置变量,如地址分配,加密或压缩等参数。绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理
隧道的机制。
第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同,第2层隧道协议(PPTP和
L2TP)必须包括对隧道的创建,维护和终止。
隧道一旦建立,数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如,当隧道客户端向服务器端发送
数据时,客户端首先给负载数据加上一个隧道数据传送协议包头,然后把封装的数据通过互联网络发送,并由互联网络将数据路由到隧道的服务
器端。隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目标网络。
隧道协议和基本隧道要求
因为第2层隧道协议(PPTP和L2TP)以完善的PPP协议为基础,因此继承了一整套的特性。
1.用户验证
第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验
证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
2.令牌卡(Tokencard)支持
通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepassword),加密计算器
(cryptographic calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如,IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书
验证。
3.动态地址分配
第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分
配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
4.数据压缩
第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。IETP正在开发应用于第3层隧
道协议的类似数据压缩机制。
5.数据加密
第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方
法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安
全。
6.密钥管理
作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
7.多协议支持
第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP,IPX,或NetBEUI等多种协议企业网络。相反,第3层隧道协议,如
IPSec隧道模式只能支持使用IP协议的目标网络。
我对VPN也有兴趣,在这儿打个小补丁,希望能对大伙有所帮助。
------------------------------------------------------------------------------------------------VPN服务器建议
文章内容: 如果可能的话,请从一台装有最低限度服务且仅含TCP/IP与PPTP协议的NT服务器开始。NT 4.0 Service Packs 5(SP5)与SP6a修正了大量有关PPTP连接的问题,其中包括与碎片数据包、被丢弃的连接以及被拒绝的连接相关的性能问题。如果在尝试对客户端连接进行调试之前首先利用服务软件包对服务器进行更新,那么,您将能够节省大量时间。为帮助您保持简单直接的服务器配置,以便实现故障诊断目的,我将为您提供四条建议。 配置一台多宿主服务器:如果您的PPTP服务器配备了两块网卡,一块针对LAN,一块针对WAN,那么,请将LAN适配器上的网关设置为空(请注意,这里要求设置为空而非设置为0)。在WAN网络接口的网关字段中输入ISP所定义的TCP/IP地址;网关地址通常指向ISP所属的一台路由器。您需要保持LAN网关设置为空,以便使服务器能够将网络数据包路由至客户端。当您为服务器配置多个网络适配器时,保持LAN网关设置为空是一种标准实现方式。如需获取更多有关如何为多宿主服务器配置路由方式的信息,请查看"原先发布的相关文章"中的第XX页。在测试过程中,我建议您手工输入LAN NIC的TCP/IP地址与WINS服务器地址(而不要通过DHCP为其分配这些取值)。 配置RAS:当您安装RAS时,请仅为那些真正需要提供支持的活动客户端连接配置必要数量的VPN端口。尽管每台RAS服务器能够支持256条并行连接(假设您拥有足够支持所有这些活动的网络带宽),然而,在实际应用过程中,您可能只需要为您的漫游用户提供40条并行连接。接下来,将服务器配置为通过静态地址池而非DHCP服务器来分配客户端地址。如果您将RAS配置为从静态地址池中分配客户端地址,那么,客户端将从RAS服务器继承DNS与WINS设置。如果您的RAS服务器能够浏览网络,那么,客户端同样可以利用相同的设置来浏览网络。 如果您倾向于使用DHCP,请确保DHCP范围选项44(WINS/NetBIOS名称服务器)指向WINS服务器且范围选项6显示您的DNS服务器地址。如果未能定义这些选项,那么,您将几乎肯定会在客户端浏览过程中遇到问题。 启用PPTP过滤功能:由于可以避免测试与调试链中的某个连接被防火墙删除,因此,同对处在防火墙内部的服务器进行测试相比,对处于防火墙外部的VPN服务器进行配置与测试要容易得多。如果在具备高度安全性的环境中运行服务器,您便可以放心的将服务器置于防火墙外部并将允许进入的唯一VPN通信内容限制为PPTP数据包。如屏幕快照1所显示的那样,如需从控制面板中启用PPTP过滤功能,请依次选择"网络"、"协议"、"TCP/IP协议"、"WAN适配器"、"高级",并选中"启用PPTP过滤功能"复选框。当您启用PPTP过滤器后,服务器拒绝所有非PPTP请求。我曾经对这项特性进行过专门测试,事实证明,这是一种能够对进入VPN连接会话加以限制的有效方式。PPTP过滤功能具有一个重要的副作用:当您启用过滤功能后,由于其阻挡了进入的HTTP与FTP通信内容,LAN客户端将无法通过RAS服务器的WAN连接对Internet进行浏览。 如果希望VPN服务器将允许进入的数据包限制为PPTP数据包并托管一个可以通过Internet进行访问的Web站点,那么,您需要对注册表进行修改以便允许其它数据包通过过滤接口进入本地系统。前往HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RASPPTPF \Parameters注册表键,添加名为AllowPacketsForLocalMachine且数据类型为REG_DWORD的记录项,并将其取值设置为1。当完成此项修改后,RAS服务器将暴露在Internet上,然而进入VPN服务器的连接将受到限制,这样一来,远程客户端将无法看到网络上的任何其它资源。 使用防火墙端口:在将VPN服务器置于防火墙后方之前,请首先确认您的防火墙软件能够接收PPTP数据包。当您通过网络地址转换(NAT)对防火墙进行配置时,防火墙软件包(包括某些支持检查点软件技术的FireWall-1版本)在某些情况下可能无法接受PPTP连接。这种情况下,尝试与RAS服务器建立连接的客户端将报出一条事件编号为721的错误消息--PPP远端未能响应。当您将VPN服务器置于防火墙后方时,请确保启用编号为47的IP协议端口(通用路由封装--GRE)和以及编号为1723的TCP端口。VPN连接使用1723端口完成诸如PPTP隧道创建、维护与终止之类的日常管理工作。47端口则用于在客户端与服务器(包含GRE协议)之间传送隧道数据,如果您希望支持RAS服务器对服务器VPN连接,则同样需要建立编号为1723的TCP端口。 在尝试与VPN客户端建立连接之前,请首先对通信双方NIC上的服务器TCP/IP设置进行验证,并确保您的RAS服务器能够执行所有典型网络操作(例如浏览LAN、连接LAN资源、连接Internet或浏览Internet等)。此后,请针对您的测试帐号启用拨号权限。另外,您可能还需要在最初测试过程中启用PPP日志功能。
用VPN远程接入Win2000局域网
WIN2000下的VPN由PPTP客户机和PPTP服务器构成。在WIN2000局域网中,PPTP服务器是一台运行Windows2000 Server的网络服务器,作为VPN的网关,,接收来自因特网的PPTP封装报文,解析出相应内部网络上的机器名和地址, 并转发给指定的内部网客户。一个异地的PPTP客户机首先通过PPP协议拨入当地的ISP,建立与因特网的连接,然后再通过PPTP方式呼叫远程已接入因特网的企业网络的PPTP服务器,通过安全性验证后即建立起VPN隧道连接。
WIN2000下的VPN配置需在WIN2000局域网的PPTP服务器和远程的PPTP用户计算机两方进行配置。首先必须安装和配置WIN2000 Server 下的PPTP服务器。其过程如下:
WIN2000局域网中用于PPTP的服务器,必须已经安装WIN2000 Server,正确配置TCP/IP网络协议,并有Internet上的一个合法IP地址,而且可以正确连入Internet。然后可以按顺序安装点对点通道协议(PPTP)并配置VPN用户。
Windows 2000 设置 :
a. 建立Internet连接
可通过各种线路上网,如通过拨号上"81890"
b. 建立虚拟专用网连接
点击"开始/设置/网络和拨号连接",双击"新建连接"图标:选择"通过Internet联接到专用网络"然后选"自动拨此联接"和"所有用户使用此联接"。然后完成!此时会出现"虚拟专用连接属性" 此时连接虚拟专用网,可能因"远程计算机不支持所要档的数据加密类型"而断线,请将"要求数据加密(没有就断开)"去掉,再重拨就可成功连接虚拟专用网络。
c. 创建IP安全策略
Win2000 Server:开始/程序/管理工具/本地安全策略
创建IP安全策略----à激活默认响应规则-à给出交换密钥
d. 用户设置
开始/程序/管理工具/计算机管理
创建新用户————>给出权限,然后编辑属性,如下
注意:静态路由不用
e. 4启用路由和远程网络访问设置
开始/程序/管理工具/路由和远程网络访问
请注意:上面的和下面的那个加密协议只要PAP,否则你可能通过不了
注意:下面的这个图中的静态路由就不要了
所有的都设好了,你就可以开始创建到ISP和VPN的拨号连接。而要配置Win98下的PPTP客户机,必须建立两个拨号网络连接。一个用于连接ISP,另一个用于连接远程Win2000局域网的PPTP服务器。
1)建立到ISP的拨号网络连接。由于比较简单,就不再介绍了。
2)建立到Win2000局域网的拨号网络连接。
双击"我的电脑",双击"拨号网络",然后单击"创建新的连接"。在"选择设备"中,单击"Microsoft VPN Adapter",然后单击"下一步"。在"主机名或IP地址"中,键入待连接网络的PPTP服务器的名称或IP地址。单击"下一步",然后单击"完成"。
当以上工作都完成后,就可以安全地通过拨号连接访问远程的Win2000局域网了。首先双击"我的电脑",然后双击"拨号网络"。双击到ISP的连接,键入ISP分配的用户名和密码,然后单击"连接"。成功登录到Internet账号后,单击指向Win2000局域网的连接,键入在域名管理器中设置的用户名和密码,然后单击"连接",即可连入远程的Win2000局域网。
疑难解答
1, 请你注意你的传入设置的属性中的用户是不是没有被选中,
2, 你的加密认证方式不要太高,选PAP最好,如果双方都是WIN2000,你的加密方式才可以高一些,这是由于win98同win200有些不兼容的原因
3, 我用win2000做server时是用ISDN做的,用单机上ISDN也可以,也可以用路由器,但是要设DMZ方式,这个你是知道的,我就不多说了。
如出现表示"无法到达指定目的地"的错误消息
验证客户机是否已连接到网络。测试是否能联系到远程服务器:
1. 单击开始,指向程序,再指向附件,然后单击命令提示符。
2. 如果该服务器是网络的一部分,则键入:
ping servername
3. 如果该服务器在 Internet 上,则键入:
ping servername
如果 ping 请求超时,则尝试 ping 远程服务器的 IP 地址,看看是否存在"域名系统 (DNS)"名称解析问题。 如果能联系到服务器,但无法成功进行身份验证
验证所使用的用户帐户是否已被授予拨入权限,并且是否已通过 Active Directory 进行身份验证。您所联系的远程访问服务器必须是"RAS 和 IAS 服务器"组的成员
如果远程计算机不支持所要的数据加密类型而断线,请将虚拟专用连接属性中的安全措施中的要求数据加密(没有就断开)选项去掉。然后重拨就可以连接虚拟专用网络。
VPN网络应用答疑-转贴
文章内容: (1)问:VPN网络建立成功之后,VPN客户机如何访问VPN服务器和VPN服务器所在的局域网?答:像普通局域网一样,相互之间可以通过"网上邻居",或者直接在任意窗口地址栏输入"\\对方IP地址"(如"\\100.100.100.3")等方式来访问对方共享出的软硬件资源。南山(2)问:VPN网络建立成功之后,VPN客户机便不能访问Internet了。如何才能做到VPN网络访问和Internet访问两不误?南山答:这是因为VPN客户机系统使用了VPN服务器所定义的网关来覆盖了原有的网关,从而切断了VPN客户机访问Internet的路径。解决方法是禁止VPN客户机使用VPN服务器上的默认网关。具体操作方法如下:南山①对于Win2000客户机,在"网络和拨号连接"窗口中,先选中相应的连接名,比如为"到公司总部",单击右键,选"属性"打开"到公司总部 属性"窗口。再转到"网络"选项卡,双击列表中的"Internet协议(TCP/IP)"打开"Internet协议(TCP/IP)属性"窗口。然后单击"高级"按钮进入"高级TCP/IP设置"窗口的"常规"选项卡,去掉"在远程网络上使用默认网关"前的小勾即可。南山②对于Win98客户机,在"拨号网络"窗口中,先选中相应的连接名,比如为"到公司总部",单击右键,选"属性"打开"到公司总部"窗口。再转到"服务器类型"选项卡,单击"TCP/IP设置"按钮打开"TCP/IP设置"窗口,去掉"使用远程网上的默认网关"前的小勾即可。南山(3)为什么VPN网络建立成功之后,已经建立连接的VPN客户机和VPN服务器(含其下原有的局域网计算机)无法显示在对方的"网上邻居"中?南山答:首先确保VPN客户机和VPN服务器均拥有相同的"工作组"名,然后还需要在VPN服务器与VPN客户端上均安装"NetBEUI"协议(建议同时安装"IPX/SPX"协议)。南山(4)VPN网络建立成功之后,用什么方法可以迅速、全面、直观地查看网络中所有活动计算机的计算机名、占用的IP地址及共享资源?南山答:可以用IP-Tools软件。其下载地址为: http://www.skycn.net/soft/1123.html(1.06MB)。下载之后直接运行即可很容易完成安装。运行IP-Tools的主程序之后单击工具栏左起第4个"NB Scanner"按钮,根据提示输入起始IP地址后,再单击"Start"按钮即可搜索到相应内容