1、Windows 2000的VPN技術(shù)為電子商務(wù)架橋徐昊 俊娜 企業(yè)在組建自己的企業(yè)內(nèi)部網(wǎng)時，會受到企業(yè)辦公場所的地理位置分布的限制?，F(xiàn)實環(huán)境中，會有一些辦公場所遠(yuǎn)離總部，企業(yè)要構(gòu)成完整的Intranet就得進(jìn)行遠(yuǎn)程連接。這種連接不是效率低確實是費用高，使得企業(yè)的運營成本增加；為了解決那個問題產(chǎn)生了VPN技術(shù)。一、 什么是VPN？VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)），它確實是使遠(yuǎn)程客戶端借用現(xiàn)有公用網(wǎng)的物理鏈路，在需要時鏈接到企業(yè)的Intranet上，從而擴(kuò)展了Intranet的網(wǎng)絡(luò)范圍，降低了Intranet的組建成本，同時計算機(jī)之間的通訊與專用線路上的計算機(jī)

2、通訊具有一樣的安全性。VPN的優(yōu)點：降低成本利用現(xiàn)有的公用網(wǎng)組建的Intranet，要比租用專線或鋪設(shè)專線要節(jié)約開支，而且當(dāng)距離越遠(yuǎn)時節(jié)約的越多。如：某企業(yè)的北京與紐約分部之間的連接，不太可能自鋪專線；當(dāng)一個遠(yuǎn)程用戶在紐約想要連到北京的Intranet，用撥號訪問時，花的是國際長途話費；而用VPN技術(shù)時，只需在紐約和北京分不連接到當(dāng)?shù)氐腎nternet就實現(xiàn)了互聯(lián)，兩邊花的差不多上市話費。便于擴(kuò)展關(guān)于進(jìn)展專門快的企業(yè)來講，VPN就更是不可不用了。假如企業(yè)組建自己的專用網(wǎng)，在擴(kuò)展網(wǎng)絡(luò)分支時，要考慮到網(wǎng)絡(luò)的容量，架設(shè)新鏈路，增加互聯(lián)設(shè)備，升級設(shè)備等；而實現(xiàn)了VPN就方便多了，只需連接到公用網(wǎng)上，對

3、新加入的網(wǎng)絡(luò)終端在邏輯上進(jìn)行設(shè)置，也不需要考慮公用網(wǎng)的容量問題、設(shè)備問題等。便于治理鏈路中的設(shè)備由ISP進(jìn)行治理，企業(yè)網(wǎng)的治理員只需維護(hù)與ISP的鏈接，不需參與這些設(shè)備的治理，大大減少了治理工作量。VPN的缺點：速度比較慢，安全性與內(nèi)部網(wǎng)相比要差一些二、 Windows 2000 VPN的技術(shù)要點在Windows 2000 VPN網(wǎng)絡(luò)中，由于信息是在公用網(wǎng)上進(jìn)行傳輸?shù)模踩跃统闪说谝恢匾蛩亍indows 2000 VPN網(wǎng)絡(luò)通過以下幾項技術(shù)解決了那個問題：網(wǎng)絡(luò)隧道（Tunneling）隧道技術(shù)是讓通信終端間能建立邏輯上的點對點網(wǎng)絡(luò)連接。Windows 2000 VPN網(wǎng)絡(luò)支持Point

4、to Point Tunneling Protocol(PPTP)和Layer 2 Tunneling Protocol (L2TP)網(wǎng)絡(luò)隧道連接協(xié)議，它們PPTP、L2TP工作于OSI的第二層。加密(Encryption)加密技術(shù)是將欲傳送的信息進(jìn)行重計算得到新非標(biāo)準(zhǔn)編碼，使得只有擁有合法的密鑰者才能夠解讀其中的真實信息。Windows 2000 VPN網(wǎng)絡(luò)中加密技術(shù)依據(jù)加密鑰匙的長度不同有：40-bit DES（密鑰40位長）、DES（64位）、3DES（128位）。3身份認(rèn)證(User Authentication)身份認(rèn)證技術(shù)用來驗證接收者和發(fā)送者的真實身份。Windows 2000

5、VPN網(wǎng)絡(luò)中身份認(rèn)證可使用EAP、MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP等認(rèn)證方法。4封包認(rèn)證(Packet Authentication)封包認(rèn)證是用來確保數(shù)據(jù)的完整性及確認(rèn)數(shù)據(jù)未被黑客修改過。Windows 2000 VPN網(wǎng)絡(luò)中的封包認(rèn)證協(xié)議通過IP Sec來實現(xiàn)，其中用MD-5（128位）或SHA（160位）保證數(shù)據(jù)的完整性，用DES或3DES算法來加密數(shù)據(jù)。三、 Windows 2000 VPN的實現(xiàn)VPN產(chǎn)品可分硬件式VPN系統(tǒng)和軟件式VPN系統(tǒng)。Windows 2000屬于軟件式的VPN系統(tǒng)。1 實現(xiàn)的條件對硬件的要求 關(guān)于Windows 2000 VP

6、N Server：由于加密、解密使得對CPU有較高的要求，其它配置滿足Windows 2000 Server的需求即可。 關(guān)于VPN Client：沒有專門要求 對軟件的要求 關(guān)于Windows 2000 VPN Server：操作系統(tǒng)自然是Windows 2000 Server 關(guān)于VPN Client： Windows 95：需要Dial-Up-Networking (DUN) 1.3組件 Windows 98：不需要其它組件 Windows NT 4.0：SP3以上的服務(wù)包 Windows 2000：不需要其它組件 其它條件 關(guān)于Windows 2000 VPN Server：必須使用T

7、CP/IP協(xié)議，最好擁有一個合法的靜態(tài)IP地址；動態(tài)IP地址也能夠，但需要客戶端每次連接都需重新設(shè)置； 關(guān)于VPN Client：必須使用TCP/IP協(xié)議，需連入Internet 2 實現(xiàn)的方式Point to End網(wǎng)絡(luò) End to End網(wǎng)絡(luò) 3 實現(xiàn)步驟Windows 2000 VPN Server端的設(shè)置 首先，設(shè)置Windows 2000 Server與Internet相連，如：ISDN或Modem撥號（過程略） 其次，設(shè)置Windows 2000 Server成為Windows 2000 VPN Server，即“配置并啟用路由和遠(yuǎn)程訪問”。 通過“開始”-“程序”-“治理工具”

8、-“路由和遠(yuǎn)程訪問”選中你的“VPN Server”，右鍵選擇“配置并啟用路由和遠(yuǎn)程訪問”，然后按“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А钡奶崾緛硗瓿稍O(shè)置。 再通過“開始”-“程序”-“治理工具”-“路由和遠(yuǎn)程訪問”，選中你的“VPN Server ”，右鍵選擇“屬性”。 在屬性的五個標(biāo)簽中選擇“常規(guī)”標(biāo)簽中的“遠(yuǎn)程訪問服務(wù)器”和“路由器：用于局域網(wǎng)和請求撥號路由選擇”，如下圖。 在屬性對話框中選擇“安全”標(biāo)簽中的“身份驗證方法”，選擇所需驗證方法，如圖。 在屬性對話框中選擇“IP”標(biāo)簽中的“靜態(tài)地址池”，進(jìn)行地址配置。 Windows 2000 VPN Remote Client端的設(shè)置 首選，設(shè)置

9、Windows 2000連接到Internet 其次，設(shè)置Windows 2000成為Windows 2000 VPN Remote Client。 通過“開始”-“設(shè)置”-“網(wǎng)絡(luò)和撥號連接”-“新建連接”，然后按“網(wǎng)絡(luò)連接向?qū)А钡奶崾具M(jìn)行操作，其中一些要緊參數(shù)設(shè)置如下： “網(wǎng)絡(luò)連接類型”選擇“通過Internet連接到專用網(wǎng)絡(luò)” “目標(biāo)地址”輸入“你的VPN主機(jī)名或IP地址”，IP應(yīng)為Internet合法的 “可用連接”選擇“只是我自己使用此連接” “完成網(wǎng)絡(luò)連接向?qū)А陛斎搿澳憬⒌倪B接名稱” 完成設(shè)置后，可再通過設(shè)置連接的“屬性”，進(jìn)一步完善VPN Remote Client端的設(shè)置，其中

10、可對“安全措施：高級安全設(shè)置”和“網(wǎng)絡(luò)”標(biāo)簽的進(jìn)行設(shè)置來改變安全性，兩個標(biāo)簽的界面如下圖： Windows 2000 VPN Remote Network端的設(shè)置 通過“開始”-“程序”-“治理工具”-“路由和遠(yuǎn)程訪問”選中你的“VPN Server ”，選擇“路由接口”，右鍵選擇“新的請求撥號接口”，然后按“請求撥號接口向?qū)А钡奶崾緛硗瓿稍O(shè)置，其中一些要緊參數(shù)的設(shè)置如下： “連接類型”選擇“使用虛擬專用網(wǎng)絡(luò)連接” “VPN種類”選擇“第2層隧道協(xié)議” “目標(biāo)地址”輸入“你要連接的VPN服務(wù)器的主機(jī)名或IP地址” 假如用撥號連接到Internet上，實際上每臺計算機(jī)有三個IP地址：一個是本地連接，設(shè)置在網(wǎng)卡上的；另一個是ISP分配給Modem的；第三個是RAS服務(wù)器分配給自己及客戶端的。三種IP在通訊時，互不相干，獨立工作，即使相同也可正常工作。 四、與IPSec的結(jié)合IPSec通過對通信的原始