虛擬專用網(wǎng)絡(luò)是什么？有什么用？如何在 Windows Server 2003 中安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器？下文給出了詳細(xì)的解答。

使用虛擬專用網(wǎng)絡(luò)，您可以通過另一個(gè)網(wǎng)絡(luò)（例如Internet）連接網(wǎng)絡(luò)組件。您可以把基于WindowsServer2003的計(jì)算機(jī)作為遠(yuǎn)程訪問服務(wù)器，這樣其他用戶可以通過使用VPN與其連接，然后登錄到網(wǎng)絡(luò)并訪問共享資源。虛擬專用網(wǎng)絡(luò)是通過在Internet或另外的公用網(wǎng)絡(luò)上進(jìn)行“隧道操作”來實(shí)現(xiàn)的，可提供與專用網(wǎng)絡(luò)相同的安全性和功能。數(shù)據(jù)利用公用網(wǎng)絡(luò)的路由結(jié)構(gòu)在公用網(wǎng)絡(luò)上傳送，而對用戶來說，則好像是通過一個(gè)專門的專用鏈接傳送的。

VPN概述

虛擬專用網(wǎng)絡(luò)是一種通過公用網(wǎng)絡(luò)（如Internet）連接專用網(wǎng)絡(luò)（如您的辦公室網(wǎng)絡(luò)）的途徑。VPN將撥號服務(wù)器的撥號連接的優(yōu)點(diǎn)與Internet連接的方便與靈活性結(jié)合了起來。通過使用Internet連接，您可以周游世界，而同時(shí)在大多數(shù)地方仍可以通過當(dāng)?shù)刈罱腎nternet訪問電話號碼連接到您的辦公室。如果您的計(jì)算機(jī)和辦公室有高速Internet連接（如電纜或DSL），您就可以用最高的Internet速度與辦公室通訊，比任何使用模擬調(diào)制解調(diào)器的撥號連接速度都要快得多。此技術(shù)使企業(yè)可以通過公用網(wǎng)絡(luò)連接到其分支辦事處或其他公司，同時(shí)又可以確保通信的安全性。通過Internet的VPN連接從邏輯上講相當(dāng)于一個(gè)專用的廣域網(wǎng)(WAN)鏈接。

虛擬專用網(wǎng)絡(luò)使用需進(jìn)行身份驗(yàn)證的鏈接以確保只有授權(quán)用戶才可以連接到您的網(wǎng)絡(luò)。為了確保通過公用網(wǎng)絡(luò)傳送數(shù)據(jù)的安全性，VPN連接使用點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)或第二層隧道協(xié)議(L2TP)對數(shù)據(jù)進(jìn)行加密。

VPN的組件

運(yùn)行WindowsServer2003的服務(wù)器中的VPN組件包括一個(gè)VPN服務(wù)器、一個(gè)VPN客戶端、一個(gè)VPN連接（連接中數(shù)據(jù)被加密的部分）和隧道（連接中數(shù)據(jù)被封裝的部分）。建立隧道是通過運(yùn)行WindowsServer2003的服務(wù)器中包括的兩個(gè)隧道協(xié)議之一完成的，這兩個(gè)協(xié)議都是隨“路由和遠(yuǎn)程訪問”安裝的。WindowsServer2003安裝過程中將自動(dòng)安裝“路由和遠(yuǎn)程訪問”服務(wù)。但是，默認(rèn)情況下，“路由和遠(yuǎn)程訪問”服務(wù)會被關(guān)閉。

Windows包括的這兩個(gè)隧道協(xié)議是：

·點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)：使用“Microsoft點(diǎn)對點(diǎn)加密”提供數(shù)據(jù)加密。

·第二層隧道協(xié)議(L2TP)：使用IPSec提供數(shù)據(jù)加密、身份驗(yàn)證和完整性。

到Internet的連接必須使用專用的線路，例如T1、FractionalT1或FrameRelay。必須用指派給您的域或由Internet服務(wù)提供商(ISP)提供的IP地址和子網(wǎng)掩碼配置WAN適配器。還必須將WAN適配器配置為ISP路由器的默認(rèn)網(wǎng)關(guān)。

注意：若要啟用VPN，您必須使用具有管理權(quán)限的帳戶登錄。

如何安裝和啟用VPN服務(wù)器

若要安裝和啟用VPN服務(wù)器，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。

2.在控制臺左窗格中單擊與本地服務(wù)器名稱匹配的服務(wù)器圖標(biāo)。如果該圖標(biāo)左下角有一個(gè)紅圈，則說明尚未啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果該圖標(biāo)左下角有一個(gè)指向上方的綠色箭頭，則說明已啟用“路由和遠(yuǎn)程訪問”服務(wù)。如果先前已啟用“路由和遠(yuǎn)程訪問”服務(wù)，您可能要重新配置服務(wù)器。若要重新配置服務(wù)器，請按照下列步驟操作：

a.右擊服務(wù)器對象，然后單擊“禁用路由和遠(yuǎn)程訪問”。單擊是以繼續(xù)。

b.右擊服務(wù)器圖標(biāo)，然后單擊“配置并啟用路由和遠(yuǎn)程訪問”以啟動(dòng)“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?rdquo;。

c.單擊下一步繼續(xù)。單擊“遠(yuǎn)程訪問（撥號或VPN）”以啟用遠(yuǎn)程計(jì)算機(jī)撥入或通過Internet連接到本網(wǎng)絡(luò)。單擊下一步繼續(xù)。

3.根據(jù)您打算分配給該服務(wù)器的角色，單擊以選擇VPN或撥號。

4.在“VPN連接”窗口中，單擊連接到Internet的網(wǎng)絡(luò)接口，然后單擊下一步。

5.如果要使用DHCP服務(wù)器給遠(yuǎn)程客戶端分配地址，請?jiān)贗P地址分配窗口中單擊自動(dòng)，或者，如果僅應(yīng)從預(yù)定義池給遠(yuǎn)程客戶端分配地址，請單擊“來自一個(gè)指定的地址范圍”。多數(shù)情況下，DHCP選項(xiàng)的管理更簡單。不過，如果沒有DHCP，就必須指定一個(gè)靜態(tài)地址范圍。單擊下一步繼續(xù)。

6.如果您單擊“來自一個(gè)指定的地址范圍”，就打開了地址范圍分配對話框。單擊新建。在“起始IP地址”框中鍵入希望使用的地址范圍內(nèi)的第一個(gè)IP地址。在“結(jié)束IP地址”框中鍵入該范圍內(nèi)的最后一個(gè)IP地址。Windows將自動(dòng)計(jì)算地址的數(shù)目。單擊確定以返回到地址范圍分配窗口。單擊下一步繼續(xù)。

7.接受“否，使用路由和遠(yuǎn)程訪問對連接請求進(jìn)行身份驗(yàn)證”的默認(rèn)設(shè)置，然后單擊下一步繼續(xù)。單擊完成以啟用路由和遠(yuǎn)程訪問服務(wù)并將該服務(wù)器配置為遠(yuǎn)程訪問服務(wù)器。

如何配置VPN服務(wù)器

若要繼續(xù)根據(jù)需要配置VPN服務(wù)器，請按照下列步驟操作。

如何將遠(yuǎn)程訪問服務(wù)器配置為路由器

為讓遠(yuǎn)程訪問服務(wù)器能在您的網(wǎng)絡(luò)中正確地轉(zhuǎn)發(fā)通信量，必須用靜態(tài)路由或路由協(xié)議將其配置為一個(gè)路由器，這樣遠(yuǎn)程訪問服務(wù)器才能訪問到內(nèi)部網(wǎng)中的所有位置。

若要將服務(wù)器配置為路由器，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。

2.右擊服務(wù)器名稱，然后單擊屬性。

3.單擊常規(guī)選項(xiàng)卡，然后單擊選擇“啟用此計(jì)算機(jī)作為”下的路由器。

4.單擊“局域網(wǎng)和請求撥號路由選擇”，然后單擊確定以關(guān)閉屬性對話框。

如何修改同時(shí)連接的數(shù)目

調(diào)制解調(diào)器撥號連接的數(shù)目取決于安裝在服務(wù)器上的調(diào)制解調(diào)器的數(shù)目。例如，如果在服務(wù)器上只安裝了一個(gè)調(diào)制解調(diào)器，則一次只能有一個(gè)調(diào)制解調(diào)器連接。

撥號VPN連接的數(shù)目取決于您允許同時(shí)訪問的用戶的數(shù)目。默認(rèn)情況下，如果您運(yùn)行的是本文描述的步驟，則允許128個(gè)連接。若要更改同時(shí)連接的數(shù)目，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。

2.雙擊服務(wù)器對象，右擊端口，然后單擊屬性。

3.在端口屬性對話框中，單擊WAN微型端口(PPTP)，然后單擊配置。

4.在最多端口數(shù)框中，鍵入要允許的VPN連接的數(shù)目。

5.單擊確定，再次單擊確定，然后關(guān)閉“路由和遠(yuǎn)程訪問”。

如何管理地址和名稱服務(wù)器

VPN服務(wù)器必須有可用的IP地址，以便在連接進(jìn)程的IP控制協(xié)議(IPCP)協(xié)商階段將它們分配給VPN服務(wù)器的虛擬接口和VPN客戶端。分配給VPN客戶端的IP地址實(shí)際分配給了VPN客戶端的虛擬接口。

對于基于WindowsServer2003的VPN服務(wù)器，默認(rèn)情況下，分配給VPN客戶端的IP地址是通過DHCP獲得的。您也可以配置靜態(tài)IP地址池。VPN服務(wù)器還必須配置名稱解析服務(wù)器（通常是DNS和WINS服務(wù)器）地址，以在IPCP協(xié)商期間分配給VPN客戶端。

如何管理訪問

在用戶帳戶上配置撥入屬性并配置遠(yuǎn)程訪問策略，以管理對撥號網(wǎng)絡(luò)和VPN連接的訪問。

注意：默認(rèn)情況下拒絕用戶訪問撥號網(wǎng)絡(luò)。

一、通過用戶帳戶訪問

如果您按用戶管理遠(yuǎn)程訪問，若要向某個(gè)用戶帳戶授予撥號訪問權(quán)限，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“ActiveDirectory用戶和計(jì)算機(jī)”。

2.右擊用戶帳戶，然后單擊屬性。

3.單擊“版本”選項(xiàng)卡。

4.單擊“允許訪問”以授予用戶撥入的權(quán)限。單擊確定。

二、通過組成員身份訪問

如果您按組管理遠(yuǎn)程訪問，請按照下列步驟操作：

1.創(chuàng)建一個(gè)由允許創(chuàng)建VPN連接的成員組成的組。

2.單擊開始，指向管理工具，然后單擊“路由和遠(yuǎn)程訪問”。

3.在控制臺樹中，展開“路由和遠(yuǎn)程訪問”，展開服務(wù)器名，然后單擊遠(yuǎn)程訪問策略。

4.在右側(cè)窗格中右擊任意位置，指向新建，然后單擊遠(yuǎn)程訪問策略。

5.單擊下一步，鍵入策略名稱，然后單擊下一步。

6.對于“虛擬專用訪問”訪問方法，請單擊VPN，或?qū)τ趽芴栐L問方法，請單擊撥號，然后單擊下一步。

7.單擊添加，鍵入您在步驟1中創(chuàng)建的組的名稱，然后單擊下一步。

8.按照屏幕上的說明完成該向?qū)У牟僮鳌?/p>

如果VPN服務(wù)器已經(jīng)允許使用撥號網(wǎng)絡(luò)遠(yuǎn)程訪問服務(wù)，則不要?jiǎng)h除默認(rèn)策略。而是移動(dòng)其位置，使它成為最后一個(gè)起作用的策略。

如何從客戶端計(jì)算機(jī)配置VPN連接

若要建立與VPN的連接，請按照下列步驟操作。若要設(shè)置客戶端進(jìn)行虛擬專用網(wǎng)絡(luò)訪問，請?jiān)诳蛻舳斯ぷ髡旧蠄?zhí)行下列步驟：

注意：您必須以管理員組的成員身份登錄才能執(zhí)行這些步驟。

注意：因?yàn)镸icrosoftWindows存在多個(gè)版本，所以在您的計(jì)算機(jī)上執(zhí)行的步驟可能與下面介紹的步驟有所不同。如果是這樣，請參閱產(chǎn)品文檔來完成這些步驟。

1.在客戶計(jì)算機(jī)上，確認(rèn)與Internet的連接配置正確。

2.單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。單擊網(wǎng)絡(luò)任務(wù)下的“創(chuàng)建一個(gè)新的連接”，然后單擊下一步。

3.單擊“連接到我的工作場所的網(wǎng)絡(luò)”以創(chuàng)建撥號連接。單擊下一步繼續(xù)。

4.單擊“虛擬專用網(wǎng)絡(luò)連接”，然后單擊下一步。

5.在公司名稱對話框中為連接鍵入一個(gè)描述性的名稱，然后單擊下一步。

6.如果計(jì)算機(jī)永久連接到Internet，請單擊不撥初始連接。如果計(jì)算機(jī)通過Internet服務(wù)提供商(ISP)連接到Internet，則單擊“自動(dòng)撥此初始連接”，然后單擊與ISP連接的名稱。單擊下一步。

7.鍵入VPN服務(wù)器計(jì)算機(jī)的IP地址或主機(jī)名（例如VPNServer.SampleDomain.com）。

8.如果要允許登錄到該工作站的任何用戶都能訪問此撥號連接，則單擊“任何人使用”。如果要使此連接僅供當(dāng)前登錄用戶使用，則單擊“只是我使用”。單擊下一步。

9.單擊完成以保存連接。

10.單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。

11.雙擊新建的連接。

12.單擊屬性以繼續(xù)為連接配置選項(xiàng)。若要繼續(xù)配置連接的選項(xiàng)，請按照下列步驟操作：

如果您要連接到一個(gè)域，請單擊選項(xiàng)選項(xiàng)卡，然后單擊選中“包含Windows登錄域”

復(fù)選框以指定在嘗試連接前是否要求WindowsServer2003登錄域信息。

如果想讓該連接在斷線后重新?lián)芴?，則請單擊選項(xiàng)選項(xiàng)卡，然后單擊選中“斷線重?fù)?rdquo;復(fù)選框。

若要使用連接，請按照下列步驟操作：

1.單擊開始，指向“連接到”，然后單擊該新建連接。

2.如果目前沒有到Internet的連接，Windows可讓您連接到Internet。

3.建立到Internet的連接后，VPN服務(wù)器會提示您輸入用戶名和密碼。鍵入用戶名和密碼，然后單擊連接。

您必須能夠使用您的網(wǎng)絡(luò)資源，就像直接連接到該網(wǎng)絡(luò)一樣。注意：若要從VPN上斷開，請右擊連接圖標(biāo)，然后單擊斷開連接。

本文介紹了安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器的方法，下文我們將介紹虛擬專用網(wǎng)絡(luò)服務(wù)器VPN疑難解答。

【編輯推薦】

1. Linux下的主要VPN技術(shù)
2. 詳細(xì)講解Linux系統(tǒng)VPN服務(wù)器配置
3. Windows 2008下VPN網(wǎng)絡(luò)連接設(shè)置方法
4. 在Ubuntu 8.10上連接到微軟VPN服務(wù)器
5. Windows XP下實(shí)現(xiàn)高效安全的VPN連接