當「虛擬私人網路」(Virtual Private Networking, VPN) 這個名詞尚未明確定義之前,大多數業界的專家都把 VPN 這個名詞當作是在公用網路 (例如,Internet) 上建立一個私人的虛擬通道;在使用 VPN 的情況下,會將資料以含有路由資訊的標頭附加於封裝 (包裝) 資料封包中的安全加密方式,
在兩部電腦之間經由公用網路進行轉遞。Windows 2000 可以支援 Layer 2 (資料連結通訊層) 通道的通訊協定,像是 PPTP 和 L2TP;此協定會在傳送前,
把要透過線路傳送的資料先將其包覆於 PPP 的框架中,然後再進行傳送。此外,也支援 Layer 3 (網路通訊層) 的通道通訊協定,像是 IPSec;該協定會在傳送資料之前,先將 IP 封包壓縮封裝於 IP 標頭中,然後才進行傳送。
VPN 的使用個案
您可以有許多方法來使用 VPN,或許,最常見的情況是遠端使用者經由 VPN 通道存取其公司的內部網路;另一種情況是地處偏遠的分公司使用固接或指定撥號的方式,以 VPN 連線到企業的內部網路。此外,VPN 也可以佈署於 Extranet 中,用來和商業夥伴進行安全的通訊。本文著重於介紹第一種
情況的 VPN 佈署方式,也就是遠端的使用者透過 VPN 通道連線到企業網路的情況。
設定 Windows 2000 Server 使用 VPN
若要設定 VPN 伺服器,您的電腦必須至少要有兩個介面;請使用下列程序來設定 Windows 2000 Server 使用 VPN:
- 開啟 [系統管理工具] 中的 [路由及遠端存取] 主控台
- 在伺服器上按一下滑鼠右鍵,然後按一下 [設定和啟用路由及遠端存取]
- 「安裝精靈」會啟動,請按一下 [下一步]
- 選取 [手動設定的伺服器],如圖 1 所示,然後按一下 [下一步]
- 按一下 [結束],完成安裝精靈的作業
如果您的瀏覽器不支援插入網頁的頁框,請按一下此處,以開啟另一個網頁視窗來檢視該頁框的內容。
圖 1 啟用伺服器上的 VPN
請勿使用 [虛擬私人網路 (VPN) 伺服器] 這個選項,「路由及遠端存取」精靈並不允許使用路由功能;如需相關說明,請參閱「Microsoft 知識庫」
Q243374 文章的內容。該 VPN 選項會將伺服器設定成只接收 VPN 連線的模式,並且會使用篩選器將伺服器設定成只允許 PPTP 或 L2TP 層的通訊而將伺服器鎖定;如果這正是您所期望的情況,那就不必擔心會發生其他的問題。但是,您必須瞭解到使用這個選項會導致「路由及遠端存取」服務封鎖除了 PPTP 或 L2TP 協定以外的所有通訊封包。
在使用者能使用 VPN 連線到您的伺服器之前,您還必須要執行另一個額外的步驟,您還必須提供使用者存取網路所需的適當撥入權限。您可以在 [遠端存取原則] 中授予使用者遠端存取的權限,如圖 2 所示;或者是在 [Active Directory 使用者及電腦] 中以使用者個人為單位來設定其所需的撥入權限。
如果您的瀏覽器不支援插入網頁的頁框,請按一下此處,以開啟另一個網頁視窗來檢視該頁框的內容。
圖 2 授予遠端存取使用權限
依照預設值,建立 VPN 連接埠的數目會視您是否選取下列選項而有所不同:當您選取最後一個選項 [手動設定的伺服器] 時,
只會建立五個 PPTP 和五個 L2TP 的連接埠;而當您選取了中間的選項 [虛擬私人網路 (VPN) 伺服器] 時,則會建立 128 個 PPTP 以及 128 個 L2TP
的連接埠。在任何時候,您都可以在 [路由及遠端存取] 主控台中,選取 [連接埠屬性] 來調整連接埠的數目。
請注意 如果 VPN 用戶端會經過路由器或防火牆進行連線,請確定您是否使用 PPTP,這樣 TCP 連接埠 1723 以及 IP 通訊協定 ID 47 (即 GRE – 通用路由封裝) 得以通過路由器或防火牆;如果您使用的是 L2TP,則須開啟 UDP 連接埠 500 (IKE),Protocol ID 50 (IPSec ESP) 以及通訊協定 ID 51 (IPSec AH) 才能順利連線。
用戶端組態設定
若要連線至企業內的 VPN 伺服器,則您必須先確定可以連線至 Internet,如果沒有不須撥號就可連線的固接式 Internet 連線設施 (如 DSL),則必須使用數據機撥號至您的 ISP 以連線到 Internet;當您連線至 Internet 後,就可以進入企業 VPN 伺服器所連接的全球性 Internet 主幹上,然後,再進行二次連線
以建立 VPN 通道。
若要建立二次連線以連接企業的伺服器,請執行下列步驟:
- 依序進入 [開始]、[設定]、[網路和撥號連線],然後按一下 [建立新連線] 以啟動「網路連線精靈」。
- 於 [網路連線類型] 中,選取 [透過 Internet 連線到私人網路];如圖 3 所示。
- 在「公用網路」的畫面中,您可以將連線設定成在建立二次連線至企業的 VPN 伺服器之前先自動撥接到 ISP 建立連線;這個選項只有當您使用數據機或 ISDN 以「撥號」至 ISP 連線到 Internet 的時候才能使用。
- 接著,請循畫面上的指示完成該精靈的相關作業。
如果您的瀏覽器不支援插入網頁的頁框,請按一下此處,以開啟另一個網頁視窗來檢視該頁框的內容。
圖 3 網路連線類型
依照預設值,當您使用這個連線時,您只能選擇鍵入使用者名稱和密碼;若要新增「網域」選項,請按一下 [屬性],然後選取 [選項] 索引標籤中的 [包含 Windows 登入網域];如圖 4 所示。
圖 4 包含 Windows 登入網域
VPN 所支援的加密等級
隨著您連線到 VPN 所使用的不同方式,您可以選擇要以 MPPE 或 IPSec 進行加密;如果您是連線到 PPTP 伺服器,請使用 MPPE;
但如果您是連線到 L2TP 伺服器,則應使用 IPSec。依照預設值,系統會設定 VPN 自動偵測伺服器類型,也就是說 VPN 會先測試連線是否為使用 IPSec 加密的 L2TP,然後再嘗試以使用 MPPE 加密的 PPTP 進行連線。MPPE 和 IPSec 兩者的工作方式不同,由於各個資料封包抵達目的地的順序並不一定,MPPE 會依據封包標頭中所使用的序號來追蹤封包的正確順序;而且 MPPE 會依據此序號來變更每個封包的加密鍵值。使用 L2TP 連線時,則必須提供 IPSec 的憑證,如果
您在建立 VPN 連線時發生問題,請試著改用 PPTP 作為連線類型而不要使用預設的 [自動] 選項。如果您選取了 [自動] 的設定而無法與 IPSec
工作階段進行訊號交涉,則在回到使用 PPTP 之前可能會出現長時間等候的情況 (約 2 分鐘) 。
在 [遠端存取原則屬性] 下的 [編輯設定檔] 中,有四種可供您設定的加密支援選項;在 [加密] 索引標籤中,您可以選擇使用的加密方式有:
[不加密]、[基本加密]、[增強式加密] 或 [特強式加密]。[特強式加密] (128 位元) 只有當您安裝 Windows 2000 High Encryption Pack 時才可以選用。
下表顯示了撥號和 PPTP 相對於透過 IPSec 的 L2TP 這兩種 VPN 連線所使用的加密類型比較:
| |
撥號和 PPTP |
透過 IPSec 的 L2TP |
| 基本加密 |
40 位元 MPPE |
56 位元 DES |
| 增強式加密 |
56 位元 MPPE |
56 位元 DES |
| 特強式加密 |
128 位元 MPPE |
3DES (三個 56 位元的加密鍵值) |
瞭解封包的結構
PPTP 封包結構
(下方的) 圖 5 顯示了當 PPTP 資料封包經過通道時所呈現的結構;首先,會使用 PPP 的標頭封裝已加密的 PPP 資料來建立 PPP 的框架,然後再以 GRE 標頭封裝 PPP 的框架;所得的有效傳輸單元 (payload) 再以含有傳輸來源和目的地 IP 位址的 IP 標頭加以封裝;最後,此 IP 資料包會再以資料連結通訊層的標頭和檔尾予以封裝。資料連結通訊層的標頭和檔尾會隨著您所選用不同的技術類別而有所差異。例如,當您透過 Ethernet 網路傳送 IP 資料包時,就會使用 Ethernet 的標頭和檔尾進行資料包的封裝;如果是經由類比式的電話線傳輸資料包的話,則會使用 PPP 的標頭和檔尾進行封裝,以此類推。當封包到達其目的地時,就會反向除去各個封裝層,首先會除去資料連結通訊層的標頭和檔尾,然後依序除去 IP、GRE 以及 PPP 的標頭。最後,會進行 PPP 資料的解密。
| 資料連結標頭 |
IP 標頭 |
GRE 標頭 |
PPP 標頭 |
加密的 PPP 資料
(IP、IPX、NetBEUI) |
資料連結的檔尾 |
圖 5 PPTP 封包結構
L2TP 封包結構
L2TP 的封包結構類似於 PPTP,都會在 PPP 資料外加上標頭;圖 6 顯示了 L2TP 封包所呈現的結構。請注意,介於 UDP 標頭和 IPSec 檔尾之間的所有項目均是加密的。
如果您的瀏覽器不支援插入網頁的頁框,請按一下此處,以開啟另一個網頁視窗來檢視該頁框的內容。
圖 6 L2TP 封包結構
一個暢銷的解決方案
對於必須通勤工作的人來說,VPN 是一個安全存取企業內部網路的有效方法;此外,對於有分公司散佈於世界各地的企業以及具備 Extranet 的企業而言,VPN 可以透過公用網路擴充企業 LAN 的作業能力,不啻也是一項完善的解決方案。相較於一般傳統式的撥接方案,VPN 具備便於管理和較低建置總成本的優勢,儼然已成為時下企業網路中最暢銷的解決方案。
