WIN2000下VPN詳細配置實例

目前，規(guī)模比較大點的公司都有自己的分公司，如何讓分公司隨時同公司總部保持安全、高效率、低成本、多用途的連接，這是擺在每一個企業(yè)面前的難題。傳統(tǒng)的方法有專線連接、撥號連接、IP地址直接訪問等，可是它們要么費用高昂，要么功能單一，還可能帶來安全隱患。而使用VPN連接則將使這些難題迎刃而解。
    首先簡單介紹一下VPN，其英文全稱為Virtual Private Network，即虛擬專用網(wǎng)絡(luò)。 VPN技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，是“線路中的線路”，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播，具有良好的保密性和抗干擾性。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機構(gòu)就可以互相傳遞信息；同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以連接進入企業(yè)網(wǎng)中。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺（如INTERNET，ATM，F(xiàn)RAME RELAY等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。VPN還提供遠程訪問，它擴展性強、便于管理和實現(xiàn)全面控制，并可節(jié)省成本。采用VPN技術(shù)是今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。
    要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須有一臺基于Windows NT或Windows 2000 Server的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，這就要求VPN服務(wù)器必須擁有一個公共的IP地址。當(dāng)客戶機通過VPN連接與專用網(wǎng)絡(luò)中的計算機進行通信時，先由ISP（Internet服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計算機。在 Windows 2000 中有兩種類型的 VPN 技術(shù)：1.對點隧道協(xié)議 (PPTP)： 用于數(shù)據(jù)加密，PPTP 使用用戶級的點到點協(xié)議 (PPP) 身份驗證方法及 Microsoft 點到點加密 (MPPE)。 2.帶有 IP 協(xié)議安全 (IPSec) 的第二層隧道協(xié)議 (L2TP)： L2TP 使用用戶級 PPP 身份驗證方法和帶有 IPSec 數(shù)據(jù)加密的機器級證書。
    我配置的實例是一個遠程客戶端(Windows 2000 Pro)與一個公司總部VPN server(Windows 2000 Pro)之間的連接，主要有三個步驟:
    1.配置VPN服務(wù)器,使之能夠接受VPN接入。
    2.VPN客戶端（Win2000）的配置。
    3.建立客戶端與服務(wù)器間的VPN連接。
    具體步驟如下：
    首先，需要公司總部的計算機（以下稱之為“VPN服務(wù)器”）和分公司的計算機（以下稱之為“VPN客戶機”）均應(yīng)能訪問Internet，并且VPN服務(wù)器擁有一個Internet上合法的IP地址（即公網(wǎng)IP）。然后，當(dāng)VPN客戶機通過虛擬撥號和VPN服務(wù)器連接成功，VPN客戶機就成了VPN服務(wù)器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi)，任意一臺計算機均可以根據(jù)權(quán)限訪問其他計算機上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。
    1．VPN服務(wù)器的配置
    VPN服務(wù)器端操作系統(tǒng)可以是WinNT 4.0/Win2000/WinXP/Win2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)連入Internet，并且擁有一個獨立的公網(wǎng)IP。我選用在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN服務(wù)器為例。
    （1）依次進入“開始”→“程序”→“管理工具”→“路由和遠程訪問”打開“路由和遠程訪問”控制臺。
    （2）在左邊框架中“SERVER（本地）”（“SERVER”為服務(wù)器名）處單擊右鍵，選擇“配置并啟用路由和遠程訪問”打開“路由和遠程訪問安裝向?qū)А贝翱凇?BR>    （3）在“歡迎使用路由和遠程訪問安裝向?qū)А币徊浇榻B本向?qū)У淖饔谩]有可以設(shè)置的選項，直接單擊“下一步”按鈕繼續(xù)。
    （4）在“公共設(shè)置”一步需要選擇所相應(yīng)的公共配置。默認選項為“Internet連接服務(wù)器”，需要改選為“虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器”，然后單擊“下一步”按鈕繼續(xù)。
    （5）在“遠程客戶協(xié)議”一步顯示的是當(dāng)前VPN訪問可使用協(xié)議的列表。默認選項為“是，所有可用的協(xié)議都在列表上”，不用修改，直接單擊“下一步”按鈕繼續(xù)。
    （6）在“Internet連接”一步需要指定服務(wù)器所使用的連接。默認選項為“無Internet連接”，不用修改，直接單擊“下一步”按鈕繼續(xù)。
    （7）在“IP地址”一步需要選擇為遠程VPN客戶端指定IP地址的方法。默認選項為“自動”，由于本機沒有配置DHCP服務(wù)器，因此需要改選為“來自一個指定的地址范圍”，然后單擊“下一步”按鈕繼續(xù)。
    （8）在“地址范圍指定”一步可以為VPN客戶機指定所分配的IP地址范圍。比如打算分配的IP地址范圍為“192.168.0.100”～“192.168.0.200”，則單擊“新建”按鈕打開“新建地址范圍”窗口，按提示輸入后單擊“確定”按鈕返回“地址范圍指定”一步，然后單擊“下一步”按鈕繼續(xù)。
    注意：這些IP地址將分配給VPN服務(wù)器和VPN客戶機。為了確保連接后的VPN網(wǎng)絡(luò)能同VPN服務(wù)器原有局域網(wǎng)正常通信，它們必須同VPN服務(wù)器的IP地址處在同一個網(wǎng)段中。即：假設(shè)VPN服務(wù)器IP地址為“192.168.0.1”，則此范圍中的IP地址均應(yīng)該以“192.168.0”開頭。
    （9）在“管理多個遠程訪問服務(wù)器”一步用于設(shè)置集中管理多個VPN服務(wù)器。默認選項為“不，我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”，不用修改，直接單擊“下一步”按鈕繼續(xù)。
    （10）在“正在完成路由和遠程訪問服務(wù)器安裝向?qū)А币徊秸f明已經(jīng)配置完成。沒有可以設(shè)置的選項，直接單擊“完成”按鈕繼續(xù)。
    （11）此時屏幕上將出現(xiàn)一個名為“正在啟動路由和遠程訪問服務(wù)”的小窗口，過一會兒將自動返回“路由和遠程訪問”控制臺，出現(xiàn)如（圖1）畫面，即結(jié)束了VPN服務(wù)器的配置工作。
    說明：此時“服務(wù)”控制臺中的“Routing and Remote Access”服務(wù)已經(jīng)“自動”處于“已啟動”狀態(tài)了；而在“網(wǎng)絡(luò)和撥號連接”窗口中也會多出一個“傳入的連接”圖標(biāo)。
    2．賦予用戶撥入權(quán)限
    默認的，包括Administrator用戶在內(nèi)的所有用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為相應(yīng)用戶賦予撥入權(quán)限。本文以“water”用戶為例。
    （1）在“我的電腦”處單擊右鍵，選“管理”打開“計算機管理”控制臺。
    （2）在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊“water”打開“water 屬性”窗口。
    （3）轉(zhuǎn)到“撥入”選項卡，在“選擇訪問權(quán)限（撥入或VPN）”選項組下默認選項為“通過遠程訪問策略控制訪問”，改選為“允許訪問”，然后單擊“確定”按鈕返回“計算機管理”控制臺，即結(jié)束了賦予“water”用戶撥入權(quán)限的工作。