论Windows 2000的VPN技术方案为电子商务架桥.docVIP

Windows 2000的VPN技术为电子商务架桥 徐昊 俊娜 企业在组建自己的企业内部网时，会受到企业办公场所的地理位置分布的限制。现实环境中，会有一些办公场所远离总部，企业要构成完整的Intranet就得进行远程连接。这种连接不是效率低就是费用高，使得企业的运营成本增加；为了解决这个问题产生了VPN技术。 一、 什么是VPN？ VPN（Virtual Private Network，虚拟专用网络），它就是使远程客户端借用现有公用网的物理链路，在需要时链接到企业的Intranet上，从而扩展了Intranet的网络范围，降低了Intranet的组建成本，并且计算机之间的通讯与专用线路上的计算机通讯具有一样的安全性。 VPN的优点： １．降低成本 利用现有的公用网组建的Intranet，要比租用专线或铺设专线要节省开支，而且当距离越远时节省的越多。如：某企业的北京与纽约分部之间的连接，不太可能自铺专线；当一个远程用户在纽约想要连到北京的Intranet，用拨号访问时，花的是国际长途话费；而用VPN技术时，只需在纽约和北京分别连接到当地的Internet就实现了互联，两边花的都是市话费。 ２．便于扩展 对于发展很快的企业来说，VPN就更是不可不用了。如果企业组建自己的专用网，在扩展网络分支时，要考虑到网络的容量，架设新链路，增加互联设备，升级设备等；而实现了VPN就方便多了，只需连接到公用网上，对新加入的网络终端在逻辑上进行设置，也不需要考虑公用网的容量问题、设备问题等。 ３．便于管理 链路中的设备由ISP进行管理，企业网的管理员只需维护与ISP的链接，不需参与这些设备的管理，大大减少了管理工作量。 VPN的缺点： 速度比较慢，安全性与内部网相比要差一些 二、 Windows 2000 VPN的技术要点 在Windows 2000 VPN网络中，由于信息是在公用网上进行传输的，安全性就成了第一重要因素。Windows 2000 VPN网络通过以下几项技术解决了这个问题： １．网络隧道（Tunneling） 隧道技术是让通信终端间能建立逻辑上的点对点网络连接。Windows 2000 VPN网络支持Point to Point Tunneling Protocol(PPTP)和Layer 2 Tunneling Protocol (L2TP)网络隧道连接协议，它们PPTP、L2TP工作于OSI的第二层。 ２．加密(Encryption) 加密技术是将欲传送的信息进行重计算得到新非标准编码，使得只有拥有合法的密钥者才能够解读其中的真实信息。Windows 2000 VPN网络中加密技术依据加密钥匙的长度不同有：40-bit DES（密钥40位长）、DES（64位）、3DES（128位）。 3．身份认证(User Authentication) 身份认证技术用来验证接收者和发送者的真实身份。Windows 2000 VPN网络中身份认证可使用EAP、MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP等认证方法。 4．封包认证(Packet Authentication) 封包认证是用来确保数据的完整性及确认数据未被黑客修改过。Windows 2000 VPN网络中的封包认证协议通过IP Sec来实现，其中用MD-5（128位）或SHA（160位）保证数据的完整性，用DES或3DES算法来加密数据。 三、 Windows 2000 VPN的实现 VPN产品可分硬件式VPN系统和软件式VPN系统。 Windows 2000属于软件式的VPN系统。 1． 实现的条件 对硬件的要求 对于Windows 2000 VPN Server：由于加密、解密使得对CPU有较高的要求，其它配置满足Windows 2000 Server的需求即可。 对于VPN Client：没有特殊要求 对软件的要求 对于Windows 2000 VPN Server：操作系统自然是Windows 2000 Server 对于VPN Client： Windows 95：需要Dial-Up-Networking (DUN) 1.3组件 Windows 98：不需要其它组件 Windows NT 4.0：SP3以上的服务包 Windows 2000：不需要其它组件 其它条件 对于Windows 2000 VPN Server：必须使用TCP/IP协议，最好拥有一个合法的静态IP地址；动态IP地址也可以，但需要客户端每次连接都需重新设置； 对于VPN Client：必须使用TCP/IP协议，需连入Internet 2． 实现的方式 Point to End网络 End to End网络 3． 实现步骤 Windows 2000