHAP、MS-CHAP v2 或 EAP-TLS 身份验证。而对于L2TP/IPSec 连接，则由 IPSec 为路由器之间的链接提供加密。 ● 端到端加密对数据源主机和最终目的地之间的数据进行加密。在建立了站点到站点的 VPN 连接后，您可以使用IPSec来对从数据源主机发送到目标主机的数据进行加密。 Windows Server 2003 中的请求拨号路由 (Demand-Dial Routing)：概述 Windows Server 2003 路由和远程（Routing and Remote Access）服务支持通过拨号连接（例如模拟电话线路或 ISDN）、VPN 连接和 PPP over Ethernet (PPPoE) 连接的请求拨号路由（也称为“按需拨号路由”）。请求拨号路由是跨越点到点协议（PPP）链接的数据包转发。在Windows Server 2003 路由和远程访问服务中，这种 PPP 链接将作为请求拨号的接口，用来创建跨越拨号、非永久或永久媒介的请求连接。请求拨号连接允许您在低流量情况下使用拨号电话线路，而不是采用租用线路；并利用 Internet 的连通性，通过 VPN