VPN安装(全程图解)实用于企业架设VPN服务器

./VPN安装使用图解尽管术语"虚拟专用网络<VPN>"定义相当广泛,但大多数业内专家使用VPN代表的是通过公用网络〔比如Internet建立专用虚拟隧道。通过VPN,数据被封装成数据包,经由公用网络安全地传输,数据包标头包含路由信息。Windows2000支持第2层〔数据链路层隧道协议,比如PPTP和L2TP,这些协议先将数据封装进PPP帧,然后再通过线路进行传输。第3层〔网络层隧道协议〔如IPSec也受支持,在这里IP数据包在传输前先被封装进IP标头。

VPN方案

利用VPN有许多种方式。但可能最通常的方案是远程用户通过VPN隧道访问企业网络。在其他方案中,远程办公室可以使用持续的或请求拨号VPN连接方式连接企业网络。VPN还可以部署在外部网方案中以便与商业伙伴进行安全通讯。本文将讨论第一种方案下的VPN部署,即远程用户通过VPN隧道连接企业网络。

为VPN配置Windows2000Server

要配置VPN服务器,计算机必须至少有两个接口。要设置Windows2000server用于VPN,请使用以下步骤：

打开"管理工具"中的"路由和远程访问"控制台

右键单击服务器,然后单击配置并启用路由和远程访问

"安装向导"启动,单击"下一步"

选择手动配置服务器,如图1所示,单击"下一步"

单击"完成"结束安装向导

图1在服务器上启用VPN

请不要使用虚拟专用网络<VPN>服务器选项。"路由和远程访问"向导不允许路由,解释请见MicrosoftKnowledgeBase文章Q243374。VPN选项为传入VPN连接配置服务器,并通过配置筛选器只允许PPTP或L2TP通信来保护服务器。如果这正是您所需要的,则不必担心。但请注意,使用该选项将导致"路由和远程访问"阻止除PPTP和L2TP之外的所有数据包。

在用户能够使用VPN连接您的服务器前,还需要采取一个步骤。即需要给用户相应的拨入权限以访问网络。这可以通过在"远程访问策略"中授予用户远程访问权限来实现,如图2所示；也可以通过在ActiveDirectory"用户和计算机"中基于每用户配置拨入权限来实现。

图2授予远程访问权限

默认情况下,所创建的VPN端口数目有所不同,具体取决于是否选择最后一个选项手动配置服务器。如果选择了该选项,则只创建5个PPTP和5个L2TP端口,如果选择了中间选项虚拟专用网络<VPN>服务器,则创建128个PPTP和128个L2TP端口。通过选择"路由和远程访问"控制台中的"端口属性",您始终可以调整端口数。

备注如果VPN客户端要通过路由器或防火墙,并且使用的是PPTP,请确保允许TCP端口1723和IP协议ID47〔GRE-常规路由封装通过路由器或防火墙。如果使用的是L2TP,则需要打开UDP端口500<IKE>、协议ID50<IPSecESP>和协议ID51<IPSecAH>。

客户端配置

要连接企业端的VPN服务器,首先需要保证能够通过拨入ISP连接Internet,除非拥有对Internet的专用连接〔比如DSL才不需要拨号。连接到Internet即让您置身于企业VPN服务器所连接的同一全球Internet主干网上。然后您建立第二连接以创建VPN隧道。

要创建到企业服务器的第二连接,请按以下步骤操作：

转到"开始","设置","网络和拨号连接",然后选择"建立新连接"来启动"网络连接向导"。

在"网络连接类型"屏幕上选择通过Internet连接到专用网络,如图3所示。

在"公用网络"屏幕上,您可以如此配置：建立到企业VPN服务器的第二连接之前,首先自动拨叫ISP。只有在使用调制解调器或ISDN"拨入"ISP以连接Internet时才可使用该选项。

按照屏幕上的说明完成向导。

图3网络连接类型

默认情况下,使用该连接时,只具有键入用户名和密码的选项。要添加"域"选项,请单击"属性",然后在"选项"选项卡上选择包含Windows登录域框,如图4所示。

视连接VPN服务器方式的不同,您将使用MPPE加密或IPSec加密。如果连接到PPTP服务器,则使用MPPE,但如果连接到L2TP服务器,则使用IPSec。默认情况下,VPN被配置为自动服务器类型,这意味着在尝试使用MPPE加密的PPTP之前首先尝试使用IPSec加密的L2TP。MPPE的工作方式与IPSec不同。由于数据包到达目的地的先后顺序不同,MPPE使用标头中的序列号来跟踪数据包。MPPE根据序列号来更改每个数据包的加密密钥。使用L2TP连接需要IPSec证书。如果在建立VPN连接时遇到问题,请尝试选择PPTP代替默认的"自动"选项作为连接类型。如果选择了"自动"设置而不能协商IPSec会话,则在它退到PPTP之前可能需要等待很长时间〔最长可达2分钟。

通过在"远程访问策略"的"属性"下选择"编辑配置文件"可以配置四个加密选项。在"加密"选项卡上,您可以选择"无"加密、"基本"、"强"或"最强"加密。"最强"加密〔128位只有在安装了Windows2000HighEncryptionPack的情况下可用〔推荐安装Windows2000ServicePack1。

下表显示了拨号和PPTP与IPSec上的L2TPVPN连接加密类型的比较：

了解数据包结构

PPTP数据包结构

图5〔下图显示了通过隧道时PPTP数据包的结构。首先,通过将加密的PPP数据与PPP标头封装在一起来创建PPP帧。然后,将PPP帧与GRE标头封装在一起。再后,将生成的有效负载与IP标头封装在一起,IP标头中包含源IP地址和目标IP地址的信息。最后,该IP数据文报与数据链路层标头和尾端封装在一起。视所使用技术的不同,数据链路层标头和尾端也有所不同。例如,当通过以太网发送IP数据文报时,它与以太网标头和尾端一起封装,当通过模拟电话线路发送时,它与PPP标头和尾端一起封装,等等。当数据包到达目的地时,各标头以相反的顺序剥离。首先,数据链路层标头和尾端被除去,然后IP、GRE和PPP标头被依次剥离。最后,PPP数据被解密。

图6PPTP数据包结构

L2TP数据包结构

L2TP的数据包结构与PPTP有些类似,也有一些标头添加到PPP数据中。图6显示了L2TP数据包的结构。请注意,UDP标头和IPSec尾端间的所有数据均被加密。

图7L2TP数据包结构

流行的解决方案

VPN是远程办公者对企业网络进行安全访问的有效方法。它通过公用网络提供LAN的安全扩展,因此在远程分支机构和外部网方案中也很有用。与传统的拨号解决方案相比,VPN由于其易于管理和总体拥有成本更低而变得非常流行。构建基于WINDOWS2000的VPN

一．VPN概述

1．VPN的一些基本知识

VPN,全称为VirtualPrivateNetwork,中文翻译为虚拟专用网,这几年非常使流行。它是一个加密或封装的通信过程,两个节点之间所发生的通信都是通过加密的。它也是专用网络的一个扩展,但不需要ISP或电话公司设置一个独立的额外的连接来提供连通性。VPN通常在Internet上实现,然而,VPN也可以通过专用线路,帧中继/ATM,或普通的旧式电话网POTN〔如ISDN,xDSL等来实现。VPN的通信是依靠加密来实现的,而加密软件对原有的大部分系统来说并不使用,要专用的打包器。

这里主要讨论基于Internet上的VPN的使用。VPN不限于站点间的连接,它们还允许远程的客户安全的连接到办公室的网络上。

VPN为通过公共网络的不安全连接提供安全性和可靠性,VPN基本用来合作构成一个安全连接的三种技术组成,即：身份验证,隧道和加密。

。身份验证确保VPN会话建立之前的客户和服务器是他们本身,但并不需要相互验证,在隧道建立和数据传输之前要求成功的验证。要尽可能的提供最强的验证级别。诸如：EAP,MS-CHAP或MS-CHAPv2等身份验证协议。

。隧道用来将网络协议〔TCP/IP,IPX/SPX等包装到可在Internet上传递的IP数据包中。在windows2000中负责创建隧道连接的两个协议是PPTP和L2TP〔L2TP是PPTP和L2F合并而成的。L2TP比PPTP更为高级,并且使用IPSec验证和加密协议。只有在RRAS的Windows2000版本中才能使用L2TP,而Windows2000客户是唯一使用它的客户,NT4.0和98只能用PPTP。

。加密Windows2000支持两种加密技术：MMPE〔Microsoft点对点加密和IPSec.你可以要求远程客户或站点使用其中的一种方法加密,如果它们不使用规定的方法,你可以配置RRAS拒绝连接。

MMPE支持三种方案：标准的40位和56位。在美国个加拿大还使用加强的128位加密。要使用MMPE,必须使用MS-CHAP或MS-CHAPv2等身份验证协议。

IPSec实际上是一基于加密技术的服务和协议的集合。为使用L2TP的VPN连接提供了身份验证和加密,如EAP和MS-CHAP。在Windows2000中的IPSec实现了数据加密标准DES或DES3。DES是在国际上通用的,而DES3只能在美国用。因为美国是把加密技术当成军火才出售的,因此其他地区只能使用DES〔由此可见,美国佬确实有点可恨！！

2．实现VPN的一些考虑

VPN的应有有四个领域：

。企业内部网Intranet

。远程访问

。企业外部网Extranet

。企业内的VPN

也许前面三个大家都很理解,但是这最后似乎有点不可理喻；内部做VPN干什么？其实,这主要是为了安全的考虑。根据调查显示,很多时候网络安全的威胁不仅是来自外部,更多的是来自企业内部。通过在企业内部实现VPN,可以保证财务,金融等数据的安全性。

但是,如果仅仅因为VPN是一个很时髦的技术而采用它,是否有点过于浪费〔不过,如果你的公司很有钱的话也很可以这样牛一下。在考虑是否要采用VPN之前请先考虑一下如下几个问题：

。安全所传递的数据真的需要如此高级别的安全性吗？

。预算〔这个不言而喻。

。吞吐量由于数据加密等一些额外的开销,网络的性能可能会下降30%~50%。

如果以上三点你都可以接受的话,那么,你可以考虑实施VPN了。

另外,还不得不考虑一些技术上的问题：

。IP地址问题你必须拥有已经注册了的合法的IP地址空间

。DNS问题

。路由选择

。网络地址转换

。加密技术

3．解决方案

实现VPN,总的来说有这么三种解决方案：

。拨号VPN远程客户à本地ISPàWindows2000的VPN服务器。可节省远程用户的电话费,还能节省VPN服务器站点的许多投资,在许多情况下,能替代所需的大量调制解调器。

。站点到站点可使用两个或多个Windows2000VPN服务器建立它们之间的VPN连接,两个站点之间的通信被安全的定义。

。组合方案组合以上两种方案。

二．实施VPN

自从WindowsNT4.0的RRAS以来,Microsoft就支持VPN了。在Windows2000中也继续得到了支持。建立VPN首先需要安装RRAS。

1．安装和启动RRAS

RRAS在Windows2000Server安装的时候已经自动安装了,但是处于禁用状态,要使用RRAS需要先启动它。步骤：开始|程序|系统管理工具|路由与远程访问,在弹出的"路由与远程访问"窗口中,选定要启用的服务器,然后单击工具栏中的"操作"|配置和启用路由与远程访问,启动配置向导。

2．如何配置RRAS

2．1配置Internet连接服务器可选ICS和NAT。

如果选择了ICS,你会被询问通过网络或拨号连接配置ICS,要通过拨号配置ICS,按如下过程完成：开始|设置|网络和拨号连接,在拨号或VPN上右击->属性,在共享选项卡中,选择"启用此连接的Internet连接共享"。该选项允许网络上的另一台计算机使用这个Internet连接。然后确定〔注意弹出的提示消息！！

如果选择了NAT的ICS路由器,可以把Windows2000配置成Internet连接路由器,这个路由器使用通过一个NIC〔网卡连接的NAT,支持以下内容：

。多个IP地址

。多个SOHO接口

。用于网络客户的可配置的IP地址范围

*注意在一个有其他的DC,DNS服务器或者DHCP服务器的网络中使用此选项。

这个选项有两个关联的选项可供选择：使用选择的Internet连接或创建一个新的请求拨号的Internet连接。如果选择了第二个选项,会启动拨号连接向导,按照向导完成配置。

2.2配置远程访问服务器〔略,可按照向导逐步完成

2.3虚拟专用〔VPN服务器

SERVER端：检查所需的协议是否已经安装,选择用来连接Internet的连接方式。如果你有一个DHCP服务器,就应当使用这个服务器,如果没有,VPN服务器将从一个IP地址范围内为客户分配一个IP地址〔下一步将会提示你输入IP地址的范围。如果是使用DHCP服务器,下一步将会询问你是否使用一个RADIUS服务器,保留默认的"不"。

CLIENT端：很多操作系统都可以做为客户端操作系统,如WindowsNT/9X,UNIX及其变种,Macintosh等。这里介绍windows2000的客户。确保在配置客户端应用程序之前,已经安装了一个调制解调器和驱动程序。

执行步骤：开始|设置|网络和拨号连接,双击启动"新建连接"。与RRAS服务器相关的选项是"拨号到专用网络"和"通过Internet连接到专用网络"。可以选择第一个,按照向导完成。请注意不要将"Internet连接共享"复选框选中。

指定连接的安全设置：如果你觉得不必配置安全性的话,那么,在上一步其实你就已经完成了VPN的配置了。但是事实是你还得配置这一步。返回"网络和拨号连接",双击刚才建立的连接,右键|属性|安全措施,在这里配置客户使用服务器是采用的安全机制。单选"高级",设置,在下一屏中配置安全措施和加密协议等。

三．VPN访问策略

远程访问连接根据用户的帐号和远程访问策略被授权访问。当添加远程访问策略时,一个用户只能使用一个策略。

添加策略：在控制台左边,右击远程策略,选择"新建远程访问策略",按照向导完成。

四．管理和排除RRAS故障

1．管理如果你有多个RRAS服务器,可以将他们放在一个管理单元中进行管理。右击"服务器状态",选择"添加服务器",或者在"操作"中选择"添加新的服务器"。

2．监视单击"服务器状态",可在右边查看服务器的名称,类型,状态,服务器上的端口数量总数,使用中的端口数量等。

3．查看路由选择表

命令行查看：routeprint

或者在RRAS控制台中,展开控制台树,显示出IP路由选择或者IPX路由选择子数下的静态路由条目,右击"静态路由"并选择"显示IP路由选择表"或者"显示IPX路由选择表"

4．添加静态路由表对于家庭用户或者小型办公环境,可以手工向路由选择表中添加静态

路由,以便能连接到另一个网络

命令行方式：routeaddWindows2000路由和远程访问

一、前期准备工作在配置远程访问之前,需要做一些前期准备工作。路由和远程访问是Windows2000server下的一个工具,所以我们得先安装Windows2000server,另外还需要一个调制解调器和电话线〔当然,ISDN也行,并为调制解调器安装正确的驱动程序。二、配置远程访问进入我的电脑→控制面板→管理工具→路由和远程访问,右击FENGYUN<本地>[FENGYUN为计算机名],在弹出菜单中选择"配置并启用路由和远程访问"〔图1。图一出现路由和远程访问服务器安装向导,点击"下一步",出现如图2的画面：图二由于我们配置路由和远程访问的目的是为了让远程计算机通过代理上网和文件访问,所以选择"远程访问服务器",并点击"下一步"继续,根据自己的需求选择"设置一个基本的远程访问服务器"或"设置一个高级远程访问服务器",笔者选的是第二项,点击"下一步"继续〔图3图三然后计算机出现远程客户协议<图4>对话框,选择"是,所有要求的协议都在此列表中",并点击"下一步"继续。请注意：这里至少有要有TCP/IP和NetBEUI两种协议,TCP/IP协议是用来路由并代理上网,而NetBEUI则是用来解析计算机名,这两种协议缺一不可,假如需要添加协议,则可选择"否,我需要添加协议",把需要的协议添加进来。图四协议配置完毕后,计算机询问"您想如何对远程客户分配IP地址",笔者选择的是"自动",并点击"下一步"继续〔图5图五读者则可根据自己的实际情况进行设置。假如选择"自动",则在这个子网必须要有一台DHCP服务器,这台DHCP服务器可以是路由和远程访问服务本身,也可以是子网内的其他计算机,假如子网内没有DHCP服务器,则只能选择"来自一个指定的地址范围",手动指定IP地址。IP地址配置完以后,计算机询问"您想设置此远程访问服务器使用一个现有的RADIUS服务器呢",选择"不,我现在不想设置此服务器使用RADIUS",并点击"下一步"继续,出现配置"路由和远程访问"的信息对话框,点击"完成"结束"路由和远程访问"的配置<图六>。图六配置完"路由和远程访问"工具以后,我们发现FENGYUN<本地>的箭头变有绿色向上,在没配置之时是红色向下〔图7。点击端口,上部分为VPN端口,最下边为调制解调器端口。图七三、管理远程访问配置完"路由和远程访问"以后,工作并没有结束,你想远程客户拔号进来,还得对你的帐户进行设定。进入我的电脑→控制面板→管理工具→计算机管理,展开"本地用户和组",点击"用户",选择一个用户或者新建用户,点击右键→属性→拔入〔图8图八在"远程访问权限"中选择"允许访问"〔必选,假如你想节省电话费,则可在"回拔选项"选择"总是回拔到",并在这里填入你的电话号码〔注意,以后不管是哪部电话拔过来,只要是这个帐户,即会回拔到你指定的号码,然后确定。重复以上这个步骤,为多个帐户建立远程访问服务。服务端设置现已全部完成,接下来将设置客户端。客户端设置其实与平常大家上互联网设置差不多,同样确定与路由和远程访问服务器一样,要至少有TCP/IP和NetBEUI两种协议。进入我的电脑→控制面板→网络和拔号连接,双击"新建连接"→下一步→选择"拔号到专用网络"或者"拔号到Internet"→然后填上"路由和远程访问"服务器的电话号码→确定。四、测试远程访问在网络和拔号连接中,双击我的连接,输入远程服务器设置的帐户和密码,确定。连接成功后,双击网上邻居,查看远程子网的计算机〔图9,然后进入你平常共享的目录去读取你想要的东西吧。恭喜,远程访问测试通过。图九如想通过远程服务器代理上网,则需在远程服务器或远程服务器的子网安装代理服务器软件,并配置好相关设置,这里不再累述。

WINDOWS2000下VPN详细配置实例

目前,规模比较大点的公司都有自己的分公司,如何让分公司随时同公司总部保持安全、高效率、低成本、多用途的连接,这是摆在每一个企业面前的难题。传统的方法有专线连接、拨号连接、IP地址直接访问等,可是它们要么费用高昂,要么功能单一,还可能带来安全隐患。而使用VPN连接则将使这些难题迎刃而解。

首先简单介绍一下VPN,其英文全称为VirtualPrivateNetwork,即虚拟专用网络。VPN技术是指在公共网络中建立专用网络,是"线路中的线路",数据通过安全的"加密通道"在公共网络中传播,具有良好的保密性和抗干扰性。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息；同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台〔如INTERNET,ATM,FRAMERELAY等之上的逻辑网络,用户数据在逻辑链路中传输。VPN还提供远程访问,它扩展性强、便于管理和实现全面控制,并可节省成本。采用VPN技术是今后企业网络发展的趋势。

要实现VPN连接,企业内部网络中必须有一台基于WindowsNT或Windows2000Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,这就要求VPN服务器必须拥有一个公共的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP〔Internet服务提供商将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。在Windows2000中有两种类型的VPN技术：1.对点隧道协议<PPTP>：用于数据加密,PPTP使用用户级的点到点协议<PPP>身份验证方法及Microsoft点到点加密<MPPE>。2.带有IP协议安全<IPSec>的第二层隧道协议<L2TP>：L2TP使用用户级PPP身份验证方法和带有IPSec数据加密的机器级证书。我配置的实例是一个远程客户端<Windows2000Pro>与一个公司总部VPNserver<Windows2000Pro>之间的连接,主要有三个步骤:1.配置VPN服务器,使之能够接受VPN接入。2.VPN客户端〔Win2000的配置。3.建立客户端与服务器间的VPN连接。具体步骤如下：首先,需要公司总部的计算机〔以下称之为"VPN服务器"和分公司的计算机〔以下称之为"VPN客户机"均应能访问Internet,并且VPN服务器拥有一个Internet上合法的IP地址〔即公网IP。然后,当VPN客户机通过虚拟拨号和VPN服务器连接成功,VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内,任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源,操作方法和普通局域网完全一样。1．VPN服务器的配置VPN服务器端操作系统可以是WinNT4.0/Win2000/WinXP/Win2003；相关组件为系统自带；要求VPN服务器已经连入Internet,并且拥有一个独立的公网IP。我选用在Windows2000Server〔以下简称"Win2000”中配置VPN服务器为例。〔1依次进入"开始"→"程序"→"管理工具"→"路由和远程访问"打开"路由和远程访问"控制台。〔2在左边框架中"SERVER〔本地"〔"SERVER"为服务器名处单击右键,选择"配置并启用路由和远程访问"打开"路由和远程访问安装向导"窗口。〔3在"欢迎使用路由和远程访问安装向导"一步介绍本向导的作用。没有可以设置的选项,直接单击"下一步"按钮继续。〔4在"公共设置"一步需要选择所相应的公共配置。默认选项为"Internet连接服务器",需要改选为"虚拟专用网络〔VPN服务器",然后单击"下一步"按钮继续。〔5在"远程客户协议"一步显示的是当前VPN访问可使用协议的列表。默认选项为"是,所有可用的协议都在列表上",不用修改,直接单击"下一步"按钮继续。〔6在"Internet连接"一步需要指定服务器所使用的连接。默认选项为"无Internet连接",不用修改,直接单击"下一步"按钮继续。〔7在"IP地址"一步需要选择为远程VPN客户端指定IP地址的方法。默认选项为"自动",由于本机没有配置DHCP服务器,因此需要改选为"来自一个指定的地址范围",然后单击"下一步"按钮继续。〔8在"地址范围指定"一步可以为VPN客户机指定所分配的IP地址范围。比如打算分配的IP地址范围为"192.168.0.100”～"192.168.0.200”,则单击"新建"按钮打开"新建地址范围"窗口,按提示输入后单击"确定"按钮返回"地址范围指定"一步,然后单击"下一步"按钮继续。

注意：这些IP地址将分配给VPN服务器和VPN客户机。为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信,它们必须同VPN服务器的IP地址处在同一个网段中。即：假设VPN服务器IP地址为"192.168.0.1”,则此范围中的IP地址均应该以"192.168.0”开头。〔9在"管理多个远程访问服务器"一步用于设置集中管理多个VPN服务器。默认选项为"不,我现在不想设置此服务器使用RADIUS",不用修改,直接单击"下一步"按钮继续。〔10在"正在完成路由和远程访问服务器安装向导"一步说明已经配置完成。没有可以设置的选项,直接单击"完成"按钮继续。〔11此时屏幕上将出现一个名为"正在启动路由和远程访问服务"的小窗口,过一会儿将自动返回"路由和远程访问"控制台,出现如〔图1画面,即结束了VPN服务器的配置工作。

说明：此时"服务"控制台中的"RoutingandRemoteAccess"服务已经"自动"处于"已启动"状态了；而在"网络和拨号连接"窗口中也会多出一个"传入的连接"图标。2．赋予用户拨入权限默认的,包括Administrator用户在内的所有用户均被拒绝拨入到VPN服务器上,因此需要为相应用户赋予拨入权限。本文以"water"用户为例。〔1在"我的电脑"处单击右键,选"管理"打开"计算机管理"控制台。〔2在左边框架中依次展开"本地用户和组"→"用户",在右边框架中双击"water"打开"water属性"窗口。〔3转到"拨入"选项卡,在"选择访问权限〔拨入或VPN"选项组下默认选项为"通过远程访问策略控制访问",改选为"允许访问",然后单击"确定"按钮返回"计算机管理"控制台,即结束了赋予"water"用户拨入权限的工作。3．VPN客户机〔Win2000的配置VPN客户机端的操作系统可以是Win98/WinNT4.0/Win2000/WinXP/Win2003,相关组件均为系统自带,且要求VPN客户机已经连入Internet。我还是选择在Windows2000Server〔以下简称"Win2000”中配置VPN客户机为例。〔1在"网上邻居"处单击右键,选"属性"打开"网络和拨号连接"窗口。〔2双击"新建连接"图标打开"网络连接向导"窗口。〔3在"欢迎使用路由和远程访问安装向导"一步介绍本向导的作用。没有可以设置的选项,直接单击"下一步"按钮继续。〔4在"网络连接类型"一步可以选择所创建的网络连接类型。默认选项为"拨号到专用网络",需要改选为"通过Internet连接到专用网络",然后单击"下一步"按钮继续。〔5在"公用网络"一步可以选择是否在VPN连接前自动拨号。默认选项为"自动拨此初始连接",需要改选为"不拨初始连接",然后单击"下一步"按钮继续。〔6在"目标地址"一步需要提供VPN服务器的主机名或IP地址。在文本框中输入VPN服务器的公网IP,比如为"218.88.135.48”,然后单击"下一步"按钮继续。〔7在"可用连接"一步可以选择此连接仅允许当前客户机当前登录用户使用,还是可让客户机中所有用户使用。默认选项为"所有用户使用此连接",根据需要进行选择,然后单击"下一步"按钮继续。〔8在"完成网络连接向导"一步可以更改本新连接的名称。默认为"虚拟专用连接",可不用修改,也可改为任意内容,比如为"到公司总部",并勾选中"在我的桌面添加一快捷方式"复选框,然后单击"完成"按钮继续。〔9之后会自动弹出名为"连接到公司总部"的连接窗口。在"用户名"处输入"water"〔大小写不限,在"密码"处输入相应的密码,根据需要勾选中"保存密码"复选框,然后单击"连接"按钮继续。

注意：此处输入的用户名应为VPN服务器上已经建立好,并设置了具有拨入服务器权限的用户,密码也为其密码。〔10连接成功之后可以看到,双方的任务栏右侧均会出现两个拨号网络成功运行的图标,其中一个是到Intenet的连接,另一个则是VPN的连接了！注意：当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络！这个网络是双方专用的,而且具体良好的保密性能。VPN建立成功之后,双方便可以通过IP地址或"网上邻居"来达到互访的目的,当然也就可以使用对方所共享出来的软硬件资源了！VPN网络实际应用中遇到的问题及解决办法:〔1当VPN网络建立成功之后,VPN客户机如何访问VPN服务器和VPN服务器所在的局域网？解决方法：像普通局域网一样,相互之间可以通过"网上邻居",或者直接在任意窗口地址栏输入"\\对方IP地址"〔如"\\100.100.100.3”等方式来访问对方共享出的软硬件资源。〔2VPN网络建立成功之后,VPN客户机便不能访问Internet了。如何才能做到VPN网络访问和Internet访问两不误？解决方法：这是因为VPN客户机系统使用了VPN服务器所定义的网关来覆盖了原有的网关,从而切断了VPN客户机访问Internet的路径。解决方法是禁止VPN客户机使用VPN服务器上的默认网关。具体操作方法如下：对于Win2000客户机,在"网络和拨号连接"窗口中,先选中相应的连接名,比如为"到公司总部",单击右键,选"属性"打开"到公司总部属性"窗口。再转到"网络"选项卡,双击列表中的"Internet协议〔TCP/IP"打开"Internet协议〔TCP/IP属性"窗口。然后单击"高级"按钮进入"高级TCP/IP设置"窗口的"常规"选项卡,去掉"在远程网络上使用默认网关"前的小勾即可。〔3为什么VPN网络建立成功之后,已经建立连接的VPN客户机和VPN服务器〔含其下原有的局域网计算机无法显示在对方的"网上邻居"中？解决方法：首先确保VPN客户机和VPN服务器均拥有相同的"工作组"名,然后还需要在VPN服务器与VPN客户端上均安装"NetBEUI"协议〔建议同时安装"IPX/SPX"协议。〔4VPN网络建立成功之后,用什么方法可以迅速、全面、直观地查看网络中所有活动计算机的计算机名、占用的IP地址及共享资源？解决方法：可以用IP-Tools软件。其下载地址为：〔1.06MB。下载之后直接运行即可很容易完成安装。运行IP-Tools的主程序之后单击工具栏左起第4个"NBScanner"按钮,根据提示输入起始IP地址后,再单击"Start"按钮即可搜索到相应内容。最后总结一下采用VPN的好处：

1.降低了费用：首先,远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为通道与企业内部专用网络相连,通信费用大幅度降低；其次,企业可以节省购买和维护通信设备的费用。2.增强了安全性：VPN使用三个方面的技术保证了通信的安全性：通道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务端,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。3.支持最常用的网络协议：基于IP、IPX和NetBUI协议的网络中的客户机都能很容易地使用VPN。4.有利于IP地址安全：VPN是加密的,VPN数据在Internet中传输时,Internet上的用户只看到公共的IP地址,看不到数据包内包含的专用网络地址。Win2K的VPN的使用详解1．关于VPN

〔1虚拟专用网络〔VirtualPrivateNetwork,VPN是专用网络的延伸,它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。

〔2如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。

〔3本节的VPN服务器端使用Win2K；客户机端使用Win98。

2．配置VPN服务器

〔1尚未配置：Win2K中的VPN包含在"路由和远程访问服务"中。当你的Win2K服务器安装好之后,它也就随之自动存在了！不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后,在左边的"树"栏中选中"服务器准状态",即可从右边看到其"状态"正处于"已停止〔未配置"的情况下。

〔2开始配置：要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中"SERVER"〔服务器名,在其上单击右键,选"配置并启用路由和远程访问"。

〔3如果以前已经配置过这台服务器,现在需要重新开始,则在"SERVER"〔服务器名上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置！

〔4当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络〔VPN服务器",以便让用户能通过公共网络〔比如Internet来访问此服务器。

〔5在"远程客户协议"的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选"是,所有可用的协议都在列表上"再"下一步"即可。

〔6之后系统会要求你再选择一个此服务器所使用的Internet连接,在