淺談海外基地利用VPN技術(shù)與總部進行信息資源共享

【摘要】 通過利用虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）技術(shù)，實現(xiàn)海外基地與總部之間的信息與數(shù)據(jù)的交換，建立一個良好的交流平臺。本文闡述了通過虛擬專用網(wǎng)絡(luò)系統(tǒng)解決分公司局域網(wǎng)到總公司局域網(wǎng)遠程接入的解決方案，及虛擬專用網(wǎng)絡(luò)網(wǎng)關(guān)是如何通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換來實現(xiàn)遠程訪問，再通過PPTP隧道加密協(xié)議虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器的組網(wǎng)方案，來更好地理解通過VPN技術(shù)的應(yīng)用所帶來的便利及高效。

【關(guān)鍵詞】 VPN技術(shù) PPTP MS-CHAPv2 RRAS 信息資源 共享

一、解決海外基地局域網(wǎng)與總部局域網(wǎng)進行信息共享的方案分析

一般來說，通過Internet網(wǎng)絡(luò)基地局域網(wǎng)遠程接入總部局域網(wǎng)的解決方案有兩種。

第一種方法是把總部局域網(wǎng)的路由器進行端口映射。即通過把總部應(yīng)用服務(wù)器上的內(nèi)網(wǎng)IP地址映射到路由器的公網(wǎng)IP上，這樣基地的計算機就可以通過公網(wǎng)IP來訪問了。但這樣做雖然簡單快捷，卻存在著兩個很大的問題，一是安全問題，二是訪問速度的問題，首先做了端口映射的服務(wù)器，使與本單位不相關(guān)的人員也可以通過同樣的方式對總部服務(wù)器進行訪問，如果按這種方法做后，會給總部服務(wù)器帶來很大的安全隱患，并且由于網(wǎng)絡(luò)擁堵會造成訪問速度可能非常慢。

第二個方法就是在總部局域網(wǎng)與基地局域網(wǎng)之間建立專屬的虛擬專用網(wǎng)絡(luò)（VPN），這也是現(xiàn)在很多大型公司都在采用的方法。虛擬專用網(wǎng)絡(luò)（VPN）就是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，并且要進行加密通訊，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)，它屬于遠程訪問技術(shù)范疇。通過虛擬專用網(wǎng)絡(luò)（VPN）的架設(shè)可以加快訪問速度，提高安全系數(shù)，且造價成本十分低廉。

建立虛擬專用網(wǎng)絡(luò)（VPN）后，總部局域網(wǎng)與基地局域網(wǎng)之間就連接成了一個更大的局域網(wǎng)，基地及異地的移動用戶就可以通過虛擬專用網(wǎng)絡(luò)（VPN）訪問總部局域網(wǎng)服務(wù)器上的應(yīng)用，例如進行視頻電話會議、文件共享、ERP管理系統(tǒng)、共享打印、管理數(shù)據(jù)庫等方面的操作。

二、關(guān)于海外基地與總部使用虛擬專用網(wǎng)絡(luò)（VPN）的實現(xiàn)方式

通常實現(xiàn)虛擬專用網(wǎng)絡(luò)（VPN）的方法有很多種，但常用的有以下四種：

1、硬件VPN：可以通過專用的硬件實現(xiàn)虛擬專用網(wǎng)絡(luò)（VPN）。

2、軟件VPN：可以通過專用的軟件實現(xiàn)虛擬專用網(wǎng)絡(luò)（VPN）。

3、集成VPN：某些硬件設(shè)備，例如路由器、防火墻等，都具有VPN功能，可以通過配置實現(xiàn)虛擬專用網(wǎng)絡(luò)（VPN），但是一般具有VPN功能的硬件設(shè)備通常都會比不具有這項功能的設(shè)備要昂貴。

4、VPN服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法來實現(xiàn)虛擬專用網(wǎng)絡(luò)（VPN）。

通過對上述四種實現(xiàn)虛擬專用網(wǎng)絡(luò)（VPN）的研究分析，再經(jīng)過對其各自優(yōu)缺點的評估，考慮基地分支的計算機設(shè)備較多且相對集中，前三種實現(xiàn)方式顯然更適用于個人和家庭網(wǎng)絡(luò)或中小規(guī)模的商務(wù)網(wǎng)絡(luò)，對基地來說，使用虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器的方式顯然更為適合，我們更希望通過路由器與路由器（route-to-route VPN connection）之間來實現(xiàn)連接，讓總部局域網(wǎng)與基地局域網(wǎng)的計算機真正地實現(xiàn)互聯(lián)互通，所有用戶即便是在異地，但仍然能感覺是在一個大型的局域網(wǎng)中，這時候的虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器我們稱之為“VPN網(wǎng)關(guān)（VPN gateway）”。如圖1所示。

三、關(guān)于海外基地與總部使用虛擬專用網(wǎng)絡(luò)（VPN）的應(yīng)用協(xié)議（以Windows Server 2008服務(wù)器系統(tǒng)為例）

一直以來，我們將處于外網(wǎng)并通過虛擬專用網(wǎng)絡(luò)（VPN）訪問的設(shè)備都統(tǒng)稱為VPN客戶端，那么在Internet公共網(wǎng)絡(luò)中，海外基地的VPN網(wǎng)關(guān)與總部的VPN網(wǎng)關(guān)之間又是如何相互聯(lián)系的呢？我們知道在使用TCP/IP協(xié)議的網(wǎng)絡(luò)中，數(shù)據(jù)的收發(fā)是由封裝各不同的協(xié)議來確定源目標(biāo)的，所以，在Internet網(wǎng)絡(luò)中不同地方的VPN客戶端（或VPN服務(wù)器）與VPN服務(wù)器之間的通訊也需要封裝特殊的協(xié)議，這就是我們所說的專屬于虛擬專用網(wǎng)絡(luò)（VPN）的PPP協(xié)議（Point-toPoint Protocol）。

VPN客戶端（或VPN服務(wù)器）與VPN服務(wù)器之間是要通過Internet網(wǎng)絡(luò)傳輸數(shù)據(jù)的，當(dāng)VPN客戶端（或VPN服務(wù)器）與VPN服務(wù)器之間創(chuàng)建連接（也就是我們所說的建立私有通道）以后，，為了保證傳輸數(shù)據(jù)的安全，我們必須要將經(jīng)過私有通道傳輸?shù)臄?shù)據(jù)進行特殊的加密處理以防止被攔截，如果沒有解密的理論與方法，即便是被攔截也無法解密與讀取。

Windows Server 2008服務(wù)器系統(tǒng)支持的隧道加密協(xié)議有：PPTP（Point to Point Tunneling Protocol）、L2TP/IPSec（Layer Two Tunneling Protocol/Internet Protocol Security）和SSTP（SSL）（Secure Socket Tunneling Protocol）?；嘏c總部在實施虛擬專用網(wǎng)絡(luò)（VPN）解決方案時數(shù)據(jù)加密解密的形式采用了PPTP隧道加密協(xié)議。

遠程的VPN客戶端連接到VPN服務(wù)器時，必須要輸入正確的用戶名和密碼以驗證其身份，如果驗證成功后，VPN用戶就可以通過VPN服務(wù)器訪問授權(quán)下的資源，驗證失敗自然就會被拒絕登陸了。為了防止用戶名和密碼被攔截破解，Windows Server 2008（基地服務(wù)器與總部服務(wù)器現(xiàn)在正在使用的系統(tǒng)） 服務(wù)器系統(tǒng)所支持的身份驗證協(xié)議也完全不同。Windows Server 2008服務(wù)器系統(tǒng)所支持得身份驗證協(xié)議有：PAP、CHAP、MS-CHAP、MS-CHAPv2、EAP、PEAP。其中最基本的驗證協(xié)議是PAP協(xié)議（Password Authentication Protocol），但是最不安全，一般情況下不會采用這種方式。雖然CHAP協(xié)議（Challenge Handshake Authentication Protocol）比PAP協(xié)議要安全一些，但是CHAP協(xié)議不支持客戶端修改密碼，一旦VPN客戶端的身份驗證過期，將無法正常登陸VPN服務(wù)器。較為安全穩(wěn)妥的驗證協(xié)議是MSCHAP v2協(xié)議（Microsoft Challenge Handshake Authentication Protocol Version2）與EAP協(xié)議（Extensible Authentication Protocol），基地實施虛擬專用網(wǎng)絡(luò)（VPN）解決方案時設(shè)置登錄總部VPN服務(wù)器的身份驗證方式采用的是MS-CHAP v2協(xié)議。

四、關(guān)于采用PPTP隧道加密協(xié)議協(xié)議虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器的配置

通常情況下，虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器采用雙網(wǎng)卡結(jié)構(gòu)設(shè)計，外網(wǎng)卡使用公用網(wǎng)絡(luò)IP接入到Internet網(wǎng)絡(luò)中去，內(nèi)網(wǎng)卡則接入到單位內(nèi)部局域網(wǎng)絡(luò)中去。在確定虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器Internet公共網(wǎng)絡(luò)接口及內(nèi)網(wǎng)（單位內(nèi)部局域網(wǎng)絡(luò)）接口均已連接正常后，再開始對虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器進行配置。

在對虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器進行配置的時候，我們首先要先了解一下RRAS（Routing and Remote Access Services）的概念，“RRAS”其顧名思義為路由和遠程訪問服務(wù)，它為兩個主要的網(wǎng)絡(luò)服務(wù)即路由服務(wù)和遠程訪問服務(wù)器提供配置。在配置虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器之前，我們需要以系統(tǒng)管理員（ Administrators）的身份登錄計算機，擁有管理計算機的超級權(quán)限及最高管理權(quán)限。

4.1安裝RRAS

1）依次單擊“開始”、“管理工具”和“服務(wù)器管理器”，即啟動了服務(wù)器管理器。

2）在主窗口的“角色摘要”選項下，單擊“添加角色”。若首次登錄，登錄時在顯示“初始配置任務(wù)”窗口的“自定義此服務(wù)器”選項下，單擊“添加角色”。

3）在“開始之前”頁面上，單擊“下一步”。若以前選擇了“默認情況下將跳過此頁”，則不會顯示此頁。

4）在“服務(wù)器角色”選擇頁上，選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”，此后連續(xù)單擊兩次“下一步”。

5）在“角色服務(wù)”選擇頁上，選擇“路由和遠程訪問服務(wù)”。

6）在“安裝確認”頁面上，請單擊“安裝”。

7）安裝完成后，在“安裝結(jié)束”終止頁中，檢查完狀態(tài)后，請單擊“關(guān)閉”。

4.2在具有RRAS服務(wù)功能的服務(wù)器上為網(wǎng)絡(luò)適配器配置 TCP/IP

在將具有RRAS服務(wù)功能的服務(wù)器配置為遠程訪問服務(wù)器之前，我們必須為 Internet 網(wǎng)絡(luò)接口及內(nèi)網(wǎng)（單位內(nèi)部局域網(wǎng)絡(luò)）接口配置 TCP/IP 并設(shè)置。這里要注意是不能使用自動DHCP來配置虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器的TCP/IP，而應(yīng)當(dāng)手動來配置其TCP/IP。

1）Internet網(wǎng)絡(luò)接口配置TCP/IP（以IPv4為例進行設(shè)置）

（1）在“控制面板”的“網(wǎng)絡(luò)和 Internet”頁面中，單擊“查看網(wǎng)絡(luò)狀態(tài)和任務(wù)”選項。

（2）在“網(wǎng)絡(luò)和共享中心”頁面中，單擊“更改適配器設(shè)置”選項。

（3）在“網(wǎng)絡(luò)連接”頁面中，右鍵單擊要配置的網(wǎng)絡(luò)適配器，然后單擊“屬性”選項。

（4）選擇“Internet 協(xié)議版本 4 （TCP/IPv4）”項目，然后單擊“屬性”選項。

（5）在“常規(guī)”選項卡里，選擇“使用下面的 IP 地址”，然后依次鍵入IP 地址、子網(wǎng)掩碼和默認網(wǎng)關(guān)，IP 地址為ISP分配的公用 IP 地址。

（6）單擊“高級”選項，顯示“高級 TCP/IP 設(shè)置”對話框。

（7）為避免虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器向 Intranet DNS服務(wù)器動態(tài)注冊其 Internet（公用）網(wǎng)絡(luò)接口的公用 IP 地址，在“DNS”選項卡里取消“在 DNS 中注冊此連接的地址”復(fù)選框，一般在默認情況下，此復(fù)選框為選中狀態(tài)。

（8）為避免虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器向 Intranet WINS 服務(wù)器注冊其 Internet網(wǎng)絡(luò)接口的公用 IP 地址，在 “WINS ”選項卡里選中“禁用 TCP/IP 上的 NetBIOS” 復(fù)選框。

（9）單擊“確定”，關(guān)閉所有打開的對話框。

2）內(nèi)網(wǎng)（單位內(nèi)部局域網(wǎng)絡(luò)）接口配置TCP/IP（以IPv4為例進行設(shè)置）

（1）在“控制面板”的“網(wǎng)絡(luò)和 Internet”頁面中，單擊“查看網(wǎng)絡(luò)狀態(tài)和任務(wù)”選項。

（2）在“網(wǎng)絡(luò)和共享中心”頁面中，單擊“更改適配器設(shè)置”選項。

（3）在“網(wǎng)絡(luò)連接”頁面中，右鍵單擊要配置的網(wǎng)絡(luò)適配器，然后單擊“屬性”選項。

（4）在“常規(guī)”選項卡里，選擇“使用下面的 IP 地址”，然后依次鍵入IP地址、子網(wǎng)掩碼和 DNS 服務(wù)器地址，但是要十分注意的是在為虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器的內(nèi)網(wǎng)（單位內(nèi)部局域網(wǎng)絡(luò)）接口配置 IPv4 時，不要為內(nèi)網(wǎng)（單位內(nèi)部局域網(wǎng)絡(luò)）連接配置默認網(wǎng)關(guān)，因為這樣可以極大限度地避免“默認路由”與指向Internet網(wǎng)絡(luò)的“默認路由” 相互之間發(fā)生沖突。

（5）單擊“高級”選項，顯示“高級 TCP/IP 設(shè)置”對話框。

（6）在“WINS”選項卡里，配置WINS服務(wù)器的 IP 地址。

（7）單擊“確定”，關(guān)閉所有打開的對話框。

4.3啟用并設(shè)置RRAS將其安裝配置為虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器

（1）在“開始”菜單的“管理工具”中，單擊“路由和遠程訪問”選項，“路由和遠程訪問”處于禁用狀態(tài)，右鍵單擊，選擇“配置并啟用路由和遠程訪問”打開“路由和遠程訪問服務(wù)器安裝向?qū)А薄?/p>

（2）在“路由和遠程訪問服務(wù)器安裝向?qū)А表撁嬷?，選擇“遠程訪問（撥號或VPN）”，單擊“下一步”，選擇“VPN”，單擊“下一步”，進入“VPN連接”頁面。

（3）在“VPN連接”頁面，選擇連接到公用Internet網(wǎng)絡(luò)的網(wǎng)卡，遠程虛擬專用網(wǎng)絡(luò)（VPN）客戶端將通過此接口連接到該服務(wù)器。同時選中下面 “通過設(shè)置靜態(tài)數(shù)據(jù)包篩選器來對選擇的接口進行保護” 的復(fù)選框，使其僅限 VPN 客戶端需要的端口，以增加服務(wù)器的安全性，由于RRAS 數(shù)據(jù)包篩選器與防火墻不能同時使用，所以只能選擇其一，并且啟用此選項后創(chuàng)建的數(shù)據(jù)包篩選器不允許 Internet網(wǎng)絡(luò)控制消息協(xié)議 （ICMP） 執(zhí)行 。單擊“下一步”。

（4）在“IP地址分配”頁面中，選擇分配VPN客戶端IP地址的方式，因為總部與基地各自擁有一個DHCP服務(wù)器，所以我們選擇“自動”，進行分配，單擊“下一步”。

（5）在“管理多個遠程訪問服務(wù)器”頁面中，因為虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器已經(jīng)加入了域，所以不在需要進行RADIUS的驗證，選擇“否”后，進入“下一步”。

（6）“路由和遠程訪問服務(wù)器安裝向?qū)А背晒Π惭b后，單擊“完成”，同時會出現(xiàn)下面的信息提示框。（圖2）

（7）因為DHCP中繼代理已經(jīng)被開啟，所以展開IPv4下的“DHCP中繼代理”，將DHCP服務(wù)器的IP地址添加進去即可。到這一步為止，虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器配置上的基本設(shè)置才算是基本完成。（因版本上的不同，VPN服務(wù)器的設(shè)置上可能略有不同）

4.4虛擬專用網(wǎng)絡(luò)（VPN）客戶端的設(shè)置（以Windows 7用戶為例）

（1）在虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器上添加本地用戶和組，然后在用戶和組的“屬性”里，在域控制器上授權(quán)允許用戶遠程“撥入”，網(wǎng)絡(luò)訪問權(quán)限里點選“允許訪問”。

（2）在“控制面板”中，單擊“網(wǎng)絡(luò)和共享中心”，在“更改網(wǎng)絡(luò)設(shè)置”選項下，單擊選擇“設(shè)置新的連接或網(wǎng)絡(luò)”。

（3）在“連接到工作區(qū)”里，選擇“使用我的internet連接（VPN）”；在下一頁面中，單擊“我將稍后設(shè)置Internet連接”。

（4）在“鍵入要連接的Internet地址”頁面中，Internet地址添加框里，輸入“VPN服務(wù)器外網(wǎng)卡的IP地址”，目標(biāo)名稱里填寫“VPN連接”。

（5）在“鍵入您的用戶名和密碼”頁面中，輸入允許遠程撥入用戶的用戶名和密碼，“域”選項空著不填，單擊“創(chuàng)建”按鈕，連接成功提示后，虛擬專用網(wǎng)絡(luò)（VPN）撥入連接設(shè)置完成，單擊“關(guān)閉”。

（6）在桌面 上，右鍵單擊配置“網(wǎng)絡(luò)”， 選擇“屬性”，頁面左邊單擊選擇“更改適配器設(shè)置”。

（7）在“VPN連接”上，雙擊打開，填寫提供的虛擬專用網(wǎng)絡(luò)（VPN）撥入用戶的用戶名和密碼，“域”空著不填寫。

（8）繼續(xù)選擇“屬性”，單擊“安全”，在“VPN類型”里，點選“點對點隧道協(xié)議（PPTP）”；在“數(shù)據(jù)加密”中，選擇“需要加密（如果服務(wù)器拒絕將斷開連接）”；在“身份驗證”中， 選擇“MS-CHAP v2”；填寫選擇完畢后，單擊“確定”。 到這一步為止，Windows 7 用戶虛擬專用網(wǎng)絡(luò)（VPN）客戶端的設(shè)置已經(jīng)基本完成了。

虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器的設(shè)置基本完成，基地用戶可以通過虛擬專用網(wǎng)絡(luò)（VPN）與VPN服務(wù)器遠程訪問總部的信息資源了，基地與總部局域網(wǎng)內(nèi)的信息得到了極大的利用。

五、小結(jié)

本研究通過利用虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)及VPN服務(wù)器的組網(wǎng)搭建，使海外基地的局域網(wǎng)服務(wù)器、辦公設(shè)備、遠程員工、移動員工等利用當(dāng)?shù)乜捎玫母咚賹拵ЬW(wǎng)絡(luò)（如WIFI網(wǎng)絡(luò)）連接到總部的局域網(wǎng)絡(luò)，再通過利用隧道加密協(xié)議與身份驗證識別協(xié)議確保了數(shù)據(jù)傳輸?shù)陌踩?，為海外基地與總部之間提供了一種成本低效率高的遠程辦公方案。

參 考 文 獻

[1]小孫村長：《VPN服務(wù)器配置實例解析上篇之PPTP》，網(wǎng)絡(luò)博客，2011年

[2]百度百科：《虛擬專用網(wǎng)絡(luò)》

[3]微軟網(wǎng)站：《路由和遠程訪問服務(wù)》Windows Server