WIN2000下VPN詳細(xì)配置實(shí)例

目前，規(guī)模比較大點(diǎn)的公司都有自己的分公司，如何讓分公司隨時(shí)同公司總部保持安全、高效率、低成本、多用途的連接，這是擺在每一個(gè)企業(yè)面前的難題。傳統(tǒng)的方法有專線連接、撥號(hào)連接、IP地址直接訪問(wèn)等，可是它們要么費(fèi)用高昂，要么功能單一，還可能帶來(lái)安全隱患。而使用VPN連接則將使這些難題迎刃而解。
    首先簡(jiǎn)單介紹一下VPN，其英文全稱為Virtual Private Network，即虛擬專用網(wǎng)絡(luò)。 VPN技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，是“線路中的線路”，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播，具有良好的保密性和抗干擾性。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)（如INTERNET，ATM，F(xiàn)RAME RELAY等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。VPN還提供遠(yuǎn)程訪問(wèn)，它擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制，并可節(jié)省成本。采用VPN技術(shù)是今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。
    要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須有一臺(tái)基于Windows NT或Windows 2000 Server的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，這就要求VPN服務(wù)器必須擁有一個(gè)公共的IP地址。當(dāng)客戶機(jī)通過(guò)VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由ISP（Internet服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。在 Windows 2000 中有兩種類型的 VPN 技術(shù)：1.對(duì)點(diǎn)隧道協(xié)議 (PPTP)： 用于數(shù)據(jù)加密，PPTP 使用用戶級(jí)的點(diǎn)到點(diǎn)協(xié)議 (PPP) 身份驗(yàn)證方法及 Microsoft 點(diǎn)到點(diǎn)加密 (MPPE)。 2.帶有 IP 協(xié)議安全 (IPSec) 的第二層隧道協(xié)議 (L2TP)： L2TP 使用用戶級(jí) PPP 身份驗(yàn)證方法和帶有 IPSec 數(shù)據(jù)加密的機(jī)器級(jí)證書。
    我配置的實(shí)例是一個(gè)遠(yuǎn)程客戶端(Windows 2000 Pro)與一個(gè)公司總部VPN server(Windows 2000 Pro)之間的連接，主要有三個(gè)步驟:
    1.配置VPN服務(wù)器,使之能夠接受VPN接入。
    2.VPN客戶端（Win2000）的配置。
    3.建立客戶端與服務(wù)器間的VPN連接。
    具體步驟如下：
    首先，需要公司總部的計(jì)算機(jī)（以下稱之為“VPN服務(wù)器”）和分公司的計(jì)算機(jī)（以下稱之為“VPN客戶機(jī)”）均應(yīng)能訪問(wèn)Internet，并且VPN服務(wù)器擁有一個(gè)Internet上合法的IP地址（即公網(wǎng)IP）。然后，當(dāng)VPN客戶機(jī)通過(guò)虛擬撥號(hào)和VPN服務(wù)器連接成功，VPN客戶機(jī)就成了VPN服務(wù)器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi)，任意一臺(tái)計(jì)算機(jī)均可以根據(jù)權(quán)限訪問(wèn)其他計(jì)算機(jī)上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。
    1．VPN服務(wù)器的配置
    VPN服務(wù)器端操作系統(tǒng)可以是WinNT 4.0/Win2000/WinXP/Win2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)連入Internet，并且擁有一個(gè)獨(dú)立的公網(wǎng)IP。我選用在Windows 2000 Server（以下簡(jiǎn)稱“Win2000”）中配置VPN服務(wù)器為例。
    （1）依次進(jìn)入“開始”→“程序”→“管理工具”→“路由和遠(yuǎn)程訪問(wèn)”打開“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái)。
    （2）在左邊框架中“SERVER（本地）”（“SERVER”為服務(wù)器名）處單擊右鍵，選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”打開“路由和遠(yuǎn)程訪問(wèn)安裝向?qū)А贝翱凇?BR>    （3）在“歡迎使用路由和遠(yuǎn)程訪問(wèn)安裝向?qū)А币徊浇榻B本向?qū)У淖饔?。沒(méi)有可以設(shè)置的選項(xiàng)，直接單擊“下一步”按鈕繼續(xù)。
    （4）在“公共設(shè)置”一步需要選擇所相應(yīng)的公共配置。默認(rèn)選項(xiàng)為“Internet連接服務(wù)器”，需要改選為“虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器”，然后單擊“下一步”按鈕繼續(xù)。
    （5）在“遠(yuǎn)程客戶協(xié)議”一步顯示的是當(dāng)前VPN訪問(wèn)可使用協(xié)議的列表。默認(rèn)選項(xiàng)為“是，所有可用的協(xié)議都在列表上”，不用修改，直接單擊“下一步”按鈕繼續(xù)。
    （6）在“Internet連接”一步需要指定服務(wù)器所使用的連接。默認(rèn)選項(xiàng)為“無(wú)Internet連接”，不用修改，直接單擊“下一步”按鈕繼續(xù)。
    （7）在“IP地址”一步需要選擇為遠(yuǎn)程VPN客戶端指定IP地址的方法。默認(rèn)選項(xiàng)為“自動(dòng)”，由于本機(jī)沒(méi)有配置DHCP服務(wù)器，因此需要改選為“來(lái)自一個(gè)指定的地址范圍”，然后單擊“下一步”按鈕繼續(xù)。
    （8）在“地址范圍指定”一步可以為VPN客戶機(jī)指定所分配的IP地址范圍。比如打算分配的IP地址范圍為“192.168.0.100”～“192.168.0.200”，則單擊“新建”按鈕打開“新建地址范圍”窗口，按提示輸入后單擊“確定”按鈕返回“地址范圍指定”一步，然后單擊“下一步”按鈕繼續(xù)。
    注意：這些IP地址將分配給VPN服務(wù)器和VPN客戶機(jī)。為了確保連接后的VPN網(wǎng)絡(luò)能同VPN服務(wù)器原有局域網(wǎng)正常通信，它們必須同VPN服務(wù)器的IP地址處在同一個(gè)網(wǎng)段中。即：假設(shè)VPN服務(wù)器IP地址為“192.168.0.1”，則此范圍中的IP地址均應(yīng)該以“192.168.0”開頭。
    （9）在“管理多個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器”一步用于設(shè)置集中管理多個(gè)VPN服務(wù)器。默認(rèn)選項(xiàng)為“不，我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”，不用修改，直接單擊“下一步”按鈕繼續(xù)。
    （10）在“正在完成路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А币徊秸f(shuō)明已經(jīng)配置完成。沒(méi)有可以設(shè)置的選項(xiàng)，直接單擊“完成”按鈕繼續(xù)。
    （11）此時(shí)屏幕上將出現(xiàn)一個(gè)名為“正在啟動(dòng)路由和遠(yuǎn)程訪問(wèn)服務(wù)”的小窗口，過(guò)一會(huì)兒將自動(dòng)返回“路由和遠(yuǎn)程訪問(wèn)”控制臺(tái)，出現(xiàn)如（圖1）畫面，即結(jié)束了VPN服務(wù)器的配置工作。
    說(shuō)明：此時(shí)“服務(wù)”控制臺(tái)中的“Routing and Remote Access”服務(wù)已經(jīng)“自動(dòng)”處于“已啟動(dòng)”狀態(tài)了；而在“網(wǎng)絡(luò)和撥號(hào)連接”窗口中也會(huì)多出一個(gè)“傳入的連接”圖標(biāo)。
    2．賦予用戶撥入權(quán)限
    默認(rèn)的，包括Administrator用戶在內(nèi)的所有用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為相應(yīng)用戶賦予撥入權(quán)限。本文以“water”用戶為例。
    （1）在“我的電腦”處單擊右鍵，選“管理”打開“計(jì)算機(jī)管理”控制臺(tái)。
    （2）在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊“water”打開“water 屬性”窗口。
    （3）轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問(wèn)權(quán)限（撥入或VPN）”選項(xiàng)組下默認(rèn)選項(xiàng)為“通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn)”，改選為“允許訪問(wèn)”，然后單擊“確定”按鈕返回“計(jì)算機(jī)管理”控制臺(tái)，即結(jié)束了賦予“water”用戶撥入權(quán)限的工作。