尽管术语“虚拟专用网络（VPN）”定义相当广泛,但大多数业内专家使用VPN代表的是通过公用网络(比如Internet）

　　建立专用虚拟隧道。通过VPN,数据被封装成数据包，经由公用网络安全地传输,数据包标头包含路由信息.Windows

　　2000支持第2层（数据链路层）隧道协议,比如PPTP和L2TP，这些协议先将数据封装进PPP帧，然后再通过

　　线层(网络层)隧道协议（如IPSec）也受支持，在这里IP数据包在传输前先被封装进IP标头。

　　利用VPN有许多种方式。但可能最通常的方案是远程用户通过VPN隧道访问企业网络。在其他方案中，远程

　　办公室可以使用持续的或请求拨号VPN连接方式连接企业网络。VPN还可以部署在外部网方案中以便与商业伙伴

　　要配置VPN服务器，计算机必须至少有两个接口。要设置Windows2000server用于VPN,请使用以下步骤:

　　请不要使用虚拟专用网络（VPN)服务器选项.“路由和远程访问”向导不允许路由,解释请见Microsoft

　　L2TP通信来保护服务器。如果这正是您所需要的,则不必担心。但请注意,使用该选项将导致“路由和远程访问阻止

　　在用户能够使用VPN连接您的服务器前，还需要采取一个步骤.即需要给用户相应的拨入权限以访问网络。这可

　　以通过在“远程访问策略”中授予用户远程访问权限来实现，如图2所示;也可以通过在ActiveDirectory“用户和计

　　默认情况下，所创建的VPN端口数目有所不同，具体取决于是否选择最后一个选项手动配置服务器。如果选择

　　了该选项，则只创建5个PPTP和5个L2TP端口,如果选择了中间选项虚拟专用网络（VPN)服务器,则创建

　　128个PPTP和128个L2TP端口。通过选择“路由和远程访问”控制台中的“端口属性”，您始终可以调整端口数。

　　备注如果VPN客户端要通过路由器或防火墙,并且使用的是PPTP,请确保允许TCP端口1723和IP协议

　　ID47（GRE—常规路由封装）通过路由器或防火墙.如果使用的是L2TP，则需要打开UDP端口500（IKE)、协

　　要连接企业端的VPN服务器，首先需要保证能够通过拨入ISP连接Internet，除非拥有对Internet的专用

　　连接（比如DSL)才不需要拨号。连接到Internet即让您置身于企业VPN服务器所连接的同一全球Internet主干

　　在“公用网络”屏幕上，您可以如此配置：建立到企业VPN服务器的第二连接之前，首先自动拨叫ISP。只有在

　　默认情况下,使用该连接时，只具有键入用户名和密码的选项。要添加“域”选项,请单击“属性”,然后在“选项选项

　　视连接VPN服务器方式的不同,您将使用MPPE加密或IPSec加密.如果连接到PPTP服务器,则使用

　　MPPE，但如果连接到L2TP服务器，则使用IPSec。默认情况下，VPN被配置为自动服务器类型,这意味着在尝试

　　使用MPPE加密的PPTP之前首先尝试使用IPSec加密的L2TP。MPPE的工作方式与IPSec不同.由于数据

　　包到达目的地的先后顺序不同,MPPE使用标头中的序列号来跟踪数据包.MPPE根据序列号来更改每个数据包的加

　　密密钥。使用L2TP连接需要IPSec证书.如果在建立VPN连接时遇到问题，请尝试选择PPTP代替默认的“自

　　动”选项作为连接类型.如果选择了“自动”设置而不能协商IPSec会话,则在它退到PPTP之前可能需要等待很长时

　　通过在“远程访问策略”的“属性”下选择“编辑配置文件”可以配置四个加密选项。在“加密”选项卡上，您可以选择

　　“无”加密、“基本”、“强”或“最强”加密.“最强”加密（128位)只有在安装了Windows2000HighEncryptionPack的

　　图5(下图）显示了通过隧道时PPTP数据包的结构。首先,通过将加密的 PPP 数据与 PPP 标头封装在一起来

　　创建 PPP 帧。然后,将 PPP 帧与 GRE 标头封装在一起。再后,将生成的有效负载与 IP 标头封装在一起,IP 标头

　　中包含源 IP 地址和目标 IP 地址的信息.最后，该 IP 数据文报与数据链路层标头和尾端封装在一起。视所使用技术

　　的不同，数据链路层标头和尾端也有所不同。例如，当通过以太网发送 IP 数据文报时,它与以太网标头和尾端一起封

　　装，当通过模拟电话线路发送时,它与 PPP 标头和尾端一起封装，等等。当数据包到达目的地时，各标头以相反的顺

　　序剥离。首先,数据链路层标头和尾端被除去，然后 IP、GRE 和 PPP 标头被依次剥离。最后，PPP 数据被解密。

　　L2TP 的数据包结构与 PPTP 有些类似，也有一些标头添加到 PPP 数据中。图 6 显示了 L2TP 数据包的结

　　VPN 是远程办公者对企业网络进行安全访问的有效方法。它通过公用网络提供 LAN 的安全扩展，因此在远程

　　分支机构和外部网方案中也很有用.与传统的拨号解决方案相比，VPN 由于其易于管理和总体拥有成本更低而变得非

　　VPN,全称为 Virtual Private Network，中文翻译为虚拟专用网，这几年非常使流行.它是一个加密或封装的通信

　　过程，两个节点之间所发生的通信都是通过加密的。它也是专用网络的一个扩展,但不需要 ISP 或电话公司设置一个

　　独立的额外的连接来提供连通性。VPN通常在 Internet 上实现，然而,VPN也可以通过专用线路，帧中继/ATM，或

　　普通的旧式电话网 POTN(如 ISDN，xDSL 等）来实现.VPN的通信是依靠加密来实现的,而加密软件对原有的大部分

　　这里主要讨论基于 Internet 上的 VPN的使用.VPN不限于站点间的连接，它们还允许远程的客户安全的连接到办

　　VPN为通过公共网络的不安全连接提供安全性和可靠性,VPN基本用来合作构成一个安全连接的三种技术组成,

　　。身份验证 确保 VPN会话建立之前的客户和服务器是他们本身,但并不需要相互验 证,在隧道建立和数据传输之

　　前要求成功的验证。要尽可能的提供最强的验证级别。诸如：EAP,MS—CHAP 或 MS—CHAPv2 等身份验证协议。

　　MMPE 支持三种方案:标准的 40 位和 56 位。在美国个加拿大还使用加强的 128 位加 密。要使用 MMPE，必

　　IPSec 实际上是一基于加密技术的服务和协议的集合。为使用 L2TP 的 VPN连接提供了身份验证和加密，如

　　而 DES3 只能在美国用.因为美国是把加密技术当成军火才出售的,因此其他地区只能使用 DES(由此可见,美国佬确实

　　也许前面三个大家都很理解,但是这最后似乎有点不可理喻;内部做 VPN干什么?其实,这主要是为了安全的考虑。

　　根据调查显示，很多时候网络安全的威胁不仅是来自外部，更多的是来自企业内部.通过在企业内部实现 VPN，可以

　　但是，如果仅仅因为 VPN是一个很时髦的技术而采用它，是否有点过于浪费（不过，如果你的公司很有钱的话

　　。站点到站点 可使用两个或多个 Windows 2000 VPN 服务器建立它们之间的 VPN连接，两个站点之间的通信

　　RRAS在Windows 2000 Server 安装的时候已经自动安装了，但是处于禁用状态,要使用RRAS需要先启动它。

　　步骤：开始｜程序｜系统管理工具｜路由与远程访问，在弹出的“路由与远程访问”窗口中，选定要启用的服务器，然

　　2。1.1 如果选择了 ICS，你会被询问通过网络或拨号连接配置 ICS,要通过拨号配置 ICS，按如下过程完成：开

　　始设置｜网络和拨号连接，在拨号或 VPN上右击-属性,在共享选项卡中，选择“启用此连接的 Internet 连接共享。

　　该选项允许网络上的另一台计算机使用这个 Internet 连接.然后确定(注意弹出的提示消息!！)

　　这个选项有两个关联的选项可供选择：使用选择的Internet 连接或创建一个新的请求拨号的 Internet 连接。如果

　　SERVER端：检查所需的协议是否已经安装，选择用来连接 Internet 的连接方式。如果你有一个 DHCP 服务器，

　　就应当使用这个服务器，如果没有,VPN服务器将从一个 IP 地址范围内为客户分配一个 IP 地址（下一步将会提示你

　　输入 IP地址的范围）。如果是使用 DHCP 服务器,下一步将会询问你是否使用一个 RADIUS 服务器,保留默认的“不。

　　这里介绍windows 2000 的客户.确保在配置客户端应用程序之前，已经安装了一个调制解调器和驱动程序.）

　　执行步骤:开始｜设置｜网络和拨号连接，双击启动“新建连接”.与 RRAS 服务器相关的选项是“拨号到专用网络”

　　和“通过 Internet 连接到专用网络”。可以选择第一个,按照向导完成。请注意不要将“Internet 连接共享复选框选中。

　　指定连接的安全设置:如果你觉得不必配置安全性的话，那么，在上一步其实你就已经完成了 VPN的配置了。但

　　是事实是你还得配置这一步。返回“网络和拨号连接”,双击刚才建立的连接，右键｜属性安全措施,在这里配置客户使

　　远程访问连接根据用户的帐号和远程访问策略被授权访问。当添加远程访问策略时，一个用户只能使用一个策略。

　　1． 管理 如果你有多个 RRAS 服务器,可以将他们放在一个管理单元中进行管理。右击“服务器状态，选择“添

　　2． 监视 单击“服务器状态”，可在右边查看服务器的名称，类型，状态,服务器上的端口数量总数,使用中的端口

　　或者在 RRAS 控制台中，展开控制台树,显示出 IP路由选择或者IPX 路由选择子数下的静态路由条目，右击“静

　　进入我的电脑→控制面板→管理工具→路由和远程访问,右击 FENGYUN(本地)［FENGYUN为计算机名],在弹出

　　由于我们配置路由和远程访问的目的是为了让远程计算机通过代理上网和文件访问，所以选择“远程访问服务器”,

　　并点击“下一步”继续,根据自己的需求选择“设置一个基本的远程访问服务器”或 “设置一个高级远程访问服务器，笔

　　然后计算机出现远程客户协议(图 4）对话框,选择“是，所有要求的协议都在此列表中”，并点击“下一步”继续。请注

　　意：这里至少有要有 TCP/IP 和 NetBEUI 两种协议，TCP/IP 协议是用来路由并代理上网vpn架设教程，而 NetBEUI 则是用来解析

　　计算机名，这两种协议缺一不可,假如需要添加协议，则可选择 “否，我需要添加协议”，把需要的协议添加进来.

　　协议配置完毕后，计算机询问“您想如何对远程客户分配 IP 地址，笔者选择的是“自动”，并点击“下一步”继续

　　读者则可根据自己的实际情况进行设置.假如选择“自动”，则在这个子网必须要有一台 DHCP 服务器，这台 DHCP 服

　　务器可以是路由和远程访问服务本身,也可以是子网内的其他计算机，假如子网内没有 DHCP 服务器，则只能选择“来

　　IP 地址配置完以后，计算机询问“您想设置此远程访问服务器使用一个现有的 RADI US 服务器呢”,选择“不,我现

　　在不想设置此服务器使用 RADIUS”,并点击“下一步”继续，出现配置“路由和远程访问的信息对话框,点击“完成”结束

　　配置完“路由和远程访问”工具以后，我们发现 FENGYUN(本地）的箭头变有绿色向上，在没配置之时是红色向

　　配置完“路由和远程访问”以后,工作并没有结束，你想远程客户拔号进来，还得对你的帐户进行设定.

　　进入我的电脑→控制面板→管理工具→计算机管理，展开“本地用户和组”，点击“用户，选择一个用户或者新建

　　在“远程访问权限”中选择“允许访问”(必选)，假如你想节省电话费，则可在“回拔选项选择“总是回拔到”，并在

　　这里填入你的电话号码（注意，以后不管是哪部电话拔过来,只要是这个帐户，即会回拔到你指定的号码）,然后确定。

　　服务端设置现已全部完成,接下来将设置客户端.客户端设置其实与平常大家上互联网设置差不多，同样确定与路

　　进入我的电脑→控制面板→网络和拔号连接,双击“新建连接” →下一步→选择“拔号到专用网络或者“拔号到

　　在网络和拔号连接中，双击我的连接，输入远程服务器设置的帐户和密码，确定。连接成功后，双击网上邻居，

　　查看远程子网的计算机（图 9），然后进入你平常共享的目录去读取你想要的东西吧。恭喜，远程访问测试通过。

　　如想通过远程服务器代理上网,则需在远程服务器或远程服务器的子网安装代理服务器软件,并配置好相关设置，

　　目前，规模比较大点的公司都有自己的分公司，如何让分公司随时同公司总部保持安全、高效率、低成本、多用途的

　　连接,这是摆在每一个企业面前的难题。传统的方法有专线连接、拨号连接、IP 地址直接访问等，可是它们要么费用

　　络中建立专用网络，是“线路中的线路”，数据通过安全的“加密通道在公共网络中传播，具有良好的保密性和抗干扰

　　性。企业只需要租用本地的数据专线,连接上本地的公众信息网，各地的机构就可以互相传递信息；同时,企业还可以

　　利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。之所以称为虚拟网

　　主要是因为整个 VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络

　　服务商所提供的网络平台（如 INTERNET，ATM，FRAME RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。

　　VPN还提供远程访问，它扩展性强、便于管理和实现全面控制，并可节省成本.采用VPN技术是今后企业网络发展的