郭建偉

對(duì)于很多本本用戶來(lái)說，經(jīng)常攜帶本本在外出差。當(dāng)需要從遠(yuǎn)程訪問單位內(nèi)網(wǎng)時(shí)，一般都使用VPN方式進(jìn)行連接。VPN（即Virtual Private Network）具有安全可靠、機(jī)制靈活、費(fèi)用低廉、易于實(shí)現(xiàn)等優(yōu)點(diǎn)。實(shí)際上，不同的企業(yè)搭建的VPN環(huán)境是存在差異的，包括PPTP VPN、L2TP/IPSec VPN、SSTP VPN以及IKE v2VPN等類型。對(duì)于本本用戶來(lái)說，需要根據(jù)不同的情況，使用不同的VPN連接方式。至于如何搭建各種VPN服務(wù)器，對(duì)于本本用戶來(lái)說無(wú)須加以太多關(guān)注。

使用PPTP VPN方式進(jìn)行連接

在企業(yè)網(wǎng)中配置好了PPTP VPN服務(wù)器，之后需要設(shè)置客戶端連接項(xiàng)目。在本本上打開網(wǎng)絡(luò)和共享中心窗口，點(diǎn)擊“設(shè)置新的連接或網(wǎng)絡(luò)”連接，選擇“連接到工作區(qū)”項(xiàng)，選擇“使用我的Internet連接（VPN）”項(xiàng)，在打開窗口中輸入VPN服務(wù)器的域名或者IP地址以及目標(biāo)名稱（圖1），在下一步窗口中輸入用于VPN撥入的賬戶名和密碼，在“域”欄中輸入域名，之后關(guān)閉配置窗口。

在網(wǎng)絡(luò)和共享中心窗口中點(diǎn)擊“連接到網(wǎng)絡(luò)”項(xiàng)，在彈出面板中顯示所有的連接項(xiàng)目，在上述VPN連接項(xiàng)目的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性中的“安全”面板（圖2）中的“VPN類型”列表中選擇“點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）”項(xiàng)，點(diǎn)擊“確定”按鈕保存配置信息。之后點(diǎn)擊該VPN連接項(xiàng)目，執(zhí)行連接操作。當(dāng)連接成功后，在該連接屬性窗口中點(diǎn)擊“詳細(xì)信息”按鈕，可以查看其客戶端IP、DNS服務(wù)器以及WINS服務(wù)器等信息。當(dāng)連接建立之后，就可以訪問內(nèi)網(wǎng)資源了。

如果本本連接到VPN服務(wù)器后，出現(xiàn)可以訪問內(nèi)網(wǎng)，但是無(wú)法訪問Internet的情況，其原因可能是本本上默認(rèn)選擇了在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)的情況。為此，可以在VPN連接項(xiàng)目的屬性窗口中打開“網(wǎng)絡(luò)”面板，在其中打開Internet協(xié)議版本4（TCP/IPv4）設(shè)置界面，在其中點(diǎn)擊高級(jí)按鈕。在彈出窗口（圖3）中取消“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)，即可解決該問題。此外，如果在配置VPN服務(wù)器時(shí)，手工為其指定靜態(tài)IP范圍的話，也可能出現(xiàn)VPN客戶端無(wú)法訪問Internet的情況。

其中的主要原因是VPN服務(wù)器的網(wǎng)絡(luò)標(biāo)識(shí)符可能和內(nèi)網(wǎng)的網(wǎng)絡(luò)標(biāo)識(shí)符不同，例如內(nèi)網(wǎng)的網(wǎng)段為192.168.3.0，而手工設(shè)定的VPN服務(wù)器靜態(tài)IP為192.168.4.0等。解決方法是先取消“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)，之后在VPN客戶端上新建通往內(nèi)網(wǎng)的路徑，例如在CMD窗口中執(zhí)行“route add 192.168.3.0 mask 255.255.255.0 192.168.4.1”，其中的192.168.4.1為VPN服務(wù)器地址，這樣，就可以解決上述問題。不過這同樣存在一定的安全隱患，因此，為了安全起見，最好選擇“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)，只允許VPN客戶端訪問內(nèi)網(wǎng)，禁止其訪問Internet，避免不必要的安全問題。

使用L2TP/IPSec VPN方式進(jìn)行連接

同PPTP VPN相比，L2TP/IPSec VPN的安全性要更高一些，其支持IPSec預(yù)共享密鑰和計(jì)算機(jī)證書兩種身份驗(yàn)證方法。當(dāng)VPN客戶端身份驗(yàn)證完成后，VPN服務(wù)器和客戶端之間發(fā)送的數(shù)據(jù)會(huì)利用IPSec ESP的3DES或者AES加密方法進(jìn)行安全傳輸。對(duì)于L2TP/IPSec來(lái)說，一般使用預(yù)共享密鑰和證書兩種驗(yàn)證方式，這里以前者為例進(jìn)行說明。在本本上打開網(wǎng)絡(luò)和共享中心窗口，點(diǎn)擊“連接到網(wǎng)絡(luò)”項(xiàng)，在彈出面板中顯示所有的連接項(xiàng)目，在上述VPN連接項(xiàng)目的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性中的“安全”面板中的“VPN類型”列表中選擇“使用IPSec的第二層隧道協(xié)議（L2TP /IPSec）”項(xiàng)，點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口中選擇“使用預(yù)共享密鑰作為身份驗(yàn)證”項(xiàng)，輸入與上述相同的密碼。這樣，客戶端就可與域VPN服務(wù)器建立連接了，在客戶端的連接詳細(xì)信息窗口中就可以看到設(shè)備名為“WAN Miniport（L2TP）”。

實(shí)際上，支持IPSec的預(yù)共享密鑰方法常作用測(cè)試用途，在正常狀態(tài)下，建議使用安全性較高的證書驗(yàn)證方法。這就需要在內(nèi)網(wǎng)環(huán)境中添加CA證書服務(wù)器，便于發(fā)布和安裝證書，CA服務(wù)器的配置這里就不介紹了。為了便于本本使用證書，需要在VPN服務(wù)器上運(yùn)行“mmc”命令，點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，選擇證書項(xiàng)目。在彈出窗口中選擇“計(jì)算機(jī)賬戶”項(xiàng)，完成操作后，在控制臺(tái)窗口左側(cè)選擇“證書”→“個(gè)人”項(xiàng)，選擇目標(biāo)證書項(xiàng)目，在其右鍵菜單上點(diǎn)擊“所有與任務(wù)”-“導(dǎo)出”項(xiàng)，將VPN服務(wù)器的證書導(dǎo)出，得到后綴為“.pfx”的文件。選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”-“證書”項(xiàng)，按照同樣方法將企業(yè)CA證書導(dǎo)出，保存為后綴為“.cer”的文件。

之后在本本上按照同樣的方法，打開證書管理控制臺(tái)界面，選擇“證書”→“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)入”項(xiàng)，導(dǎo)入上述個(gè)人證書（圖4）。再選擇“證書”→“受信任的根證書頒發(fā)機(jī)構(gòu)”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)入”項(xiàng)，導(dǎo)入上述根證書。在本本上安裝了證書后，打開在網(wǎng)絡(luò)和共享中心窗口，點(diǎn)擊“連接到網(wǎng)絡(luò)”項(xiàng)，在彈出面板中顯示所有的連接項(xiàng)目，在上述VPN連接項(xiàng)目的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性中的“安全”面板中的“VPN類型”列表中選擇“使用IPSec的第二層隧道協(xié)議（L2TP /IPSec）”項(xiàng)，點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口（圖5）中選擇“將證書用于身份驗(yàn)證”項(xiàng)，點(diǎn)擊“確定”按鈕，保存配置信息。之后雙擊該VPN連接項(xiàng)目，就可以和VPN服務(wù)器建立連接了。

使用SSTP VPN方式進(jìn)行連接

SSTP（即Secure Socket Tunneling Protocol，安全套接字隧道協(xié)議）是安全性較高的協(xié)議，其使用RC4或者AES加密數(shù)據(jù)。SSTP采用HTTPS協(xié)議創(chuàng)建安全通道，利用SSL加密技術(shù)保證數(shù)據(jù)傳輸?shù)陌踩浴Ｍ琍PTP和L2TP/IPSec使用復(fù)雜的端口相比，HTTPS協(xié)議僅僅使用443端口，因此無(wú)須在防火墻執(zhí)行復(fù)雜的配置。利用SSTP VPN服務(wù)器，可以很好地保證本本客戶端的安全連接。

和L2TP/IPSec VPN類似，使用SSTP VPN連接同樣需要使用到證書。可以按照上述方法，為本本安裝所需的證書。當(dāng)本本客戶端連接VPN服務(wù)器時(shí)，需要連接到SSTP VPN服務(wù)器的證書名稱上，假設(shè)SSTP VPN的計(jì)算機(jī)證書名稱為“vpn.xxx.com”，因此需要將該名稱解析到VPN服務(wù)器的外網(wǎng)卡地址上，假設(shè)其外網(wǎng)地址為“x.x.x.x.”。當(dāng)VPN客戶端連接VPN服務(wù)器時(shí)，還必須從CRL發(fā)布點(diǎn)下載證書吊銷列表，否則連接無(wú)法進(jìn)行。

CRL發(fā)布點(diǎn)實(shí)際上位于CA服務(wù)器的DNS域名中，假設(shè)為“yuk.xxx.com”。當(dāng)本本連接VPN服務(wù)器時(shí)，VPN服務(wù)器會(huì)將這些信息發(fā)送給本本，便于其通過此DNS域名連接CRL發(fā)布點(diǎn)。當(dāng)然，這需要通過NAT轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)，即需要將內(nèi)網(wǎng)CA服務(wù)器的網(wǎng)址解析到VPN服務(wù)器的外網(wǎng)卡地址上。為了簡(jiǎn)單起見，可以在本本上使用記事本打開“C：＼Windows＼System32＼drivers＼etc”下的“hosts”文件，在其中分別輸入“192.168.3.1? vps.xxx.com”和“x.x.x.x? yuk.xxx.com”兩行映射關(guān)系項(xiàng)目，來(lái)實(shí)現(xiàn)簡(jiǎn)單的域名和IP的解析操作。

其中的“192.168.3.1”為VPN服務(wù)器的內(nèi)網(wǎng)地址，“vps.xxx.com”為VPN服務(wù)器名稱。在本本上打開在網(wǎng)絡(luò)和共享中心窗口中點(diǎn)擊“連接到網(wǎng)絡(luò)”項(xiàng)，在彈出面板中顯示所有的連接項(xiàng)目，在上述VPN連接項(xiàng)目的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性中的“常規(guī)”面板（圖6）中的“目的地主機(jī)名或IP地址”欄中輸入VPN服務(wù)器的DNS域名，即vps.xxx.com。在“安全”面板中的“VPN類型”列表中選擇“安全套接字隧道協(xié)議（SSTP）”項(xiàng)，點(diǎn)擊“確定”按鈕保存配置信息。之后雙擊該VPN連接項(xiàng)目，就可以和VPN服務(wù)器建立連接。在VPN連接項(xiàng)目的屬性窗口中打開“詳細(xì)信息”面板，在“設(shè)備名”欄中顯示“WAN Miniport（SSTP）”。如果VPN客戶端沒有配置VPN主機(jī)名，無(wú)法下載證書吊銷列表，沒有安裝CA證書的話，VPN客戶端就無(wú)法順利連接VPN服務(wù)器。

使用IKE v2VPN方式進(jìn)行連接

IKEv2協(xié)議采用的是IPSec信道模式，其使用UDP 500端口，Windows7支持該協(xié)議，其使用3DES或者AES加密數(shù)據(jù)。其利用IKE v2 MOBIKE（即Mobility and Multihoming Protocol）協(xié)議提供的功能，允許移動(dòng)客戶通過VPN連接內(nèi)網(wǎng)。Windows7通過使用VPN Reconnect功能，來(lái)支持IKEv2協(xié)議。上述幾個(gè)VPN協(xié)議都存在一個(gè)問題，當(dāng)由于網(wǎng)絡(luò)中斷等原因，導(dǎo)致VPN客戶端失去和VPN服務(wù)器的連接后，即使網(wǎng)絡(luò)連接恢復(fù)正常，客戶端用戶必須手工重新建立VPN連接通道。即用戶必須重新?lián)芴?hào)進(jìn)行連接。

而借助于VPN Reconnect功能，當(dāng)網(wǎng)絡(luò)連接中斷后，即使經(jīng)過一段時(shí)間，當(dāng)網(wǎng)絡(luò)連接恢復(fù)后，VPN連接通道仍會(huì)自動(dòng)恢復(fù)運(yùn)行，無(wú)須用戶手工重新建立VPN連接，這對(duì)于移動(dòng)用戶來(lái)說是很有利的。例如，當(dāng)用戶使用本本移動(dòng)上網(wǎng)，在不同的環(huán)境中切換不同的無(wú)線連接后，VPN通道照樣保持連接狀態(tài)。對(duì)于內(nèi)網(wǎng)中IKEv2 VPN服務(wù)器來(lái)說，是需要安裝和配置證書的，這樣可以充分保證連接的安全性。

使用IKEv2 VPN連接的本本客戶端雖然不需要安裝證書，但是需要信任CA發(fā)放的證書?？梢园凑丈鲜龇椒?，從VPN服務(wù)器上導(dǎo)出CA證書，并在本本上進(jìn)行導(dǎo)入。為了順利連接VPN服務(wù)器，需要將VPN服務(wù)器的外網(wǎng)卡地址解析到VPN的網(wǎng)址上，例如，可以在本本上使用記事本打開“C：＼Windows＼System32＼drivers＼etc”下的“hosts”文件，在其中分別輸入“192.168.3.1? vps.xxx.com”之類的映射關(guān)系項(xiàng)目，來(lái)實(shí)現(xiàn)簡(jiǎn)單的域名和IP的解析操作。

在本本上打開網(wǎng)絡(luò)和共享中心窗口，點(diǎn)擊“連接到網(wǎng)絡(luò)”項(xiàng)，在彈出面板中顯示所有的連接項(xiàng)目，在選定的VPN連接項(xiàng)目的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性中的“常規(guī)”面板（圖7）中的“目的地主機(jī)名或IP地址”欄中輸入VPN服務(wù)器的DNS域名，例如“vps.xxx.com”;在“安全”面板（圖8）中的“VPN類型”列表中選擇“IKEv2”項(xiàng)，點(diǎn)擊“高級(jí)設(shè)置”按鈕，在彈出窗口（圖9）中的選擇“移動(dòng)性”項(xiàng);在“網(wǎng)絡(luò)中斷時(shí)間”列表中選擇具體的時(shí)間，默認(rèn)為30分鐘，范圍從5分鐘到8小時(shí)，只要網(wǎng)絡(luò)中斷的時(shí)間不超過該值，就會(huì)自動(dòng)恢復(fù)VPN連接。

點(diǎn)擊“確定”按鈕保存配置，之后雙擊該VPN連接項(xiàng)目，就可以和VPN服務(wù)器建立連接了。當(dāng)連接成功后，在VPN連接項(xiàng)目的屬性窗口中打開“詳細(xì)信息”面板，在“設(shè)備名”欄中顯示“WAN Miniport（IKEv2）”。如果VPN客戶端沒有配置VPN主機(jī)名，沒有安裝CA證書的話，VPN客戶端就無(wú)法順利連接VPN服務(wù)器。