./VPN安裝使用圖解盡管術語"虛擬專用網絡<VPN>"定義相當廣泛,但大多數業內專家使用VPN代表的是通過公用網絡〔比如Internet建立專用虛擬隧道。通過VPN,數據被封裝成數據包,經由公用網絡安全地傳輸,數據包標頭包含路由信息。Windows2000支持第2層〔數據鏈路層隧道協議,比如PPTP和L2TP,這些協議先將數據封裝進PPP幀,然后再通過線路進行傳輸。第3層〔網絡層隧道協議〔如IPSec也受支持,在這里IP數據包在傳輸前先被封裝進IP標頭。

VPN方案

利用VPN有許多種方式。但可能最通常的方案是遠程用戶通過VPN隧道訪問企業網絡。在其他方案中,遠程辦公室可以使用持續的或請求撥號VPN連接方式連接企業網絡。VPN還可以部署在外部網方案中以便與商業伙伴進行安全通訊。本文將討論第一種方案下的VPN部署,即遠程用戶通過VPN隧道連接企業網絡。

為VPN配置Windows2000Server

要配置VPN服務器,計算機必須至少有兩個接口。要設置Windows2000server用于VPN,請使用以下步驟：

打開"管理工具"中的"路由和遠程訪問"控制臺

右鍵單擊服務器,然后單擊配置并啟用路由和遠程訪問

"安裝向導"啟動,單擊"下一步"

選擇手動配置服務器,如圖1所示,單擊"下一步"

單擊"完成"結束安裝向導

圖1在服務器上啟用VPN

請不要使用虛擬專用網絡<VPN>服務器選項。"路由和遠程訪問"向導不允許路由,解釋請見MicrosoftKnowledgeBase文章Q243374。VPN選項為傳入VPN連接配置服務器,并通過配置篩選器只允許PPTP或L2TP通信來保護服務器。如果這正是您所需要的,則不必擔心。但請注意,使用該選項將導致"路由和遠程訪問"阻止除PPTP和L2TP之外的所有數據包。

在用戶能夠使用VPN連接您的服務器前,還需要采取一個步驟。即需要給用戶相應的撥入權限以訪問網絡。這可以通過在"遠程訪問策略"中授予用戶遠程訪問權限來實現,如圖2所示；也可以通過在ActiveDirectory"用戶和計算機"中基于每用戶配置撥入權限來實現。

圖2授予遠程訪問權限

默認情況下,所創建的VPN端口數目有所不同,具體取決于是否選擇最后一個選項手動配置服務器。如果選擇了該選項,則只創建5個PPTP和5個L2TP端口,如果選擇了中間選項虛擬專用網絡<VPN>服務器,則創建128個PPTP和128個L2TP端口。通過選擇"路由和遠程訪問"控制臺中的"端口屬性",您始終可以調整端口數。

備注如果VPN客戶端要通過路由器或防火墻,并且使用的是PPTP,請確保允許TCP端口1723和IP協議ID47〔GRE-常規路由封裝通過路由器或防火墻。如果使用的是L2TP,則需要打開UDP端口500<IKE>、協議ID50<IPSecESP>和協議ID51<IPSecAH>。

客戶端配置

要連接企業端的VPN服務器,首先需要保證能夠通過撥入ISP連接Internet,除非擁有對Internet的專用連接〔比如DSL才不需要撥號。連接到Internet即讓您置身于企業VPN服務器所連接的同一全球Internet主干網上。然后您建立第二連接以創建VPN隧道。

要創建到企業服務器的第二連接,請按以下步驟操作：

轉到"開始","設置","網絡和撥號連接",然后選擇"建立新連接"來啟動"網絡連接向導"。

在"網絡連接類型"屏幕上選擇通過Internet連接到專用網絡,如圖3所示。

在"公用網絡"屏幕上,您可以如此配置：建立到企業VPN服務器的第二連接之前,首先自動撥叫ISP。只有在使用調制解調器或ISDN"撥入"ISP以連接Internet時才可使用該選項。

按照屏幕上的說明完成向導。

圖3網絡連接類型

默認情況下,使用該連接時,只具有鍵入用戶名和密碼的選項。要添加"域"選項,請單擊"屬性",然后在"選項"選項卡上選擇包含Windows登錄域框,如圖4所示。

視連接VPN服務器方式的不同,您將使用MPPE加密或IPSec加密。如果連接到PPTP服務器,則使用MPPE,但如果連接到L2TP服務器,則使用IPSec。默認情況下,VPN被配置為自動服務器類型,這意味著在嘗試使用MPPE加密的PPTP之前首先嘗試使用IPSec加密的L2TP。MPPE的工作方式與IPSec不同。由于數據包到達目的地的先后順序不同,MPPE使用標頭中的序列號來跟蹤數據包。MPPE根據序列號來更改每個數據包的加密密鑰。使用L2TP連接需要IPSec證書。如果在建立VPN連接時遇到問題,請嘗試選擇PPTP代替默認的"自動"選項作為連接類型。如果選擇了"自動"設置而不能協商IPSec會話,則在它退到PPTP之前可能需要等待很長時間〔最長可達2分鐘。

通過在"遠程訪問策略"的"屬性"下選擇"編輯配置文件"可以配置四個加密選項。在"加密"選項卡上,您可以選擇"無"加密、"基本"、"強"或"最強"加密。"最強"加密〔128位只有在安裝了Windows2000HighEncryptionPack的情況下可用〔推薦安裝Windows2000ServicePack1。

下表顯示了撥號和PPTP與IPSec上的L2TPVPN連接加密類型的比較：

了解數據包結構

PPTP數據包結構

圖5〔下圖顯示了通過隧道時PPTP數據包的結構。首先,通過將加密的PPP數據與PPP標頭封裝在一起來創建PPP幀。然后,將PPP幀與GRE標頭封裝在一起。再后,將生成的有效負載與IP標頭封裝在一起,IP標頭中包含源IP地址和目標IP地址的信息。最后,該IP數據文報與數據鏈路層標頭和尾端封裝在一起。視所使用技術的不同,數據鏈路層標頭和尾端也有所不同。例如,當通過以太網發送IP數據文報時,它與以太網標頭和尾端一起封裝,當通過模擬電話線路發送時,它與PPP標頭和尾端一起封裝,等等。當數據包到達目的地時,各標頭以相反的順序剝離。首先,數據鏈路層標頭和尾端被除去,然后IP、GRE和PPP標頭被依次剝離。最后,PPP數據被解密。

圖6PPTP數據包結構

L2TP數據包結構

L2TP的數據包結構與PPTP有些類似,也有一些標頭添加到PPP數據中。圖6顯示了L2TP數據包的結構。請注意,UDP標頭和IPSec尾端間的所有數據均被加密。

圖7L2TP數據包結構

流行的解決方案

VPN是遠程辦公者對企業網絡進行安全訪問的有效方法。它通過公用網絡提供LAN的安全擴展,因此在遠程分支機構和外部網方案中也很有用。與傳統的撥號解決方案相比,VPN由于其易于管理和總體擁有成本更低而變得非常流行。構建基于WINDOWS2000的VPN

一．VPN概述

1．VPN的一些基本知識

VPN,全稱為VirtualPrivateNetwork,中文翻譯為虛擬專用網,這幾年非常使流行。它是一個加密或封裝的通信過程,兩個節點之間所發生的通信都是通過加密的。它也是專用網絡的一個擴展,但不需要ISP或電話公司設置一個獨立的額外的連接來提供連通性。VPN通常在Internet上實現,然而,VPN也可以通過專用線路,幀中繼/ATM,或普通的舊式電話網POTN〔如ISDN,xDSL等來實現。VPN的通信是依靠加密來實現的,而加密軟件對原有的大部分系統來說并不使用,要專用的打包器。

這里主要討論基于Internet上的VPN的使用。VPN不限于站點間的連接,它們還允許遠程的客戶安全的連接到辦公室的網絡上。

VPN為通過公共網絡的不安全連接提供安全性和可靠性,VPN基本用來合作構成一個安全連接的三種技術組成,即：身份驗證,隧道和加密。

。身份驗證確保VPN會話建立之前的客戶和服務器是他們本身,但并不需要相互驗證,在隧道建立和數據傳輸之前要求成功的驗證。要盡可能的提供最強的驗證級別。諸如：EAP,MS-CHAP或MS-CHAPv2等身份驗證協議。

。隧道用來將網絡協議〔TCP/IP,IPX/SPX等包裝到可在Internet上傳遞的IP數據包中。在windows2000中負責創建隧道連接的兩個協議是PPTP和L2TP〔L2TP是PPTP和L2F合并而成的。L2TP比PPTP更為高級,并且使用IPSec驗證和加密協議。只有在RRAS的Windows2000版本中才能使用L2TP,而Windows2000客戶是唯一使用它的客戶,NT4.0和98只能用PPTP。

。加密Windows2000支持兩種加密技術：MMPE〔Microsoft點對點加密和IPSec.你可以要求遠程客戶或站點使用其中的一種方法加密,如果它們不使用規定的方法,你可以配置RRAS拒絕連接。

MMPE支持三種方案：標準的40位和56位。在美國個加拿大還使用加強的128位加密。要使用MMPE,必須使用MS-CHAP或MS-CHAPv2等身份驗證協議。

IPSec實際上是一基于加密技術的服務和協議的集合。為使用L2TP的VPN連接提供了身份驗證和加密,如EAP和MS-CHAP。在Windows2000中的IPSec實現了數據加密標準DES或DES3。DES是在國際上通用的,而DES3只能在美國用。因為美國是把加密技術當成軍火才出售的,因此其他地區只能使用DES〔由此可見,美國佬確實有點可恨！！

2．實現VPN的一些考慮

VPN的應有有四個領域：

。企業內部網Intranet

。遠程訪問

。企業外部網Extranet

。企業內的VPN

也許前面三個大家都很理解,但是這最后似乎有點不可理喻；內部做VPN干什么？其實,這主要是為了安全的考慮。根據調查顯示,很多時候網絡安全的威脅不僅是來自外部,更多的是來自企業內部。通過在企業內部實現VPN,可以保證財務,金融等數據的安全性。

但是,如果僅僅因為VPN是一個很時髦的技術而采用它,是否有點過于浪費〔不過,如果你的公司很有錢的話也很可以這樣牛一下。在考慮是否要采用VPN之前請先考慮一下如下幾個問題：

。安全所傳遞的數據真的需要如此高級別的安全性嗎？

。預算〔這個不言而喻。

。吞吐量由于數據加密等一些額外的開銷,網絡的性能可能會下降30%~50%。

如果以上三點你都可以接受的話,那么,你可以考慮實施VPN了。

另外,還不得不考慮一些技術上的問題：

。IP地址問題你必須擁有已經注冊了的合法的IP地址空間

。DNS問題

。路由選擇

。網絡地址轉換

。加密技術

3．解決方案

實現VPN,總的來說有這么三種解決方案：

。撥號VPN遠程客戶à本地ISPàWindows2000的VPN服務器。可節省遠程用戶的電話費,還能節省VPN服務器站點的許多投資,在許多情況下,能替代所需的大量調制解調器。

。站點到站點可使用兩個或多個Windows2000VPN服務器建立它們之間的VPN連接,兩個站點之間的通信被安全的定義。

。組合方案組合以上兩種方案。

二．實施VPN

自從WindowsNT4.0的RRAS以來,Microsoft就支持VPN了。在Windows2000中也繼續得到了支持。建立VPN首先需要安裝RRAS。

1．安裝和啟動RRAS

RRAS在Windows2000Server安裝的時候已經自動安裝了,但是處于禁用狀態,要使用RRAS需要先啟動它。步驟：開始|程序|系統管理工具|路由與遠程訪問,在彈出的"路由與遠程訪問"窗口中,選定要啟用的服務器,然后單擊工具欄中的"操作"|配置和啟用路由與遠程訪問,啟動配置向導。

2．如何配置RRAS

2．1配置Internet連接服務器可選ICS和NAT。

如果選擇了ICS,你會被詢問通過網絡或撥號連接配置ICS,要通過撥號配置ICS,按如下過程完成：開始|設置|網絡和撥號連接,在撥號或VPN上右擊->屬性,在共享選項卡中,選擇"啟用此連接的Internet連接共享"。該選項允許網絡上的另一臺計算機使用這個Internet連接。然后確定〔注意彈出的提示消息！！

如果選擇了NAT的ICS路由器,可以把Windows2000配置成Internet連接路由器,這個路由器使用通過一個NIC〔網卡連接的NAT,支持以下內容：

。多個IP地址

。多個SOHO接口

。用于網絡客戶的可配置的IP地址范圍

*注意在一個有其他的DC,DNS服務器或者DHCP服務器的網絡中使用此選項。

這個選項有兩個關聯的選項可供選擇：使用選擇的Internet連接或創建一個新的請求撥號的Internet連接。如果選擇了第二個選項,會啟動撥號連接向導,按照向導完成配置。

2.2配置遠程訪問服務器〔略,可按照向導逐步完成

2.3虛擬專用〔VPN服務器

SERVER端：檢查所需的協議是否已經安裝,選擇用來連接Internet的連接方式。如果你有一個DHCP服務器,就應當使用這個服務器,如果沒有,VPN服務器將從一個IP地址范圍內為客戶分配一個IP地址〔下一步將會提示你輸入IP地址的范圍。如果是使用DHCP服務器,下一步將會詢問你是否使用一個RADIUS服務器,保留默認的"不"。

CLIENT端：很多操作系統都可以做為客戶端操作系統,如WindowsNT/9X,UNIX及其變種,Macintosh等。這里介紹windows2000的客戶。確保在配置客戶端應用程序之前,已經安裝了一個調制解調器和驅動程序。

執行步驟：開始|設置|網絡和撥號連接,雙擊啟動"新建連接"。與RRAS服務器相關的選項是"撥號到專用網絡"和"通過Internet連接到專用網絡"。可以選擇第一個,按照向導完成。請注意不要將"Internet連接共享"復選框選中。

指定連接的安全設置：如果你覺得不必配置安全性的話,那么,在上一步其實你就已經完成了VPN的配置了。但是事實是你還得配置這一步。返回"網絡和撥號連接",雙擊剛才建立的連接,右鍵|屬性|安全措施,在這里配置客戶使用服務器是采用的安全機制。單選"高級",設置,在下一屏中配置安全措施和加密協議等。

三．VPN訪問策略

遠程訪問連接根據用戶的帳號和遠程訪問策略被授權訪問。當添加遠程訪問策略時,一個用戶只能使用一個策略。

添加策略：在控制臺左邊,右擊遠程策略,選擇"新建遠程訪問策略",按照向導完成。

四．管理和排除RRAS故障

1．管理如果你有多個RRAS服務器,可以將他們放在一個管理單元中進行管理。右擊"服務器狀態",選擇"添加服務器",或者在"操作"中選擇"添加新的服務器"。

2．監視單擊"服務器狀態",可在右邊查看服務器的名稱,類型,狀態,服務器上的端口數量總數,使用中的端口數量等。

3．查看路由選擇表

命令行查看：routeprint

或者在RRAS控制臺中,展開控制臺樹,顯示出IP路由選擇或者IPX路由選擇子數下的靜態路由條目,右擊"靜態路由"并選擇"顯示IP路由選擇表"或者"顯示IPX路由選擇表"

4．添加靜態路由表對于家庭用戶或者小型辦公環境,可以手工向路由選擇表中添加靜態

路由,以便能連接到另一個網絡

命令行方式：routeaddWindows2000路由和遠程訪問

一、前期準備工作在配置遠程訪問之前,需要做一些前期準備工作。路由和遠程訪問是Windows2000server下的一個工具,所以我們得先安裝Windows2000server,另外還需要一個調制解調器和電話線〔當然,ISDN也行,并為調制解調器安裝正確的驅動程序。二、配置遠程訪問進入我的電腦→控制面板→管理工具→路由和遠程訪問,右擊FENGYUN<本地>[FENGYUN為計算機名],在彈出菜單中選擇"配置并啟用路由和遠程訪問"〔圖1。圖一出現路由和遠程訪問服務器安裝向導,點擊"下一步",出現如圖2的畫面：圖二由于我們配置路由和遠程訪問的目的是為了讓遠程計算機通過代理上網和文件訪問,所以選擇"遠程訪問服務器",并點擊"下一步"繼續,根據自己的需求選擇"設置一個基本的遠程訪問服務器"或"設置一個高級遠程訪問服務器",筆者選的是第二項,點擊"下一步"繼續〔圖3圖三然后計算機出現遠程客戶協議<圖4>對話框,選擇"是,所有要求的協議都在此列表中",并點擊"下一步"繼續。請注意：這里至少有要有TCP/IP和NetBEUI兩種協議,TCP/IP協議是用來路由并代理上網,而NetBEUI則是用來解析計算機名,這兩種協議缺一不可,假如需要添加協議,則可選擇"否,我需要添加協議",把需要的協議添加進來。圖四協議配置完畢后,計算機詢問"您想如何對遠程客戶分配IP地址",筆者選擇的是"自動",并點擊"下一步"繼續〔圖5圖五讀者則可根據自己的實際情況進行設置。假如選擇"自動",則在這個子網必須要有一臺DHCP服務器,這臺DHCP服務器可以是路由和遠程訪問服務本身,也可以是子網內的其他計算機,假如子網內沒有DHCP服務器,則只能選擇"來自一個指定的地址范圍",手動指定IP地址。IP地址配置完以后,計算機詢問"您想設置此遠程訪問服務器使用一個現有的RADIUS服務器呢",選擇"不,我現在不想設置此服務器使用RADIUS",并點擊"下一步"繼續,出現配置"路由和遠程訪問"的信息對話框,點擊"完成"結束"路由和遠程訪問"的配置<圖六>。圖六配置完"路由和遠程訪問"工具以后,我們發現FENGYUN<本地>的箭頭變有綠色向上,在沒配置之時是紅色向下〔圖7。點擊端口,上部分為VPN端口,最下邊為調制解調器端口。圖七三、管理遠程訪問配置完"路由和遠程訪問"以后,工作并沒有結束,你想遠程客戶拔號進來,還得對你的帳戶進行設定。進入我的電腦→控制面板→管理工具→計算機管理,展開"本地用戶和組",點擊"用戶",選擇一個用戶或者新建用戶,點擊右鍵→屬性→拔入〔圖8圖八在"遠程訪問權限"中選擇"允許訪問"〔必選,假如你想節省電話費,則可在"回拔選項"選擇"總是回拔到",并在這里填入你的電話號碼〔注意,以后不管是哪部電話拔過來,只要是這個帳戶,即會回拔到你指定的號碼,然后確定。重復以上這個步驟,為多個帳戶建立遠程訪問服務。服務端設置現已全部完成,接下來將設置客戶端。客戶端設置其實與平常大家上互聯網設置差不多,同樣確定與路由和遠程訪問服務器一樣,要至少有TCP/IP和NetBEUI兩種協議。進入我的電腦→控制面板→網絡和拔號連接,雙擊"新建連接"→下一步→選擇"拔號到專用網絡"或者"拔號到Internet"→然后填上"路由和遠程訪問"服務器的電話號碼→確定。四、測試遠程訪問在網絡和拔號連接中,雙擊我的連接,輸入遠程服務器設置的帳戶和密碼,確定。連接成功后,雙擊網上鄰居,查看遠程子網的計算機〔圖9,然后進入你平常共享的目錄去讀取你想要的東西吧。恭喜,遠程訪問測試通過。圖九如想通過遠程服務器代理上網,則需在遠程服務器或遠程服務器的子網安裝代理服務器軟件,并配置好相關設置,這里不再累述。

WINDOWS2000下VPN詳細配置實例

目前,規模比較大點的公司都有自己的分公司,如何讓分公司隨時同公司總部保持安全、高效率、低成本、多用途的連接,這是擺在每一個企業面前的難題。傳統的方法有專線連接、撥號連接、IP地址直接訪問等,可是它們要么費用高昂,要么功能單一,還可能帶來安全隱患。而使用VPN連接則將使這些難題迎刃而解。

首先簡單介紹一下VPN,其英文全稱為VirtualPrivateNetwork,即虛擬專用網絡。VPN技術是指在公共網絡中建立專用網絡,是"線路中的線路",數據通過安全的"加密通道"在公共網絡中傳播,具有良好的保密性和抗干擾性。企業只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構就可以互相傳遞信息；同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以連接進入企業網中。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺〔如INTERNET,ATM,FRAMERELAY等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。VPN還提供遠程訪問,它擴展性強、便于管理和實現全面控制,并可節省成本。采用VPN技術是今后企業網絡發展的趨勢。

要實現VPN連接,企業內部網絡中必須有一臺基于WindowsNT或Windows2000Server的VPN服務器,VPN服務器一方面連接企業內部專用網絡,另一方面要連接到Internet,這就要求VPN服務器必須擁有一個公共的IP地址。當客戶機通過VPN連接與專用網絡中的計算機進行通信時,先由ISP〔Internet服務提供商將所有的數據傳送到VPN服務器,然后再由VPN服務器負責將所有的數據傳送到目標計算機。在Windows2000中有兩種類型的VPN技術：1.對點隧道協議<PPTP>：用于數據加密,PPTP使用用戶級的點到點協議<PPP>身份驗證方法及Microsoft點到點加密<MPPE>。2.帶有IP協議安全<IPSec>的第二層隧道協議<L2TP>：L2TP使用用戶級PPP身份驗證方法和帶有IPSec數據加密的機器級證書。我配置的實例是一個遠程客戶端<Windows2000Pro>與一個公司總部VPNserver<Windows2000Pro>之間的連接,主要有三個步驟:1.配置VPN服務器,使之能夠接受VPN接入。2.VPN客戶端〔Win2000的配置。3.建立客戶端與服務器間的VPN連接。具體步驟如下：首先,需要公司總部的計算機〔以下稱之為"VPN服務器"和分公司的計算機〔以下稱之為"VPN客戶機"均應能訪問Internet,并且VPN服務器擁有一個Internet上合法的IP地址〔即公網IP。然后,當VPN客戶機通過虛擬撥號和VPN服務器連接成功,VPN客戶機就成了VPN服務器所在局域網的一部分。在此局域網內,任意一臺計算機均可以根據權限訪問其他計算機上的軟硬件共享資源,操作方法和普通局域網完全一樣。1．VPN服務器的配置VPN服務器端操作系統可以是WinNT4.0/Win2000/WinXP/Win2003；相關組件為系統自帶；要求VPN服務器已經連入Internet,并且擁有一個獨立的公網IP。我選用在Windows2000Server〔以下簡稱"Win2000”中配置VPN服務器為例。〔1依次進入"開始"→"程序"→"管理工具"→"路由和遠程訪問"打開"路由和遠程訪問"控制臺。〔2在左邊框架中"SERVER〔本地"〔"SERVER"為服務器名處單擊右鍵,選擇"配置并啟用路由和遠程訪問"打開"路由和遠程訪問安裝向導"窗口。〔3在"歡迎使用路由和遠程訪問安裝向導"一步介紹本向導的作用。沒有可以設置的選項,直接單擊"下一步"按鈕繼續。〔4在"公共設置"一步需要選擇所相應的公共配置。默認選項為"Internet連接服務器",需要改選為"虛擬專用網絡〔VPN服務器",然后單擊"下一步"按鈕繼續。〔5在"遠程客戶協議"一步顯示的是當前VPN訪問可使用協議的列表。默認選項為"是,所有可用的協議都在列表上",不用修改,直接單擊"下一步"按鈕繼續。〔6在"Internet連接"一步需要指定服務器所使用的連接。默認選項為"無Internet連接",不用修改,直接單擊"下一步"按鈕繼續。〔7在"IP地址"一步需要選擇為遠程VPN客戶端指定IP地址的方法。默認選項為"自動",由于本機沒有配置DHCP服務器,因此需要改選為"來自一個指定的地址范圍",然后單擊"下一步"按鈕繼續。〔8在"地址范圍指定"一步可以為VPN客戶機指定所分配的IP地址范圍。比如打算分配的IP地址范圍為"192.168.0.100”～"192.168.0.200”,則單擊"新建"按鈕打開"新建地址范圍"窗口,按提示輸入后單擊"確定"按鈕返回"地址范圍指定"一步,然后單擊"下一步"按鈕繼續。

注意：這些IP地址將分配給VPN服務器和VPN客戶機。為了確保連接后的VPN網絡能同VPN服務器原有局域網正常通信,它們必須同VPN服務器的IP地址處在同一個網段中。即：假設VPN服務器IP地址為"192.168.0.1”,則此范圍中的IP地址均應該以"192.168.0”開頭。〔9在"管理多個遠程訪問服務器"一步用于設置集中管理多個VPN服務器。默認選項為"不,我現在不想設置此服務器使用RADIUS",不用修改,直接單擊"下一步"按鈕繼續。〔10在"正在完成路由和遠程訪問服務器安裝向導"一步說明已經配置完成。沒有可以設置的選項,直接單擊"完成"按鈕繼續。〔11此時屏幕上將出現一個名為"正在啟動路由和遠程訪問服務"的小窗口,過一會兒將自動返回"路由和遠程訪問"控制臺,出現如〔圖1畫面,即結束了VPN服務器的配置工作。

說明：此時"服務"控制臺中的"RoutingandRemoteAccess"服務已經"自動"處于"已啟動"狀態了；而在"網絡和撥號連接"窗口中也會多出一個"傳入的連接"圖標。2．賦予用戶撥入權限默認的,包括Administrator用戶在內的所有用戶均被拒絕撥入到VPN服務器上,因此需要為相應用戶賦予撥入權限。本文以"water"用戶為例。〔1在"我的電腦"處單擊右鍵,選"管理"打開"計算機管理"控制臺。〔2在左邊框架中依次展開"本地用戶和組"→"用戶",在右邊框架中雙擊"water"打開"water屬性"窗口。〔3轉到"撥入"選項卡,在"選擇訪問權限〔撥入或VPN"選項組下默認選項為"通過遠程訪問策略控制訪問",改選為"允許訪問",然后單擊"確定"按鈕返回"計算機管理"控制臺,即結束了賦予"water"用戶撥入權限的工作。3．VPN客戶機〔Win2000的配置VPN客戶機端的操作系統可以是Win98/WinNT4.0/Win2000/WinXP/Win2003,相關組件均為系統自帶,且要求VPN客戶機已經連入Internet。我還是選擇在Windows2000Server〔以下簡稱"Win2000”中配置VPN客戶機為例。〔1在"網上鄰居"處單擊右鍵,選"屬性"打開"網絡和撥號連接"窗口。〔2雙擊"新建連接"圖標打開"網絡連接向導"窗口。〔3在"歡迎使用路由和遠程訪問安裝向導"一步介紹本向導的作用。沒有可以設置的選項,直接單擊"下一步"按鈕繼續。〔4在"網絡連接類型"一步可以選擇所創建的網絡連接類型。默認選項為"撥號到專用網絡",需要改選為"通過Internet連接到專用網絡",然后單擊"下一步"按鈕繼續。〔5在"公用網絡"一步可以選擇是否在VPN連接前自動撥號。默認選項為"自動撥此初始連接",需要改選為"不撥初始連接",然后單擊"下一步"按鈕繼續。〔6在"目標地址"一步需要提供VPN服務器的主機名或IP地址。在文本框中輸入VPN服務器的公網IP,比如為"218.88.135.48”,然后單擊"下一步"按鈕繼續。〔7在"可用連接"一步可以選擇此連接僅允許當前客戶機當前登錄用戶使用,還是可讓客戶機中所有用戶使用。默認選項為"所有用戶使用此連接",根據需要進行選擇,然后單擊"下一步"按鈕繼續。〔8在"完成網絡連接向導"一步可以更改本新連接的名稱。默認為"虛擬專用連接",可不用修改,也可改為任意內容,比如為"到公司總部",并勾選中"在我的桌面添加一快捷方式"復選框,然后單擊"完成"按鈕繼續。〔9之后會自動彈出名為"連接到公司總部"的連接窗口。在"用戶名"處輸入"water"〔大小寫不限,在"密碼"處輸入相應的密碼,根據需要勾選中"保存密碼"復選框,然后單擊"連接"按鈕繼續。

注意：此處輸入的用戶名應為VPN服務器上已經建立好,并設置了具有撥入服務器權限的用戶,密碼也為其密碼。〔10連接成功之后可以看到,雙方的任務欄右側均會出現兩個撥號網絡成功運行的圖標,其中一個是到Intenet的連接,另一個則是VPN的連接了！注意：當雙方建立好了通過Internet的VPN連接后,即相當于又在Internet上建立好了一個雙方專用的虛擬通道,而通過此通道,雙方可以在網上鄰居中進行互訪,也就是說相當于又組成了一個局域網絡！這個網絡是雙方專用的,而且具體良好的保密性能。VPN建立成功之后,雙方便可以通過IP地址或"網上鄰居"來達到互訪的目的,當然也就可以使用對方所共享出來的軟硬件資源了！VPN網絡實際應用中遇到的問題及解決辦法:〔1當VPN網絡建立成功之后,VPN客戶機如何訪問VPN服務器和VPN服務器所在的局域網？解決方法：像普通局域網一樣,相互之間可以通過"網上鄰居",或者直接在任意窗口地址欄輸入"\\對方IP地址"〔如"\\100.100.100.3”等方式來訪問對方共享出的軟硬件資源。〔2VPN網絡建立成功之后,VPN客戶機便不能訪問Internet了。如何才能做到VPN網絡訪問和Internet訪問兩不誤？解決方法：這是因為VPN客戶機系統使用了VPN服務器所定義的網關來覆蓋了原有的網關,從而切斷了VPN客戶機訪問Internet的路徑。解決方法是禁止VPN客戶機使用VPN服務器上的默認網關。具體操作方法如下：對于Win2000客戶機,在"網絡和撥號連接"窗口中,先選中相應的連接名,比如為"到公司總部",單擊右鍵,選"屬性"打開"到公司總部屬性"窗口。再轉到"網絡"選項卡,雙擊列表中的"Internet協議〔TCP/IP"打開"Internet協議〔TCP/IP屬性"窗口。然后單擊"高級"按鈕進入"高級TCP/IP設置"窗口的"常規"選項卡,去掉"在遠程網絡上使用默認網關"前的小勾即可。〔3為什么VPN網絡建立成功之后,已經建立連接的VPN客戶機和VPN服務器〔含其下原有的局域網計算機無法顯示在對方的"網上鄰居"中？解決方法：首先確保VPN客戶機和VPN服務器均擁有相同的"工作組"名,然后還需要在VPN服務器與VPN客戶端上均安裝"NetBEUI"協議〔建議同時安裝"IPX/SPX"協議。〔4VPN網絡建立成功之后,用什么方法可以迅速、全面、直觀地查看網絡中所有活動計算機的計算機名、占用的IP地址及共享資源？解決方法：可以用IP-Tools軟件。其下載地址為：〔1.06MB。下載之后直接運行即可很容易完成安裝。運行IP-Tools的主程序之后單擊工具欄左起第4個"NBScanner"按鈕,根據提示輸入起始IP地址后,再單擊"Start"按鈕即可搜索到相應內容。最后總結一下采用VPN的好處：

1.降低了費用：首先,遠程用戶可以通過向當地的ISP申請賬戶登錄到Internet,以Internet作為通道與企業內部專用網絡相連,通信費用大幅度降低；其次,企業可以節省購買和維護通信設備的費用。2.增強了安全性：VPN使用三個方面的技術保證了通信的安全性：通道協議、身份驗證和數據加密。客戶機向VPN服務器發出請求,VPN服務器響應請求并向客戶機發出身份質詢,客戶機將加密的響應信息發送到VPN服務端,VPN服務器根據用戶數據庫檢查該響應,如果賬戶有效,VPN服務器將檢查該用戶是否具有遠程訪問的權限,如果該用戶擁有遠程訪問的權限,VPN服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。3.支持最常用的網絡協議：基于IP、IPX和NetBUI協議的網絡中的客戶機都能很容易地使用VPN。4.有利于IP地址安全：VPN是加密的,VPN數據在Internet中傳輸時,Internet上的用戶只看到公共的IP地址,看不到數據包內包含的專用網絡地址。Win2K的VPN的使用詳解1．關于VPN

〔1虛擬專用網絡〔VirtualPrivateNetwork,VPN是專用網絡的延伸,它包含了類似Internet的共享或公共網絡鏈接。通過VPN可以以模擬點對點專用鏈接的方式通過共享或公共網絡在兩臺計算機之間發送數據。

〔2如果說得再通俗一點,VPN實際上是"線路中的線路",類型于城市大道上的"公交專用線",所不同的是,由VPN組成的"線路"并不是物理存在的,而是通過技術手段模擬出來,即是"虛擬"的。不過,這種虛擬的專用網絡技術卻可以在一條公用線路中為兩臺計算機建立一個邏輯上的專用"通道",它具有良好的保密和不受干擾性,使雙方能進行自由而安全的點對點連接,因此被網絡管理員們非常廣泛地關注著。

〔3本節的VPN服務器端使用Win2K；客戶機端使用Win98。

2．配置VPN服務器

〔1尚未配置：Win2K中的VPN包含在"路由和遠程訪問服務"中。當你的Win2K服務器安裝好之后,它也就隨之自動存在了！不過此時當你打開"管理工具"中的"路由和遠程訪問"項進入其主窗口后,在左邊的"樹"欄中選中"服務器準狀態",即可從右邊看到其"狀態"正處于"已停止〔未配置"的情況下。

〔2開始配置：要想讓Win2K計算機能接受客戶機的VPN撥入,必須對VPN服務器進行配置。在左邊窗口中選中"SERVER"〔服務器名,在其上單擊右鍵,選"配置并啟用路由和遠程訪問"。

〔3如果以前已經配置過這臺服務器,現在需要重新開始,則在"SERVER"〔服務器名上單擊右鍵,選"禁用路由和遠程訪問",即可停止此服務,以便重新配置！

〔4當進入配置向導之后,在"公共設置"中,點選中"虛擬專用網絡〔VPN服務器",以便讓用戶能通過公共網絡〔比如Internet來訪問此服務器。

〔5在"遠程客戶協議"的對話框中,一般來說,這里面至少應該已經有了TCP/IP協議,則只需直接點選"是,所有可用的協議都在列表上"再"下一步"即可。

〔6之后系統會要求你再選擇一個此服務器所使用的Internet連接,在