淺談海外基地利用VPN技術與總部進行信息資源共享

【摘要】 通過利用虛擬專用網絡（Virtual Private Network，簡稱VPN）技術，實現海外基地與總部之間的信息與數據的交換，建立一個良好的交流平臺。本文闡述了通過虛擬專用網絡系統解決分公司局域網到總公司局域網遠程接入的解決方案，及虛擬專用網絡網關是如何通過對數據包的加密和數據包目標地址的轉換來實現遠程訪問，再通過PPTP隧道加密協議虛擬專用網絡（VPN）服務器的組網方案，來更好地理解通過VPN技術的應用所帶來的便利及高效。

【關鍵詞】 VPN技術 PPTP MS-CHAPv2 RRAS 信息資源 共享

一、解決海外基地局域網與總部局域網進行信息共享的方案分析

一般來說，通過Internet網絡基地局域網遠程接入總部局域網的解決方案有兩種。

第一種方法是把總部局域網的路由器進行端口映射。即通過把總部應用服務器上的內網IP地址映射到路由器的公網IP上，這樣基地的計算機就可以通過公網IP來訪問了。但這樣做雖然簡單快捷，卻存在著兩個很大的問題，一是安全問題，二是訪問速度的問題，首先做了端口映射的服務器，使與本單位不相關的人員也可以通過同樣的方式對總部服務器進行訪問，如果按這種方法做后，會給總部服務器帶來很大的安全隱患，并且由于網絡擁堵會造成訪問速度可能非常慢。

第二個方法就是在總部局域網與基地局域網之間建立專屬的虛擬專用網絡（VPN），這也是現在很多大型公司都在采用的方法。虛擬專用網絡（VPN）就是在公用網絡上建立專用網絡，并且要進行加密通訊，簡單地說就是利用公用網絡架設專用網絡，它屬于遠程訪問技術范疇。通過虛擬專用網絡（VPN）的架設可以加快訪問速度，提高安全系數，且造價成本十分低廉。

建立虛擬專用網絡（VPN）后，總部局域網與基地局域網之間就連接成了一個更大的局域網，基地及異地的移動用戶就可以通過虛擬專用網絡（VPN）訪問總部局域網服務器上的應用，例如進行視頻電話會議、文件共享、ERP管理系統、共享打印、管理數據庫等方面的操作。

二、關于海外基地與總部使用虛擬專用網絡（VPN）的實現方式

通常實現虛擬專用網絡（VPN）的方法有很多種，但常用的有以下四種：

1、硬件VPN：可以通過專用的硬件實現虛擬專用網絡（VPN）。

2、軟件VPN：可以通過專用的軟件實現虛擬專用網絡（VPN）。

3、集成VPN：某些硬件設備，例如路由器、防火墻等，都具有VPN功能，可以通過配置實現虛擬專用網絡（VPN），但是一般具有VPN功能的硬件設備通常都會比不具有這項功能的設備要昂貴。

4、VPN服務器：在大型局域網中，可以通過在網絡中心搭建VPN服務器的方法來實現虛擬專用網絡（VPN）。

通過對上述四種實現虛擬專用網絡（VPN）的研究分析，再經過對其各自優缺點的評估，考慮基地分支的計算機設備較多且相對集中，前三種實現方式顯然更適用于個人和家庭網絡或中小規模的商務網絡，對基地來說，使用虛擬專用網絡（VPN）服務器的方式顯然更為適合，我們更希望通過路由器與路由器（route-to-route VPN connection）之間來實現連接，讓總部局域網與基地局域網的計算機真正地實現互聯互通，所有用戶即便是在異地，但仍然能感覺是在一個大型的局域網中，這時候的虛擬專用網絡（VPN）服務器我們稱之為“VPN網關（VPN gateway）”。如圖1所示。

三、關于海外基地與總部使用虛擬專用網絡（VPN）的應用協議（以Windows Server 2008服務器系統為例）

一直以來，我們將處于外網并通過虛擬專用網絡（VPN）訪問的設備都統稱為VPN客戶端，那么在Internet公共網絡中，海外基地的VPN網關與總部的VPN網關之間又是如何相互聯系的呢？我們知道在使用TCP/IP協議的網絡中，數據的收發是由封裝各不同的協議來確定源目標的，所以，在Internet網絡中不同地方的VPN客戶端（或VPN服務器）與VPN服務器之間的通訊也需要封裝特殊的協議，這就是我們所說的專屬于虛擬專用網絡（VPN）的PPP協議（Point-toPoint Protocol）。

VPN客戶端（或VPN服務器）與VPN服務器之間是要通過Internet網絡傳輸數據的，當VPN客戶端（或VPN服務器）與VPN服務器之間創建連接（也就是我們所說的建立私有通道）以后，，為了保證傳輸數據的安全，我們必須要將經過私有通道傳輸的數據進行特殊的加密處理以防止被攔截，如果沒有解密的理論與方法，即便是被攔截也無法解密與讀取。

Windows Server 2008服務器系統支持的隧道加密協議有：PPTP（Point to Point Tunneling Protocol）、L2TP/IPSec（Layer Two Tunneling Protocol/Internet Protocol Security）和SSTP（SSL）（Secure Socket Tunneling Protocol）。基地與總部在實施虛擬專用網絡（VPN）解決方案時數據加密解密的形式采用了PPTP隧道加密協議。

遠程的VPN客戶端連接到VPN服務器時，必須要輸入正確的用戶名和密碼以驗證其身份，如果驗證成功后，VPN用戶就可以通過VPN服務器訪問授權下的資源，驗證失敗自然就會被拒絕登陸了。為了防止用戶名和密碼被攔截破解，Windows Server 2008（基地服務器與總部服務器現在正在使用的系統） 服務器系統所支持的身份驗證協議也完全不同。Windows Server 2008服務器系統所支持得身份驗證協議有：PAP、CHAP、MS-CHAP、MS-CHAPv2、EAP、PEAP。其中最基本的驗證協議是PAP協議（Password Authentication Protocol），但是最不安全，一般情況下不會采用這種方式。雖然CHAP協議（Challenge Handshake Authentication Protocol）比PAP協議要安全一些，但是CHAP協議不支持客戶端修改密碼，一旦VPN客戶端的身份驗證過期，將無法正常登陸VPN服務器。較為安全穩妥的驗證協議是MSCHAP v2協議（Microsoft Challenge Handshake Authentication Protocol Version2）與EAP協議（Extensible Authentication Protocol），基地實施虛擬專用網絡（VPN）解決方案時設置登錄總部VPN服務器的身份驗證方式采用的是MS-CHAP v2協議。

四、關于采用PPTP隧道加密協議協議虛擬專用網絡（VPN）服務器的配置

通常情況下，虛擬專用網絡（VPN）服務器采用雙網卡結構設計，外網卡使用公用網絡IP接入到Internet網絡中去，內網卡則接入到單位內部局域網絡中去。在確定虛擬專用網絡（VPN）服務器Internet公共網絡接口及內網（單位內部局域網絡）接口均已連接正常后，再開始對虛擬專用網絡（VPN）服務器進行配置。

在對虛擬專用網絡（VPN）服務器進行配置的時候，我們首先要先了解一下RRAS（Routing and Remote Access Services）的概念，“RRAS”其顧名思義為路由和遠程訪問服務，它為兩個主要的網絡服務即路由服務和遠程訪問服務器提供配置。在配置虛擬專用網絡（VPN）服務器之前，我們需要以系統管理員（ Administrators）的身份登錄計算機，擁有管理計算機的超級權限及最高管理權限。

4.1安裝RRAS

1）依次單擊“開始”、“管理工具”和“服務器管理器”，即啟動了服務器管理器。

2）在主窗口的“角色摘要”選項下，單擊“添加角色”。若首次登錄，登錄時在顯示“初始配置任務”窗口的“自定義此服務器”選項下，單擊“添加角色”。

3）在“開始之前”頁面上，單擊“下一步”。若以前選擇了“默認情況下將跳過此頁”，則不會顯示此頁。

4）在“服務器角色”選擇頁上，選擇“網絡策略和訪問服務”，此后連續單擊兩次“下一步”。

5）在“角色服務”選擇頁上，選擇“路由和遠程訪問服務”。

6）在“安裝確認”頁面上，請單擊“安裝”。

7）安裝完成后，在“安裝結束”終止頁中，檢查完狀態后，請單擊“關閉”。

4.2在具有RRAS服務功能的服務器上為網絡適配器配置 TCP/IP

在將具有RRAS服務功能的服務器配置為遠程訪問服務器之前，我們必須為 Internet 網絡接口及內網（單位內部局域網絡）接口配置 TCP/IP 并設置。這里要注意是不能使用自動DHCP來配置虛擬專用網絡（VPN）服務器的TCP/IP，而應當手動來配置其TCP/IP。

1）Internet網絡接口配置TCP/IP（以IPv4為例進行設置）

（1）在“控制面板”的“網絡和 Internet”頁面中，單擊“查看網絡狀態和任務”選項。

（2）在“網絡和共享中心”頁面中，單擊“更改適配器設置”選項。

（3）在“網絡連接”頁面中，右鍵單擊要配置的網絡適配器，然后單擊“屬性”選項。

（4）選擇“Internet 協議版本 4 （TCP/IPv4）”項目，然后單擊“屬性”選項。

（5）在“常規”選項卡里，選擇“使用下面的 IP 地址”，然后依次鍵入IP 地址、子網掩碼和默認網關，IP 地址為ISP分配的公用 IP 地址。

（6）單擊“高級”選項，顯示“高級 TCP/IP 設置”對話框。

（7）為避免虛擬專用網絡（VPN）服務器向 Intranet DNS服務器動態注冊其 Internet（公用）網絡接口的公用 IP 地址，在“DNS”選項卡里取消“在 DNS 中注冊此連接的地址”復選框，一般在默認情況下，此復選框為選中狀態。

（8）為避免虛擬專用網絡（VPN）服務器向 Intranet WINS 服務器注冊其 Internet網絡接口的公用 IP 地址，在 “WINS ”選項卡里選中“禁用 TCP/IP 上的 NetBIOS” 復選框。

（9）單擊“確定”，關閉所有打開的對話框。

2）內網（單位內部局域網絡）接口配置TCP/IP（以IPv4為例進行設置）

（1）在“控制面板”的“網絡和 Internet”頁面中，單擊“查看網絡狀態和任務”選項。

（2）在“網絡和共享中心”頁面中，單擊“更改適配器設置”選項。

（3）在“網絡連接”頁面中，右鍵單擊要配置的網絡適配器，然后單擊“屬性”選項。

（4）在“常規”選項卡里，選擇“使用下面的 IP 地址”，然后依次鍵入IP地址、子網掩碼和 DNS 服務器地址，但是要十分注意的是在為虛擬專用網絡（VPN）服務器的內網（單位內部局域網絡）接口配置 IPv4 時，不要為內網（單位內部局域網絡）連接配置默認網關，因為這樣可以極大限度地避免“默認路由”與指向Internet網絡的“默認路由” 相互之間發生沖突。

（5）單擊“高級”選項，顯示“高級 TCP/IP 設置”對話框。

（6）在“WINS”選項卡里，配置WINS服務器的 IP 地址。

（7）單擊“確定”，關閉所有打開的對話框。

4.3啟用并設置RRAS將其安裝配置為虛擬專用網絡（VPN）服務器

（1）在“開始”菜單的“管理工具”中，單擊“路由和遠程訪問”選項，“路由和遠程訪問”處于禁用狀態，右鍵單擊，選擇“配置并啟用路由和遠程訪問”打開“路由和遠程訪問服務器安裝向導”。

（2）在“路由和遠程訪問服務器安裝向導”頁面中，選擇“遠程訪問（撥號或VPN）”，單擊“下一步”，選擇“VPN”，單擊“下一步”，進入“VPN連接”頁面。

（3）在“VPN連接”頁面，選擇連接到公用Internet網絡的網卡，遠程虛擬專用網絡（VPN）客戶端將通過此接口連接到該服務器。同時選中下面 “通過設置靜態數據包篩選器來對選擇的接口進行保護” 的復選框，使其僅限 VPN 客戶端需要的端口，以增加服務器的安全性，由于RRAS 數據包篩選器與防火墻不能同時使用，所以只能選擇其一，并且啟用此選項后創建的數據包篩選器不允許 Internet網絡控制消息協議 （ICMP） 執行 。單擊“下一步”。

（4）在“IP地址分配”頁面中，選擇分配VPN客戶端IP地址的方式，因為總部與基地各自擁有一個DHCP服務器，所以我們選擇“自動”，進行分配，單擊“下一步”。

（5）在“管理多個遠程訪問服務器”頁面中，因為虛擬專用網絡（VPN）服務器已經加入了域，所以不在需要進行RADIUS的驗證，選擇“否”后，進入“下一步”。

（6）“路由和遠程訪問服務器安裝向導”成功安裝后，單擊“完成”，同時會出現下面的信息提示框。（圖2）

（7）因為DHCP中繼代理已經被開啟，所以展開IPv4下的“DHCP中繼代理”，將DHCP服務器的IP地址添加進去即可。到這一步為止，虛擬專用網絡（VPN）服務器配置上的基本設置才算是基本完成。（因版本上的不同，VPN服務器的設置上可能略有不同）

4.4虛擬專用網絡（VPN）客戶端的設置（以Windows 7用戶為例）

（1）在虛擬專用網絡（VPN）服務器上添加本地用戶和組，然后在用戶和組的“屬性”里，在域控制器上授權允許用戶遠程“撥入”，網絡訪問權限里點選“允許訪問”。

（2）在“控制面板”中，單擊“網絡和共享中心”，在“更改網絡設置”選項下，單擊選擇“設置新的連接或網絡”。

（3）在“連接到工作區”里，選擇“使用我的internet連接（VPN）”；在下一頁面中，單擊“我將稍后設置Internet連接”。

（4）在“鍵入要連接的Internet地址”頁面中，Internet地址添加框里，輸入“VPN服務器外網卡的IP地址”，目標名稱里填寫“VPN連接”。

（5）在“鍵入您的用戶名和密碼”頁面中，輸入允許遠程撥入用戶的用戶名和密碼，“域”選項空著不填，單擊“創建”按鈕，連接成功提示后，虛擬專用網絡（VPN）撥入連接設置完成，單擊“關閉”。

（6）在桌面 上，右鍵單擊配置“網絡”， 選擇“屬性”，頁面左邊單擊選擇“更改適配器設置”。

（7）在“VPN連接”上，雙擊打開，填寫提供的虛擬專用網絡（VPN）撥入用戶的用戶名和密碼，“域”空著不填寫。

（8）繼續選擇“屬性”，單擊“安全”，在“VPN類型”里，點選“點對點隧道協議（PPTP）”；在“數據加密”中，選擇“需要加密（如果服務器拒絕將斷開連接）”；在“身份驗證”中， 選擇“MS-CHAP v2”；填寫選擇完畢后，單擊“確定”。 到這一步為止，Windows 7 用戶虛擬專用網絡（VPN）客戶端的設置已經基本完成了。

虛擬專用網絡（VPN）服務器的設置基本完成，基地用戶可以通過虛擬專用網絡（VPN）與VPN服務器遠程訪問總部的信息資源了，基地與總部局域網內的信息得到了極大的利用。

五、小結

本研究通過利用虛擬專用網絡（VPN）技術及VPN服務器的組網搭建，使海外基地的局域網服務器、辦公設備、遠程員工、移動員工等利用當地可用的高速寬帶網絡（如WIFI網絡）連接到總部的局域網絡，再通過利用隧道加密協議與身份驗證識別協議確保了數據傳輸的安全，為海外基地與總部之間提供了一種成本低效率高的遠程辦公方案。

參 考 文 獻

[1]小孫村長：《VPN服務器配置實例解析上篇之PPTP》，網絡博客，2011年

[2]百度百科：《虛擬專用網絡》

[3]微軟網站：《路由和遠程訪問服務》Windows Server