《虚拟专用网的创建与实现（八）》青少年科普教育书籍.pdfVIP

下载 第8章 利用Microsoft解决方案的基本VPN 主要内容： • 利用Windows NT 4 实现V P N • 实现检查表 • 加密和验证 • 配置Windows 98 Client 如果你匆忙跳过了第 7章，那么请回去阅读第一部分。那里我们建立了一个范例公司，称 为Vintage Air ，将它作为实现V P N 的基础。本来可以将该范例公司的所有素材拷贝到这里， 但由于篇幅有限，我们就不这样做了。可在第 7 章该范例处放一个书签，以便利用 Wi n d o w s NT 建立该V P N 时容易查阅。 除了我们的模型公司及其网络以外，也能够在第 7章中找到一些适合于建立 VPN ( 无论采 用什么解决方案) 的素材。必须有计划有安排。我们发现没有适当的计划乱动网络只会把事情 搞糟。 因此，假定第7章从开始到题为“实现 Novell NetWare VPN ”一节前的所有内容也都属于 本章前面部分。 8.1 采用具有PPTP协议的NT4的VPN 在技术文章 Q 1 5 4 0 9 1 中，M i c r o s o f t 的工程师定义服务器的能力为接收一个拨号调用并在 调用方启动一个隧道作为强制隧道。然后文章立论，“Windows NT RAS 目前不支持[强制隧 道] 。”而且，我们查看Windows NT4 Service Pack 4 的版本注释，并未发现增加强制隧道为 R A S服务器的新特性。 这一切意味着什么？尽管 M i c r o s o f t 声称你可利用Windows NT 将两个不同L A N 的N T 服务 器连接在一起，但该意图似乎更倾向于拨入用户，即 V P N在客户机和服务器之间而不是在服 务器与服务器之间进行通信。 M i c r o s o f t确实声明其合伙人，其中包括 3 C o m和A S A N T I ，生产 支持强制隧道的基于P P T P协议组的V P N软件，并建议，如果需要使用 P P T P协议实现一个服务 器到服务器的V P N ，应该考虑这些公司。 即然M i c r o s o f t说你可以做，我们就这样做。我们可以使用 I n t e r n e t作为传输介质实现在两 个L A N之间建立安全连接的目的，而且采用 N T 4 进行。必须使用一种迂回的方法将两个 L A N 连接在一起。 8.1.1 模式 当使用P P T P 的M i c r o s o f t 实现时，安全连接由每个单独的客户机工作站到位于希望访问的 数据所在的 L A N 中的P P T P服务器构成。虽然 V P N 的实现依赖于某些与众不同的过程 (例如， 使用拨号网络对L A N进行连接) ，但是一旦理解了其原理，实现起来也是很容易的。 本节使用的V P N解决方案不涉及单独的远程或拨入用户，但每个机构都有许多用户 (或客 第8章 利用M i c ro s o f t 解决方案的基本 V P N使用185 下载 户机) ，这些用户需要访问每个网络中的信息。在这一点上它是一个很好的开端。在一个典型 网络系统中进行实现的例子如图8 - 1所示。 图8 - 1中有几项需要附加的注释： • 不对安全网关进行计数，在增加NT RAS 之前，每个网络都只有一个适当的 Windows NT 服务器。目的很简单，首先，使服务器的数量最少将明显减少复杂性。但是，正如前面 所说的，最好的解决方案是使用两个 N T服务器，一个为R A S独占。 • Microsoft NT4将计算机和组成逻辑域的用户之间的可信关系作为其安全解决方案的基 础。在这一方面， M i c r o s o f t所用的域模型的范围可以从相当简单 (全都共享一个域) 到非 常复杂(有多个可信关系的多个域) 。 以太网交换机 NT RAS 服务器 1 0 B a s e T