让资源可随处访问——建立VPN服务器
数字办公
现在的企业常会遇到这样的问题:如果只在总部建立一个局域网,那么只有总部的电脑间可以进行资源的共享,其他分支机构的电脑要访问总部局域网内的电脑该怎么办呢?比如在公司总部有一台内部FTP服务器,里面保存了很多办公资料,如果用户出差在外,而又需要访问这台服务器又该怎么办?
上述问题唯一的解决办法就是延伸局域网,有三种方法:
1.建立一条专门的线路和总部进行连接,但是这是大多数企业都无法做到的,因为费用相当的高昂;
2.将FTP服务器发布在互联网上,但是这样做是相当危险的,因为你的资料随时可能被窃取;
3.最后一种方法就是使用VPN,即我们通常说的虚拟专用网络。使用VPN价格低廉,只要电脑可以接入到互联网就可以访问单位的内部网。
下面我们就以Windows Server 2003为例,介绍如何建立VPN服务器并完成多种系统的客户端的设置。
小知识:VPN服务器
VPN服务器是连接外部网和内部网的一台接入服务器,所以在VPN上必须有两块网卡,并且其中的一块网卡具有一个公网的固定IP,在本文中将此卡称作A;另一块网卡具有内部的IP,在本文中称作B,B网卡将和一台独立的FTP服务器进行连接。IP地址的设置是很简单的,在A中将IP地址设置为公网IP,在B将IP地址设置为内部IP即可。
一、建立VPN的前提
在Windows2003安装的时候VPN服务程序就已经被安装了,只是它被集成到“路由和远程访问服务器”控制中,不过在进行VPN配置的时候我们必须关闭Windows2003的防火墙服务,因为系统的防火墙服务会阻碍VPN的连接。方法是打开服务窗口,然后找到“Windows Firewall/Internet Connection Sharing (ICS)”项,“禁止”该服务。
接着就可以开始进行VPN服务器的设置了,要建立一个VPN需要具备下面的条件:
●虚拟专用网服务器
可以配置VPN服务器以提供对整个网络的访问,或限制仅可访问作为VPN服务器的计算机的资源。在Windows2000/2003中都提供了此功能,并且两者的配置方法是相同的。
●VPN 客户端
VPN 客户端是获得远程访问VPN连接权限的个人用户或获得路由器到路由器VPN连接权限的路由器。运行Windows Server 2003家族产品、Windows XP、Windows 2000/98/ME的系统都可以创建到VPN服务器的VPN连接。
●远程访问协议
这个协议就是VPN访问协议,无须做特殊的设置,完成了服务器和客户端的配置后协议将在连接时自动生效。
当然对于VPN的连接个数也不是无限制的,在不同的服务器版本中有不同的限制:在 Windows Server 2003 Web Edition 和 Windows Server 2003 Standard Edition 上连接个数为1000个,当数目超过1000后后面的用户连接将被禁止。而Windows Server 2003企业版本却没有限制。
二、配置VPN服务器
到目前为止VPN的相关知识已经足够了,下面就可以通过“开始→管理工具→路由和远程访问”启动路由和远程访问控制窗口进行VPN的设置。在控制窗口中右击服务器名然后点击“配置并启用路由和远程访问”项(图1)。
在出现的欢迎窗口中点击“下一步”,在“配置”窗口选择“远程访问(拨号或VPN)”并点“下一步”。在进入“远程访问”窗口后选中“VPN”项,然后点击“VPN”并点“下一步”。
进入网卡选择窗口,由于本文的公网IP建立在“本地连接”上,也就是前面说的网卡A,所以这里选择“本地连接”,并点“下一步”。
随后进入IP设置选择窗口,这里的IP设置指的是,当客户通过VPN接入后分配到的IP地址,就像以前我们通过Modem拨号上网,当连接成功后会给Modem分配一个IP地址。由于本文没有建立自动分配IP服务器,即DHCP服务器,所以这里选择“来自一个指定的地址范围”,并点下一步。进入地址指定窗口,点击“新建”,接着在新建窗口中输入IP的开始和结束地址,并点“确定”,完成这里的设置后就一路“下一步”直到完成。
这样VPN服务器就设置好了,但是还要注意为每个用户设置一个账户。
三、设置VPN客户端
通过上面的几步就完成了VPN服务器的设置,下面可以开始对客户电脑进行设置了。
1.Windows 2000/XP系统
对于Windows 2000/XP系统,在客户电脑创建一个新的网络连接,接着将出现一个向导。随后选择“连接到我的工作场所的网络”并点“下一步”。
在“网络连接”窗口中,选择“虚拟专用网络连接”并点“下一步”,接着就是输入公司名、公网服务器地址,这样一直到完成就结束了客户端的操作。
现在在客户端中打开网络连接窗口,就可以看到一项“虚拟专用网连接”,双击这个“虚拟专用网连接”,此时会出现一个连接窗口,在窗口中输入用户名和密码就可以了。
2.Windows98/Me系统
Windows98/ME的VPN客户端的配置要稍微复杂一些。
(1)进入Windows98系统,首先需要安装“虚拟专用网络”服务。在控制面板的“网络”下,进入“通讯”即可找到此项并添加上去;安装完成之后再根据提示重新启动计算机。
(2)重新启动之后,在控制面板的“网络”中就有了“Microsoft 虚拟私人网络适配器”,这说明VPN服务已安装成功(图2)!
(3)还需要建立到VPN服务器的连接。首先进入“我的电脑”→“拨号网络”中,双击“建立新连接”,然后在“请键入对方计算机的名称”输入连接名,比如为“VPN连接”,在“选择设备”下一定不要忘了选中“Microsoft VPN Adapter”项!再“下一步”。
(4)接着出现“请输入VPN服务器的名称或IP地址”,在其下的文字框中输入VPN服务器的公网IP地址,再根据提示操作即可建立成功!
(5)然后在“拨号网络”中双击刚才建立好的“VPN连接”图标,再输入相应的用户名和密码,再按“连接”按钮即可。
小提示: 就目前而言,有些VPN服务器使用Linux作为平台,同时这些VPN服务器不是独立的,而是和专业的防火墙集成,这样提供了更高的安全性。微软还推出了一个叫做ISA的服务器软件,此软件是一款运行在Windows平台下,集成了VPN功能的防火墙,并且提供了更为专业的VPN解决方案。
四、最常见的故障
另外在使用VPN时最容易出现的一个故障就是ADSL Modem“作怪”,由于在使用VPN连接时通常会为VPN客户分配一个内网IP地址,而这个地址通常是10或192.168开头的私有IP,此时VPN客户很可能无法连接内网。但是在更换了另一个品牌的ADSL Modem后就一切正常了。
出现这个问题的原因是ADSL Modem有一个内部IP,这个IP是用于访问ADSL Modem的设置页面的,此IP通常也是用10和192.168开通的IP地址。如果这个IP地址与服务器的IP地址位于不同网段中,那么将导致VPN访问失败。
要解决这个问题可以打开ADSL Modem的控制界面修改其IP地址,将ADSL Modem的IP地址修改为VPN的内网IP地址段,并关闭DHCP功能(图3)。
