【正文】 到此為止，站點對站點的VPN和站點對客戶端的VPN已經(jīng)都建立好了，具體的訪問控制和網(wǎng)絡(luò)規(guī)則都可以隨實際的應(yīng)用而更改。圖513 支部PING通總部內(nèi)部網(wǎng)絡(luò)圖 公司總部站點到移動用戶端的VPN配置總部外部網(wǎng)絡(luò)： 8） 點擊選擇身份驗證方法，選擇Microsoft加密的身份驗證版本2（MSCHAPv2）（M）和允許L2TP連接自定義IPSec策略（L）,輸入預(yù)共享的密鑰main04jsja。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。一般，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP , L2TP 等。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。無論從可擴(kuò)充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。Extranet VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。在這樣的背景下，VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護(hù)，而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn)。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。IPSec即IP安全協(xié)議是目前實現(xiàn)VPN功能的最佳選擇。目前密鑰管理的協(xié)議包括ISAKMP、SKIP、MKMP等。在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec。PPTP/ L2TP協(xié)議的缺點：PM和L2TP 將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺計算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進(jìn)行監(jiān)視或控制。IPSec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。ISA具備了基于策略的安全性，并且能夠加速和管理對Internet的訪問。9） 點擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點擊添加，添加VPN連接后總部主機(jī)分配的給客戶端的IP地址段，點擊確定完成設(shè)置。 IP： 連接測試在VPN客戶端主機(jī)上輸入ipconfig,，說明已連接成功。2．設(shè)置XUMT的連接屬性 右鍵XMUT連接，點擊屬性，在安全頁選擇高級設(shè)置下的IPSEC設(shè)置，在使用預(yù)共享的密鑰作身份驗證（U）的選框里打勾，并輸入密鑰main04jsja, 點擊兩次確定。圖512 支部主機(jī)VPN連接后的ipconfig圖在支部的主機(jī)上ping總部內(nèi)部的某一主機(jī)，如下所示，雖然第一次連接時間超時，沒有回應(yīng)，但是接下來的三個連接都可以ping通，說明VPN已經(jīng)成功連接，并可以訪問到總部內(nèi)網(wǎng)的其他主機(jī)。 圖52 總部建立的遠(yuǎn)程站點圖7） 打開VPN客戶端，點擊配置VPN客戶端訪問，在常規(guī)頁中，選擇啟用VPN客戶端訪問，填入允許的最大VPN客戶端數(shù)量20，在協(xié)議頁，選擇啟用PPTP（N）和啟用L2TP/IPSEC（E）點擊確定。ISA Server集成了Windows server VPN服務(wù)，提供一個完善的防火墻和VPN解決方案。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會隱藏路由信息。如NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。簡單口令認(rèn)證方式的優(yōu)點是實施簡單、技術(shù)成熟、互操作性好，且支持動態(tài)地加載VPN設(shè)備，可擴(kuò)展性強。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。（4）可管理性從用戶角度和運營商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。這樣組建的外聯(lián)網(wǎng)也叫Extranet VPN。 VPN的研究背景和意義隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。雖然VPN在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下VPN的各種實現(xiàn)方法都可以應(yīng)用于每個公司。 VPN的設(shè)計目標(biāo)在實際應(yīng)用中，一般來說一個高效、成功的VPN應(yīng)具備以下幾個特點：（1） 安全保障 雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。所以，一個完善的VPN管理系統(tǒng)是必不可少的。（2）加解密認(rèn)證技術(shù)加解密技術(shù)是VPN的另一核心技術(shù)。Internet密鑰交換協(xié)議IKE是Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP語言來定義密鑰的交換，綜合了Oakley和SKEME的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗證加密參數(shù)。另外，SOCKSv5協(xié)議則在TCP層實現(xiàn)數(shù)據(jù)安全。PPTP和L2TP限制同時最多只能連接255個用戶，端點用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒有強加密和認(rèn)證支持。預(yù)計它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。防火墻能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對訪問策略進(jìn)行控制并對網(wǎng)絡(luò)通信進(jìn)行路由。（方便測試連接，可不添加）2．在總部上建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則 接下來，我們需要建立一條網(wǎng)絡(luò)規(guī)則，為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。 DG：內(nèi)部網(wǎng)絡(luò)： 圖516 移動用戶VPN連接后ipconfig圖 結(jié) 論結(jié) 論伴隨企業(yè)和公司的不斷擴(kuò)張，員工出差日趨頻繁，駐外機(jī)構(gòu)及客戶群分布日益分散，合作伙伴日益增多，越來越多的現(xiàn)代企業(yè)迫切需要利用Internet資源來進(jìn)行促銷、銷售、售后服務(wù)、培訓(xùn)、合作及其它咨詢活動，這為VPN的應(yīng)用奠定了廣闊市場，也使VPN的優(yōu)勢體現(xiàn)地越來起明顯。 9）在完成網(wǎng)絡(luò)連接向?qū)ы?，勾選中在我的桌面添加快捷方式復(fù)選框，然后單擊完成按鈕。 連接測試之前在靜態(tài)地址池里設(shè)置了VPN連接后分配的IP地址，因此測試是否連接時只要查支部主機(jī)的IP地址就可以了，在測試的結(jié)果中，說明VPN已成功連接上總部的ISA VPN服務(wù)器。模擬基本拓?fù)鋱D：圖51 實驗?zāi)M網(wǎng)絡(luò)拓?fù)鋱D 公司總部到分支機(jī)構(gòu)的ISA VPN配置各主機(jī)的TCP/IP為： 廈門總部外部網(wǎng)絡(luò)： u IP：u DG：內(nèi)部網(wǎng)絡(luò)： u IP：u DG：None 分部外部網(wǎng)絡(luò)：u IP：u DG：內(nèi)部網(wǎng)絡(luò)： u IP:u DG：None 在總部和支部之間建立一個基于IPSec的站點到站點的VPN