一百塊錢組建無線局域網(wǎng)

一百塊錢組建無線局域網(wǎng)2004-8-8來源：Internet一、VPN簡介一、VPN概念虛擬專用網(wǎng)（VPN）可以讓企業(yè)利用現(xiàn)存的Internet來建立自己的內(nèi)部網(wǎng)，適用于大型的，在各個(gè)分散的地方有分公司的，而且需要將各地的網(wǎng)絡(luò)連起來的企業(yè)。VPN為這種連接提供了一種安全廉價(jià)的的高性能解決方案，將企業(yè)分散在各地的網(wǎng)絡(luò)通過現(xiàn)有的公共網(wǎng)絡(luò)連接起來。VPN的具體實(shí)現(xiàn)是采用所謂隧道技術(shù)（數(shù)據(jù)包封裝、發(fā)送和拆封過程稱為隧道。隧道將原始數(shù)據(jù)包隱藏（或稱封裝）在新的數(shù)據(jù)包內(nèi)部。新的數(shù)據(jù)包可能包含新的尋址和路由信息，這使新的數(shù)據(jù)包得以在網(wǎng)絡(luò)上傳輸。當(dāng)隧道與保密性結(jié)合時(shí)，在網(wǎng)絡(luò)上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)（以及原始的源和目的）。適用于任何類型的網(wǎng)絡(luò)：專用Intranet或Internet。封裝的數(shù)據(jù)包到達(dá)目的地后，封裝報(bào)頭被刪除，原始數(shù)據(jù)包報(bào)頭被用來將數(shù)據(jù)包路由到最終目的地。），將企業(yè)網(wǎng)的數(shù)據(jù)依靠隧道協(xié)議封裝在隧道中進(jìn)行傳輸，保證數(shù)據(jù)在公共網(wǎng)絡(luò)上流動的安全。隧道協(xié)議分為第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPSEC。它們的區(qū)別就是用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)?。隧道協(xié)議有許多優(yōu)點(diǎn)，比如用戶通過撥號網(wǎng)絡(luò)連入Internet，接受ISP分配的動態(tài)IP地址，接著訪問企業(yè)內(nèi)部網(wǎng)，而企業(yè)網(wǎng)一般均采用防火墻等安全措施來保護(hù)自己的網(wǎng)絡(luò)，那么我們通過ISP撥號上網(wǎng)時(shí)就不能穿過防火墻訪問企業(yè)內(nèi)部網(wǎng)，只能訪問企業(yè)的WEB服務(wù)器。而采用隧道協(xié)議后，撥號用戶不僅可以得到ISP的動態(tài)IP地址，還可以得到企業(yè)內(nèi)部網(wǎng)的IP地址，通過對PPP幀進(jìn)行封裝，用戶數(shù)據(jù)包可以穿過防火墻到達(dá)企業(yè)內(nèi)部網(wǎng)。用戶付出的僅僅是撥如ISP的市話費(fèi)用，不必直接撥號到企業(yè)內(nèi)部。傳統(tǒng)上，如果遠(yuǎn)程用戶需要訪問企業(yè)內(nèi)部網(wǎng)，一般是直接撥號到企業(yè)內(nèi)部的遠(yuǎn)程訪問服務(wù)器，建立是費(fèi)用是很低廉，但使用時(shí)撥號是撥的長途電話，所以費(fèi)用就很高了。如果用專線，則就更加昂貴了。如圖一。二、Windows2000支持的隧道協(xié)議在Windows2000中，提供了兩種隧道協(xié)議，可以讓我們方便的創(chuàng)建虛擬專用網(wǎng)：PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）和附帶IPSec（網(wǎng)際協(xié)議安全）的L2TP（第二層隧道協(xié)議）。1、PPTP：PPTP是在NT4.0中就有的VPN協(xié)議，是建立在PPP（點(diǎn)對點(diǎn)協(xié)議）的基礎(chǔ)上的，它提高了PPP的安全級別，讓PPP可以對PPTP服務(wù)器與PPTP客戶機(jī)之間的數(shù)據(jù)進(jìn)行加密傳輸（使用Microsoft點(diǎn)對點(diǎn)加密(MPPE)來加密PPP幀），并使PPTP服務(wù)器可以對遠(yuǎn)程用戶的身份進(jìn)行驗(yàn)證（使用可擴(kuò)展身份驗(yàn)證協(xié)議（EAP））。Internet本身只允許使用TCP/IP通信，PPTP解決了在Internet上用多種協(xié)議進(jìn)行通信的問題，PPTP通過將IP、IPX或NetBEUI封裝在PPP數(shù)據(jù)包里來支持使用這些協(xié)議，這意味著我們可以遠(yuǎn)程運(yùn)行依賴特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。PPTP能夠用于LAN、WAN、Internet以及其他基于TCP/IP的網(wǎng)絡(luò)。具體的過程是：一個(gè)PPTP客戶機(jī)是通過兩次撥號連接來建立一條PPTP隧道的，第一次通過PPP協(xié)議與ISP建立連接，第二次在上一次的PPP連接的基礎(chǔ)上再次撥號建立一個(gè)與企業(yè)局域網(wǎng)的PPTP服務(wù)器的VPN連接。撥號僅僅撥的是當(dāng)?shù)豂SP的電話，而不是企業(yè)內(nèi)部電話，節(jié)省了長話費(fèi)用。在局域網(wǎng)中也可以使用PPTP，如果客戶機(jī)直接連接到IP局域網(wǎng)，并且和服務(wù)器建立了一個(gè)IP連接，就可以通過局域網(wǎng)建立PPTP隧道。如圖二A所示。2、帶IPSec（網(wǎng)際協(xié)議安全）的L2TP（第二層隧道協(xié)議）：帶IPSec（網(wǎng)際協(xié)議安全）的L2TP（第二層隧道協(xié)議）是Windows2000新增加的隧道協(xié)議。其中L2TP負(fù)責(zé)為任何類型的網(wǎng)絡(luò)通訊提供封裝和隧道管理，傳輸模式的IPSec提供L2TP隧道數(shù)據(jù)包的安全。L2TP和PPTP的功能差不多，是PPTP的增強(qiáng)版，L2TP加強(qiáng)了PPP身份驗(yàn)證和壓縮機(jī)制。與PPTP不同的是，Windows2000中的L2TP不是利用Microsoft點(diǎn)對點(diǎn)加密（MPPE）來加密PPP幀。L2TP依賴于加密服務(wù)的網(wǎng)際協(xié)議安全(IPSec)。所以基于L2TP的虛擬專用網(wǎng)絡(luò)連接是L2TP和IPSec的組合。連接的兩方網(wǎng)絡(luò)中的VPN服務(wù)器都必須支持L2TP和IPSec。IPSec和L2TP結(jié)合，可在任何IP網(wǎng)絡(luò)上為IP、IPX和其他協(xié)議包提供基于隧道和安全性。IPSec也可以脫離L2TP單獨(dú)執(zhí)行，但一般只在某個(gè)路由器不支持L2TP和PPTP時(shí)用來提供互通性。L2TP將原始數(shù)據(jù)包封裝在PPP幀內(nèi)并進(jìn)行壓縮，在UDP類型的數(shù)據(jù)包內(nèi)部指派端口1701。因?yàn)閁DP數(shù)據(jù)包格式是IP包，所以根據(jù)L2TP隧道的用戶配置中的安全設(shè)置，L2TP自動使用IPSec保護(hù)隧道。在缺省情況下，IPSecInternet密鑰交換（IKE)協(xié)議使用基于證書的身份驗(yàn)證來協(xié)商L2TP隧道的安全性。此驗(yàn)證是使用計(jì)算機(jī)證書而不是使用用戶證書來驗(yàn)證源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)之間的信任關(guān)系。當(dāng)IPSec傳輸安全性成功建立時(shí)，L2TP將協(xié)商隧道，包括壓縮和用戶身份驗(yàn)證選項(xiàng)（通過企業(yè)內(nèi)部的安全服務(wù)器如RADIUS（遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)）鑒定用戶）以及執(zhí)行基于用戶標(biāo)識的訪問控制。因而，無論是客戶遠(yuǎn)程撥號訪問VPN還是路由器到路由器的VPN隧道，L2TP/IPSec都是最方便、最靈活、互通性最好而且較為安全的隧道選項(xiàng)。L2TP/IPSecVPN遠(yuǎn)程撥號客戶可使用網(wǎng)絡(luò)和撥號連接配置。VPN遠(yuǎn)程訪問服務(wù)器和路由器到路由器隧道可使用路由和遠(yuǎn)程訪問控制臺配置。如圖二B所示。二、實(shí)踐篇明白了一些VPN的基本原理之后，我們就來看一下怎樣利用Windows2000來構(gòu)造我們的虛擬專用網(wǎng)。下面的實(shí)驗(yàn)主要在于怎樣用一臺運(yùn)行Windows2000Server或Windows2000AdvancedServer的計(jì)算機(jī)來作為VPN的服務(wù)器，然后各種類型的客戶機(jī)通過隧道技術(shù)怎樣連接到此VPN服務(wù)器上。一、利用PPTP配置虛擬專用網(wǎng)：PPTP是在NT4.0中就有的老的隧道協(xié)議，我們來看一下怎樣在Windows2000中配置它。在某些資料中說PPTP只支持撥號連接。但在Windwos2000的幫助文件中卻明明白白的提到了PPTP不需要撥號連接。但是需要您的計(jì)算機(jī)和服務(wù)器之間的IP連接。如果您是直接連接到IP局域網(wǎng)，而且可以訪問服務(wù)器，就可以通過局域網(wǎng)建立PPTP隧道。1、基于PPTP的遠(yuǎn)程訪問VPN：在這種方式下的VPN，實(shí)際上是一臺Windows2000Server的計(jì)算機(jī)充當(dāng)一臺VPN的遠(yuǎn)程訪問服務(wù)器，它直接連接到Internet或Intranet中（永久或根據(jù)需要）。遠(yuǎn)程客戶機(jī)通過撥號（撥本地ISP的號）連接到Internet中，然后與VPN服務(wù)器之間建立一條PPTP隧道。VPN服務(wù)器提供給遠(yuǎn)程客戶機(jī)VPN服務(wù)器資源或者VPN服務(wù)器所在的本地網(wǎng)絡(luò)的整個(gè)資源的訪問。如圖三。1）VPN服務(wù)器的配置：VPN服務(wù)器配置包括以下必須步驟：配置到Internet的連接、配置到Intranet的連接、將VPN服務(wù)器配置為企業(yè)intranet路由器、配置PPTP客戶機(jī)的VPN服務(wù)器、配置PPTP端口。還可以根據(jù)需要配置遠(yuǎn)程訪問策略等來提高安全性。所有的這些配置都是利用Windows2000中管理工具的路由和遠(yuǎn)程訪問來完成的。·配置VPN服務(wù)器到Internet的連接：從運(yùn)行Windows2000Server的計(jì)算機(jī)連接到Internet可以使用多種方法，例如DDN專線、ADSL、幀中繼、X.25等等。此計(jì)算機(jī)上必須安裝有合適的WAN適配器?！づ渲肰PN服務(wù)器與本地局域網(wǎng)（Intranet）的連接：配置此VPN服務(wù)器上的網(wǎng)卡，為它指定好IP地址等等參數(shù)，使VPN服務(wù)器能夠正常的與局域網(wǎng)中的計(jì)算機(jī)通信?！PN服務(wù)器作為Internet與本地局域網(wǎng)的路由器：使用靜態(tài)路由或路由協(xié)議將它配置為路由器以便可以從外部利用VPN服務(wù)器中訪問局域網(wǎng)中的所有計(jì)算機(jī)?！づ渲么薞PN服務(wù)器：為了使此服務(wù)器能夠?yàn)檫h(yuǎn)程的PPTP客戶機(jī)服務(wù)，必須啟動此計(jì)算機(jī)上的路由和遠(yuǎn)程訪問服務(wù)。方法：在服務(wù)器的管理工具中打開路由和遠(yuǎn)程訪問。默認(rèn)狀態(tài)下，將本地計(jì)算機(jī)列出為服務(wù)器。在控制臺目錄樹中，右鍵單擊要啟用的服務(wù)器，然后單擊配置并啟用路由和遠(yuǎn)程訪問。按照路由選擇和遠(yuǎn)程訪問向?qū)е械闹甘具M(jìn)行操作。在向?qū)е羞x擇VPN服務(wù)器表示要將此計(jì)算機(jī)配置成一臺VPN服務(wù)器（如圖四）。在接下來的操作中，要求你驗(yàn)證VPN客戶機(jī)要求使用的協(xié)議、指定此服務(wù)器與Internet的連接通道（在第一步中配置的通道）、VPN客戶機(jī)IP地址的分配方式（可以使用DHCP給VPN客戶機(jī)分配IP地址或者使用一個(gè)固定的IP地址范圍）、指定怎樣驗(yàn)證VPN客戶機(jī)的身份（可以選擇使用RADIUS服務(wù)器驗(yàn)證VPN客戶機(jī)身份）?！づ渲肞PTP端口：完成了前面的配置后，實(shí)際上你就擁有一臺VPN服務(wù)器了，接下來的事情就是對此VPN服務(wù)器的配置。首先確定你的VPN服務(wù)器將同時(shí)為多少臺VPN客戶機(jī)服務(wù)，這樣就可以確定VPN服務(wù)器所開的PPTP端口數(shù)目。方法：右鍵單擊控制臺目錄樹的端口，然后單擊屬性。在端口屬性對話框中，單擊WAN微型端口(PPTP)，然后單擊配置。在最多端口數(shù)中，鍵入端口數(shù)，然后單擊確定。如圖五所示?！閂PN連接設(shè)置安全性：為了使VPN的連接更加安全，我們還可以對服務(wù)器進(jìn)行配置，如配置多播支持、配置PPTP篩選器、配置遠(yuǎn)程訪問策略。詳細(xì)情況可以參考Windows2000Server的幫助文件。2）VPN客戶端的配置（以Windows98為例）：客戶端需要利用PPTP隧道方式連到VPN服務(wù)器，首先必須建立一條到ISP的連接，這很簡單，和我們平時(shí)上網(wǎng)沒什么兩樣。然后在建立與VPN服務(wù)器的隧道。這里以Windows98客戶機(jī)為例子說明，因?yàn)槲覀冇玫米疃嗟目蛻魴C(jī)就是Windows98。其它類型的客戶機(jī)配置也差不多。·配置Windows98連接到ISP：這里就不祥述了，和我們?yōu)榱藫芴柹暇W(wǎng)配置Windows98一模一樣。（你的客戶機(jī)必須有一個(gè)Modem，利用它和Internet相連）·建立虛擬專用網(wǎng)絡(luò)適配器：右鍵點(diǎn)擊網(wǎng)上鄰居，選擇屬性，出現(xiàn)網(wǎng)絡(luò)對話框，選擇添加（A）…，選擇適配器后點(diǎn)擊添加按鈕，如圖六。然后在選擇網(wǎng)絡(luò)適配器對話框里，廠商選擇Microsoft，網(wǎng)絡(luò)適配器選擇Microsoft虛擬專用網(wǎng)絡(luò)適配器，如圖七。確定后會從Windows98光盤中拷貝一些文件，完成后重啟系統(tǒng)。·創(chuàng)建到PPTP服務(wù)器的連接：在Windows98里選擇撥號網(wǎng)絡(luò)→建立新連接。在出現(xiàn)如圖八所示的建立新連接對話框時(shí)，連接名稱中輸入我的連接2，設(shè)備選擇MicrosoftVPNAdapter（第一個(gè)連接是你與ISP的連接，設(shè)備是你系統(tǒng)中的調(diào)制解調(diào)器）。下一步后輸入你的VPN服務(wù)器的主機(jī)名或者IP地址（就是你前面建立的VPN服務(wù)器，最好輸入IP地址，可以減少主機(jī)名解析的時(shí)間和錯誤，如圖九），完成?！ぴL問PPTP服務(wù)器：首先用你的調(diào)制解調(diào)器連接到你當(dāng)?shù)豂SP，如：撥169連接成功，和你平時(shí)上網(wǎng)沒什么區(qū)別，如圖十。當(dāng)連接成功后，再雙擊我的連接2，出現(xiàn)如圖十一所示對話框，用戶名和密碼輸入你在VPN服務(wù)器中的合法用戶名和密碼（記?。捍擞脩舯仨毐毁x予撥入權(quán)限，在VPN服務(wù)器所在域的域控制器里賦予。），點(diǎn)擊連接之后就與你的PPTP服務(wù)器創(chuàng)建了一條隧道連接，完成后,你屏幕右下角會出現(xiàn)兩個(gè)連接圖標(biāo)，如圖十二。一個(gè)是到ISP的連接，一個(gè)是與VPN服務(wù)器的連接。這樣，就可以和PPTP服務(wù)器以及PPTP服務(wù)器所在的本地網(wǎng)的計(jì)算機(jī)安全通信了。實(shí)際上，你撥的電話只是你當(dāng)?shù)豂SP的電話號碼，所以你為通信所付的費(fèi)用僅為市話費(fèi)，節(jié)省了資金，又進(jìn)行了安全通信。在你的PPTP服務(wù)器的路由與遠(yuǎn)程訪問里面查看遠(yuǎn)程訪問客戶端，就可以看到你當(dāng)前的VPN連接。如圖十二。2、基于PPTP的路由器到路由器VPN：配置路由器到路由器的VPN，是將分散在兩個(gè)不同地方的網(wǎng)絡(luò)利用公共網(wǎng)絡(luò)連接起來的過程，如圖十三，使分支網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)通過VPN連接起來。你必須在兩個(gè)地方分別配置一臺Windows2000的VPN服務(wù)器。配置過程和前面配置VPN服務(wù)器基本上一樣。只不過為了使這兩臺VPN服務(wù)器能夠相互安全通信，還必須配置分別配置它們的請求撥號接口，即分別配置它們使用什么端口接受對方VPN服務(wù)器的連接請求。下面是使分支網(wǎng)絡(luò)通過VPN連接到企業(yè)網(wǎng)絡(luò)的設(shè)置方法。1）配置分支網(wǎng)絡(luò)VPN服務(wù)器的請求撥號接口：方法：使用請求撥號接口向?qū)Вㄓ益I點(diǎn)擊控制臺目錄樹中的路由接口→新的請求撥號接口打開向?qū)В﹦?chuàng)建請求撥號接口。在向?qū)е?，配置以下事件：接口名稱-代表和企業(yè)網(wǎng)絡(luò)連接的接口名稱。連接類型-單擊使用虛擬專用網(wǎng)絡(luò)（VPN）連接。VPN類型-單擊點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)。目標(biāo)地址-鍵入企業(yè)網(wǎng)絡(luò)路由器（VPN服務(wù)器）Internet接口上的IP地址或主機(jī)名稱。如果鍵入的是主機(jī)名稱，驗(yàn)證所鍵入的主機(jī)名稱能分解為正確的IP地址。撥出憑據(jù)-鍵入與分支網(wǎng)絡(luò)VPN服務(wù)器通信的用戶帳戶的名稱，域名，和密碼。當(dāng)這個(gè)分支網(wǎng)絡(luò)的請求撥號接口在企業(yè)網(wǎng)絡(luò)的VPN服務(wù)器上創(chuàng)建時(shí)，在請求撥號接口向?qū)У膿艹鰬{據(jù)中輸入了憑據(jù)。這些憑據(jù)則與所輸入的相同。2）配置企業(yè)網(wǎng)絡(luò)VPN服務(wù)器的請求撥號接口：方法：打開新的請求撥號接口向?qū)В涌诿Q-代表到分支網(wǎng)絡(luò)連接的接口名稱。連接類型-單擊使用虛擬專用網(wǎng)絡(luò)（VPN）連接。VPN類型-單擊點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）。目標(biāo)地址-因?yàn)槠髽I(yè)網(wǎng)絡(luò)的VPN服務(wù)器不初始化VPN連接（由分支網(wǎng)絡(luò)VPN服務(wù)器初始化），所以不要求有電話號碼或地址。協(xié)議與安全-選中添加用戶帳戶，以便遠(yuǎn)程路由器能撥入復(fù)選框。撥出憑據(jù)-因?yàn)槠髽I(yè)網(wǎng)絡(luò)的VPN服務(wù)器不初始化VPN連接，