虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程">网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。
由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
Windows远程接入服务器允许VPN客户进行身份识别并且透明地连接到内部网络,就像直接连接到网络一样。这能够使用户以安全的方式进行远程工作。本文主要介绍在检查VPN连接故障时应该在服务器端解决的一些常见问题。
当一个VPN用户进行连接时,远程接入服务器有几个方面容易产生问题。VPN服务器必须进行恰当的设置以便允许远程接入。如果用户遇到连接问题,你要验证这个客户机的设置是正确的并且验证最终用户具有连接到这台服务器的能力。你可以按照如下步骤操作:
1.验证这台服务器已经启用了允许远程接入的功能。
按如下步骤操作:
检查路由和远程接入插件-->属性-->常规,并且验证远程接入服务器对话框已经选定。
2.验证身份识别提供商。
检查路由和远程接入插件-->属性-->安全,并且验证是否选择了RADIUS或者Windows身份识别。
3.验证身份识别的方法。
检查路由和远程接入插件-->属性-->安全,并且选择证书机制。这通常是某种形式的挑战握手验证协议(CHAP)。这个服务器还有其它必须恰当地配置的设置,包括IP路由、DHCP和PPP等IP设置。这些设置的验证步骤如下:
1.)验证这台服务器已经启用了允许IP路由的功能。
采取如下步骤:
查看路由和远程接入插件-->属性-->IP标签,并且验证服务器已设置为允许IP路由。还要验证服务器已经设置为允许基于IP的远程访问和需要拨号连接。
2.)验证服务器已经设置为可分配IP地址。
这个步骤可以通过一批静态地址或者DHCP来完成。检查路由和远程接入插件-->属性-->IP标签,然而点击DHCP或者静态地址池。如果点击了地址池,必须要设置大量的地址。
这就是windows VPN服务器的基本设置。还有很多与VPN会话有关的其它功能,如身份识别和加密。这些功能也可以引起故障。最佳方法是设法让用户连接和身份识别一个简单的会话。取消标准连接之外的所有的连接;然后,你可以把额外的安全功能添加到这个会话中。