虛擬專用網(wǎng)絡(luò)是什么？有什么用？如何在 Windows Server 2003 中安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器？下文給出了詳細的解答。

使用虛擬專用網(wǎng)絡(luò)，您可以通過另一個網(wǎng)絡(luò)（例如Internet）連接網(wǎng)絡(luò)組件。您可以把基于WindowsServer2003的計算機作為遠程訪問服務(wù)器，這樣其他用戶可以通過使用VPN與其連接，然后登錄到網(wǎng)絡(luò)并訪問共享資源。虛擬專用網(wǎng)絡(luò)是通過在Internet或另外的公用網(wǎng)絡(luò)上進行“隧道操作”來實現(xiàn)的，可提供與專用網(wǎng)絡(luò)相同的安全性和功能。數(shù)據(jù)利用公用網(wǎng)絡(luò)的路由結(jié)構(gòu)在公用網(wǎng)絡(luò)上傳送，而對用戶來說，則好像是通過一個專門的專用鏈接傳送的。

VPN概述

虛擬專用網(wǎng)絡(luò)是一種通過公用網(wǎng)絡(luò)（如Internet）連接專用網(wǎng)絡(luò)（如您的辦公室網(wǎng)絡(luò)）的途徑。VPN將撥號服務(wù)器的撥號連接的優(yōu)點與Internet連接的方便與靈活性結(jié)合了起來。通過使用Internet連接，您可以周游世界，而同時在大多數(shù)地方仍可以通過當?shù)刈罱腎nternet訪問電話號碼連接到您的辦公室。如果您的計算機和辦公室有高速Internet連接（如電纜或DSL），您就可以用最高的Internet速度與辦公室通訊，比任何使用模擬調(diào)制解調(diào)器的撥號連接速度都要快得多。此技術(shù)使企業(yè)可以通過公用網(wǎng)絡(luò)連接到其分支辦事處或其他公司，同時又可以確保通信的安全性。通過Internet的VPN連接從邏輯上講相當于一個專用的廣域網(wǎng)(WAN)鏈接。

虛擬專用網(wǎng)絡(luò)使用需進行身份驗證的鏈接以確保只有授權(quán)用戶才可以連接到您的網(wǎng)絡(luò)。為了確保通過公用網(wǎng)絡(luò)傳送數(shù)據(jù)的安全性，VPN連接使用點對點隧道協(xié)議(PPTP)或第二層隧道協(xié)議(L2TP)對數(shù)據(jù)進行加密。

VPN的組件

運行WindowsServer2003的服務(wù)器中的VPN組件包括一個VPN服務(wù)器、一個VPN客戶端、一個VPN連接（連接中數(shù)據(jù)被加密的部分）和隧道（連接中數(shù)據(jù)被封裝的部分）。建立隧道是通過運行WindowsServer2003的服務(wù)器中包括的兩個隧道協(xié)議之一完成的，這兩個協(xié)議都是隨“路由和遠程訪問”安裝的。WindowsServer2003安裝過程中將自動安裝“路由和遠程訪問”服務(wù)。但是，默認情況下，“路由和遠程訪問”服務(wù)會被關(guān)閉。

Windows包括的這兩個隧道協(xié)議是：

·點對點隧道協(xié)議(PPTP)：使用“Microsoft點對點加密”提供數(shù)據(jù)加密。

·第二層隧道協(xié)議(L2TP)：使用IPSec提供數(shù)據(jù)加密、身份驗證和完整性。

到Internet的連接必須使用專用的線路，例如T1、FractionalT1或FrameRelay。必須用指派給您的域或由Internet服務(wù)提供商(ISP)提供的IP地址和子網(wǎng)掩碼配置WAN適配器。還必須將WAN適配器配置為ISP路由器的默認網(wǎng)關(guān)。

注意：若要啟用VPN，您必須使用具有管理權(quán)限的帳戶登錄。

如何安裝和啟用VPN服務(wù)器

若要安裝和啟用VPN服務(wù)器，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

2.在控制臺左窗格中單擊與本地服務(wù)器名稱匹配的服務(wù)器圖標。如果該圖標左下角有一個紅圈，則說明尚未啟用“路由和遠程訪問”服務(wù)。如果該圖標左下角有一個指向上方的綠色箭頭，則說明已啟用“路由和遠程訪問”服務(wù)。如果先前已啟用“路由和遠程訪問”服務(wù)，您可能要重新配置服務(wù)器。若要重新配置服務(wù)器，請按照下列步驟操作：

a.右擊服務(wù)器對象，然后單擊“禁用路由和遠程訪問”。單擊是以繼續(xù)。

b.右擊服務(wù)器圖標，然后單擊“配置并啟用路由和遠程訪問”以啟動“路由和遠程訪問服務(wù)器安裝向?qū)?rdquo;。

c.單擊下一步繼續(xù)。單擊“遠程訪問（撥號或VPN）”以啟用遠程計算機撥入或通過Internet連接到本網(wǎng)絡(luò)。單擊下一步繼續(xù)。

3.根據(jù)您打算分配給該服務(wù)器的角色，單擊以選擇VPN或撥號。

4.在“VPN連接”窗口中，單擊連接到Internet的網(wǎng)絡(luò)接口，然后單擊下一步。

5.如果要使用DHCP服務(wù)器給遠程客戶端分配地址，請在IP地址分配窗口中單擊自動，或者，如果僅應(yīng)從預(yù)定義池給遠程客戶端分配地址，請單擊“來自一個指定的地址范圍”。多數(shù)情況下，DHCP選項的管理更簡單。不過，如果沒有DHCP，就必須指定一個靜態(tài)地址范圍。單擊下一步繼續(xù)。

6.如果您單擊“來自一個指定的地址范圍”，就打開了地址范圍分配對話框。單擊新建。在“起始IP地址”框中鍵入希望使用的地址范圍內(nèi)的第一個IP地址。在“結(jié)束IP地址”框中鍵入該范圍內(nèi)的最后一個IP地址。Windows將自動計算地址的數(shù)目。單擊確定以返回到地址范圍分配窗口。單擊下一步繼續(xù)。

7.接受“否，使用路由和遠程訪問對連接請求進行身份驗證”的默認設(shè)置，然后單擊下一步繼續(xù)。單擊完成以啟用路由和遠程訪問服務(wù)并將該服務(wù)器配置為遠程訪問服務(wù)器。

如何配置VPN服務(wù)器

若要繼續(xù)根據(jù)需要配置VPN服務(wù)器，請按照下列步驟操作。

如何將遠程訪問服務(wù)器配置為路由器

為讓遠程訪問服務(wù)器能在您的網(wǎng)絡(luò)中正確地轉(zhuǎn)發(fā)通信量，必須用靜態(tài)路由或路由協(xié)議將其配置為一個路由器，這樣遠程訪問服務(wù)器才能訪問到內(nèi)部網(wǎng)中的所有位置。

若要將服務(wù)器配置為路由器，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

2.右擊服務(wù)器名稱，然后單擊屬性。

3.單擊常規(guī)選項卡，然后單擊選擇“啟用此計算機作為”下的路由器。

4.單擊“局域網(wǎng)和請求撥號路由選擇”，然后單擊確定以關(guān)閉屬性對話框。

如何修改同時連接的數(shù)目

調(diào)制解調(diào)器撥號連接的數(shù)目取決于安裝在服務(wù)器上的調(diào)制解調(diào)器的數(shù)目。例如，如果在服務(wù)器上只安裝了一個調(diào)制解調(diào)器，則一次只能有一個調(diào)制解調(diào)器連接。

撥號VPN連接的數(shù)目取決于您允許同時訪問的用戶的數(shù)目。默認情況下，如果您運行的是本文描述的步驟，則允許128個連接。若要更改同時連接的數(shù)目，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

2.雙擊服務(wù)器對象，右擊端口，然后單擊屬性。

3.在端口屬性對話框中，單擊WAN微型端口(PPTP)，然后單擊配置。

4.在最多端口數(shù)框中，鍵入要允許的VPN連接的數(shù)目。

5.單擊確定，再次單擊確定，然后關(guān)閉“路由和遠程訪問”。

如何管理地址和名稱服務(wù)器

VPN服務(wù)器必須有可用的IP地址，以便在連接進程的IP控制協(xié)議(IPCP)協(xié)商階段將它們分配給VPN服務(wù)器的虛擬接口和VPN客戶端。分配給VPN客戶端的IP地址實際分配給了VPN客戶端的虛擬接口。

對于基于WindowsServer2003的VPN服務(wù)器，默認情況下，分配給VPN客戶端的IP地址是通過DHCP獲得的。您也可以配置靜態(tài)IP地址池。VPN服務(wù)器還必須配置名稱解析服務(wù)器（通常是DNS和WINS服務(wù)器）地址，以在IPCP協(xié)商期間分配給VPN客戶端。

如何管理訪問

在用戶帳戶上配置撥入屬性并配置遠程訪問策略，以管理對撥號網(wǎng)絡(luò)和VPN連接的訪問。

注意：默認情況下拒絕用戶訪問撥號網(wǎng)絡(luò)。

一、通過用戶帳戶訪問

如果您按用戶管理遠程訪問，若要向某個用戶帳戶授予撥號訪問權(quán)限，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“ActiveDirectory用戶和計算機”。

2.右擊用戶帳戶，然后單擊屬性。

3.單擊“版本”選項卡。

4.單擊“允許訪問”以授予用戶撥入的權(quán)限。單擊確定。

二、通過組成員身份訪問

如果您按組管理遠程訪問，請按照下列步驟操作：

1.創(chuàng)建一個由允許創(chuàng)建VPN連接的成員組成的組。

2.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

3.在控制臺樹中，展開“路由和遠程訪問”，展開服務(wù)器名，然后單擊遠程訪問策略。

4.在右側(cè)窗格中右擊任意位置，指向新建，然后單擊遠程訪問策略。

5.單擊下一步，鍵入策略名稱，然后單擊下一步。

6.對于“虛擬專用訪問”訪問方法，請單擊VPN，或?qū)τ趽芴栐L問方法，請單擊撥號，然后單擊下一步。

7.單擊添加，鍵入您在步驟1中創(chuàng)建的組的名稱，然后單擊下一步。

8.按照屏幕上的說明完成該向?qū)У牟僮鳌?/p>

如果VPN服務(wù)器已經(jīng)允許使用撥號網(wǎng)絡(luò)遠程訪問服務(wù)，則不要刪除默認策略。而是移動其位置，使它成為最后一個起作用的策略。

如何從客戶端計算機配置VPN連接

若要建立與VPN的連接，請按照下列步驟操作。若要設(shè)置客戶端進行虛擬專用網(wǎng)絡(luò)訪問，請在客戶端工作站上執(zhí)行下列步驟：

注意：您必須以管理員組的成員身份登錄才能執(zhí)行這些步驟。

注意：因為MicrosoftWindows存在多個版本，所以在您的計算機上執(zhí)行的步驟可能與下面介紹的步驟有所不同。如果是這樣，請參閱產(chǎn)品文檔來完成這些步驟。

1.在客戶計算機上，確認與Internet的連接配置正確。

2.單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。單擊網(wǎng)絡(luò)任務(wù)下的“創(chuàng)建一個新的連接”，然后單擊下一步。

3.單擊“連接到我的工作場所的網(wǎng)絡(luò)”以創(chuàng)建撥號連接。單擊下一步繼續(xù)。

4.單擊“虛擬專用網(wǎng)絡(luò)連接”，然后單擊下一步。

5.在公司名稱對話框中為連接鍵入一個描述性的名稱，然后單擊下一步。

6.如果計算機永久連接到Internet，請單擊不撥初始連接。如果計算機通過Internet服務(wù)提供商(ISP)連接到Internet，則單擊“自動撥此初始連接”，然后單擊與ISP連接的名稱。單擊下一步。

7.鍵入VPN服務(wù)器計算機的IP地址或主機名（例如VPNServer.SampleDomain.com）。

8.如果要允許登錄到該工作站的任何用戶都能訪問此撥號連接，則單擊“任何人使用”。如果要使此連接僅供當前登錄用戶使用，則單擊“只是我使用”。單擊下一步。

9.單擊完成以保存連接。

10.單擊開始，單擊控制面板，然后單擊網(wǎng)絡(luò)連接。

11.雙擊新建的連接。

12.單擊屬性以繼續(xù)為連接配置選項。若要繼續(xù)配置連接的選項，請按照下列步驟操作：

如果您要連接到一個域，請單擊選項選項卡，然后單擊選中“包含Windows登錄域”

復(fù)選框以指定在嘗試連接前是否要求WindowsServer2003登錄域信息。

如果想讓該連接在斷線后重新?lián)芴枺瑒t請單擊選項選項卡，然后單擊選中“斷線重撥”復(fù)選框。

若要使用連接，請按照下列步驟操作：

1.單擊開始，指向“連接到”，然后單擊該新建連接。

2.如果目前沒有到Internet的連接，Windows可讓您連接到Internet。

3.建立到Internet的連接后，VPN服務(wù)器會提示您輸入用戶名和密碼。鍵入用戶名和密碼，然后單擊連接。

您必須能夠使用您的網(wǎng)絡(luò)資源，就像直接連接到該網(wǎng)絡(luò)一樣。注意：若要從VPN上斷開，請右擊連接圖標，然后單擊斷開連接。

本文介紹了安裝和配置虛擬專用網(wǎng)絡(luò)服務(wù)器的方法，下文我們將介紹虛擬專用網(wǎng)絡(luò)服務(wù)器VPN疑難解答。

【編輯推薦】

1. Linux下的主要VPN技術(shù)
2. 詳細講解Linux系統(tǒng)VPN服務(wù)器配置
3. Windows 2008下VPN網(wǎng)絡(luò)連接設(shè)置方法
4. 在Ubuntu 8.10上連接到微軟VPN服務(wù)器
5. Windows XP下實現(xiàn)高效安全的VPN連接