选择并设置 VPN
选择并设置 VPN
规划 VPN 时,Contoso 必须考虑多种因素,包括适当的隧道协议和身份验证方法。 他们还必须考虑如何以最佳方式设置其 VPN 服务器来支持其用户的远程访问需求。
选择隧道协议
Contoso 可以选择使用多种隧道协议和身份验证方法中的一种来实现 VPN。 VPN 连接可以使用下列其中一种隧道协议:
点对点隧道协议 (PPTP)
具有 Internet 协议安全性 (L2TP/IPsec) 的第 2 层隧道协议
安全套接字隧道协议 (SSTP)
Internet 密钥交换版本 2 (IKEv2)
所有 VPN 隧道协议都有三种相同功能:
包装。 VPN 技术使用包含路由信息的标头来封装专用数据,使数据可以在网络之间传输。
身份验证。 VPN 连接有三种身份验证类型,包括:
使用点对点协议 (PPP) 身份验证的用户级身份验证。
使用 Internet 密钥交换 (IKE) 的计算机级身份验证。
数据源身份验证和数据完整性。
数据加密。 为了确保数据在共享传输网络或公用传输网络上传输时的机密性,由发送方对数据进行加密,由接收方对数据进行解密。
下表介绍了受支持的隧道协议。
| 协议 | 描述 |
|---|---|
| PPTP | 可以将 PPTP 用于远程访问和站点到站点 VPN(虚拟专用网)连接。 将 Internet 用作 VPN 公用网络时,PPTP 服务器是启用了 PPTP 的 VPN 服务器,该服务器在 Internet 和 Intranet 上分别有一个接口。 |
| L2TP/IPsec | 利用 L2TP 便可以对多协议通信进行加密,这些通信可以通过任何支持点对点数据报传输的介质(例如 IP 或异步传输模式 (ATM))进行发送。 L2TP 是 PPTP 和第 2 层转发 (L2F) 的组合。 L2TP 表示 PPTP 和 L2F 的最佳功能。 |
| SSTP | SSTP 是一种隧道协议,在 TCP 端口 443 上使用 HTTPS 协议,使通信可以通过可能阻止 PPTP 通信和 L2TP/IPsec 通信的防火墙和 Web 代理。 SSTP 提供了一种机制,可以封装通过 HTTPS 协议的 SSL 通道传输的 PPP 通信。 使用 PPP 可以支持强大的身份验证方法(例如 EAP-TLS)。 SSL 提供了增强的密钥协商、加密和完整性检查,从而确保了传输级的安全性。 |
| IKEv2 | IKEv2 在 UDP 端口 500 上使用 IPsec 隧道模式协议。 IKEv2 支持移动性,使其成为移动办公人员的理想协议选择。 基于 IKEv2 的 VPN 使用户能够在无线热点之间或无线与有线连接之间轻松移动。 |
注意
不应使用 PPTP,因为存在安全漏洞。 请尽可能改为使用 IKEv2,因为它更安全并且比 L2TP 更具优势。
选择身份验证方法
访问客户端的身份验证是一个重要的安全问题。 身份验证方法通常使用在建立连接过程中协商的身份验证协议。 远程访问服务器角色支持下表中所述的方法。
| 方法 | 描述 |
|---|---|
| PAP | 密码身份验证协议 (PAP) 使用纯文本密码,是最不安全的身份验证协议。 如果远程访问客户端和远程访问服务器无法协商更安全的验证形式,则通常协商 PAP。 Windows Server 包含 PAP 以支持较旧的客户端操作系统,这些操作系统不支持其他身份验证方法。 |
| CHAP | 质询握手身份验证协议 (CHAP) 是一种质询-响应身份验证协议,该协议使用行业标准的 MD5 哈希方案来对响应进行加密。 网络访问服务器和客户端的各种供应商均使用 CHAP。 但是,由于 CHAP 要求使用可撤消的加密密码,因此应考虑使用其他身份验证协议(例如 MS-CHAPv2)。 |
| MS-CHAPv2 | Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2) 是一种单向加密密码、相互身份验证协议,并通过 CHAP 提供改进。 |
| EAP | 如果使用可扩展的身份验证协议 (EAP),则任意身份验证机制会对远程访问连接进行身份验证。 远程访问客户端和身份验证器(远程访问服务器或远程身份验证拨入用户服务 (RADIUS) 服务器)会协商它们将使用的确切身份验证方案。 默认情况下,路由和远程访问包含对可扩展的身份验证协议-传输层安全性 (EAP-TLS) 的支持。 可以将其他 EAP 模块插入运行路由和远程访问的服务器,以提供其他 EAP 方法。 |
其他注意事项
除了隧道协议和身份验证方法,在部署组织的 VPN 解决方案之前,必须考虑以下事项:
确保 VPN 服务器具有两个网络接口。 必须确定哪个网络接口将连接到 Internet,哪个将连接到专用网络。 在配置期间,必须选择要连接到 Internet 的网络接口。 如果指定的网络接口不正确,则远程访问 VPN 服务器将无法正常运行。
确定远程客户端是从专用网络上的 DHCP 服务器接收 IP 地址,还是从要配置的远程访问 VPN 服务器接收 IP 地址。 如果专用网络上有 DHCP 服务器,则远程访问 VPN 服务器可以一次从 DHCP 服务器租用 10 个地址,然后将这些地址分配给远程客户端。 如果专用网络上没有 DHCP 服务器,则远程访问 VPN 服务器可自动生成 IP 地址,并将这些地址分配给远程客户端。 如果希望远程访问 VPN 服务器分配指定范围内的 IP 地址,则必须确定该范围。
确定是希望由远程身份验证拨入用户服务 (RADIUS) 服务器还是由你所配置的远程访问 VPN 服务器对来自 VPN 客户端的连接请求进行身份验证。 如果计划在专用网络上安装多个远程访问 VPN 服务器、无线访问点或其他 RADIUS 客户端,则需要添加 RADIUS 服务器。
