目前，規(guī)模比較大點(diǎn)的公司都有自己的分公司，如何讓分公司隨時(shí)同公司總部保持安全、高效率、低成本、多用途的連接，這是擺在每一個(gè)企業(yè)面前的難題。傳統(tǒng)的方法有專線連接、撥號連接、IP地址直接訪問等，可是它們要么費(fèi)用高昂，要么功能單一，還可能帶來安全隱患。而使用VPN連接則將使這些難題迎刃而解。

首先簡單介紹一下VPN，其英文全稱為Virtual Private Network，即虛擬專用網(wǎng)絡(luò)。 VPN技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，是“線路中的線路”，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播，具有良好的保密性和抗干擾性。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺（如INTERNET，ATM，F(xiàn)RAME RELAY等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。VPN還提供遠(yuǎn)程訪問，它擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制，并可節(jié)省成本。采用VPN技術(shù)是今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

要實(shí)現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須有一臺基于Windows NT或Windows 2000 Server的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，這就要求VPN服務(wù)器必須擁有一個(gè)公共的IP地址。當(dāng)客戶機(jī)通過VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由ISP（Internet服務(wù)提供商）將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。在 Windows 2000 中有兩種類型的 VPN 技術(shù)：1.對點(diǎn)隧道協(xié)議 (PPTP)： 用于數(shù)據(jù)加密，PPTP 使用用戶級的點(diǎn)到點(diǎn)協(xié)議 (PPP) 身份驗(yàn)證方法及 Microsoft 點(diǎn)到點(diǎn)加密 (MPPE)。 2.帶有 IP 協(xié)議安全 (IPSec) 的第二層隧道協(xié)議 (L2TP)： L2TP 使用用戶級 PPP 身份驗(yàn)證方法和帶有 IPSec 數(shù)據(jù)加密的機(jī)器級證書。

我配置的實(shí)例是一個(gè)遠(yuǎn)程客戶端(Windows 2000 Pro)與一個(gè)公司總部VPN server(Windows 2000 Pro)之間的連接，主要有三個(gè)步驟:

1.配置VPN服務(wù)器,使之能夠接受VPN接入。

2.VPN客戶端（Win2000）的配置。

3.建立客戶端與服務(wù)器間的VPN連接。

具體步驟如下：

首先，需要公司總部的計(jì)算機(jī)（以下稱之為“VPN服務(wù)器”）和分公司的計(jì)算機(jī)（以下稱之為“VPN客戶機(jī)”）均應(yīng)能訪問Internet，并且VPN服務(wù)器擁有一個(gè)Internet上合法的IP地址（即公網(wǎng)IP）。然后，當(dāng)VPN客戶機(jī)通過虛擬撥號和VPN服務(wù)器連接成功，VPN客戶機(jī)就成了VPN服務(wù)器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi)，任意一臺計(jì)算機(jī)均可以根據(jù)權(quán)限訪問其他計(jì)算機(jī)上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。

1．VPN服務(wù)器的配置

VPN服務(wù)器端操作系統(tǒng)可以是WinNT 4.0/Win2000/WinXP/Win2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)連入Internet，并且擁有一個(gè)獨(dú)立的公網(wǎng)IP。我選用在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN服務(wù)器為例。（1）依次進(jìn)入“開始”→“程序”→“管理工具”→“路由和遠(yuǎn)程訪問”打開“路由和遠(yuǎn)程訪問”控制臺。（2）在左邊框架中“SERVER（本地）”（“SERVER”為服務(wù)器名）處單擊右鍵，選擇“配置并啟用路由和遠(yuǎn)程訪問”打開“路由和遠(yuǎn)程訪問安裝向?qū)А贝翱凇＃?）在“歡迎使用路由和遠(yuǎn)程訪問安裝向?qū)А币徊浇榻B本向?qū)У淖饔谩]有可以設(shè)置的選項(xiàng)，直接單擊“下一步”按鈕繼續(xù)。（4）在“公共設(shè)置”一步需要選擇所相應(yīng)的公共配置。默認(rèn)選項(xiàng)為“Internet連接服務(wù)器”，需要改選為“虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器”，然后單擊“下一步”按鈕繼續(xù)。 （5）在“遠(yuǎn)程客戶協(xié)議”一步顯示的是當(dāng)前VPN訪問可使用協(xié)議的列表。默認(rèn)選項(xiàng)為“是，所有可用的協(xié)議都在列表上”，不用修改，直接單擊“下一步”按鈕繼續(xù)。（6）在“Internet連接”一步需要指定服務(wù)器所使用的連接。默認(rèn)選項(xiàng)為“無Internet連接”，不用修改，直接單擊“下一步”按鈕繼續(xù)。（7）在“IP地址”一步需要選擇為遠(yuǎn)程VPN客戶端指定IP地址的方法。默認(rèn)選項(xiàng)為“自動(dòng)”，由于本機(jī)沒有配置DHCP服務(wù)器，因此需要改選為“來自一個(gè)指定的地址范圍”，然后單擊“下一步”按鈕繼續(xù)。 （8）在“地址范圍指定”一步可以為VPN客戶機(jī)指定所分配的IP地址范圍。比如打算分配的IP地址范圍為“192.168.0.100”～“192.168.0.200”，則單擊“新建”按鈕打開“新建地址范圍”窗口，按提示輸入后單擊“確定”按鈕返回“地址范圍指定”一步，然后單擊“下一步”按鈕繼續(xù)。 注意：這些IP地址將分配給VPN服務(wù)器和VPN客戶機(jī)。為了確保連接后的VPN網(wǎng)絡(luò)能同VPN服務(wù)器原有局域網(wǎng)正常通信，它們必須同VPN服務(wù)器的IP地址處在同一個(gè)網(wǎng)段中。即：假設(shè)VPN服務(wù)器IP地址為“192.168.0.1”，則此范圍中的IP地址均應(yīng)該以“192.168.0”開頭。（9）在“管理多個(gè)遠(yuǎn)程訪問服務(wù)器”一步用于設(shè)置集中管理多個(gè)VPN服務(wù)器。默認(rèn)選項(xiàng)為“不，我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS”，不用修改，直接單擊“下一步”按鈕繼續(xù)。（10）在“正在完成路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А币徊秸f明已經(jīng)配置完成。沒有可以設(shè)置的選項(xiàng)，直接單擊“完成”按鈕繼續(xù)。（11）此時(shí)屏幕上將出現(xiàn)一個(gè)名為“正在啟動(dòng)路由和遠(yuǎn)程訪問服務(wù)”的小窗口，過一會(huì)兒將自動(dòng)返回“路由和遠(yuǎn)程訪問”控制臺，出現(xiàn)如（圖1）畫面，即結(jié)束了VPN服務(wù)器的配置工作。 說明：此時(shí)“服務(wù)”控制臺中的“Routing and Remote Access”服務(wù)已經(jīng)“自動(dòng)”處于“已啟動(dòng)”狀態(tài)了；而在“網(wǎng)絡(luò)和撥號連接”窗口中也會(huì)多出一個(gè)“傳入的連接”圖標(biāo)。

圖1 2．賦予用戶撥入權(quán)限

默認(rèn)的，包括Administrator用戶在內(nèi)的所有用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為相應(yīng)用戶賦予撥入權(quán)限。本文以“water”用戶為例。（1）在“我的電腦”處單擊右鍵，選“管理”打開“計(jì)算機(jī)管理”控制臺。（2）在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊“water”打開“water 屬性”窗口。（3）轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問權(quán)限（撥入或VPN）”選項(xiàng)組下默認(rèn)選項(xiàng)為“通過遠(yuǎn)程訪問策略控制訪問”，改選為“允許訪問”，然后單擊“確定”按鈕返回“計(jì)算機(jī)管理”控制臺，即結(jié)束了賦予“water”用戶撥入權(quán)限的工作。

3．VPN客戶機(jī)（Win2000）的配置

VPN客戶機(jī)端的操作系統(tǒng)可以是Win98/WinNT4.0/Win2000/WinXP/Win2003，相關(guān)組件均為系統(tǒng)自帶，且要求VPN客戶機(jī)已經(jīng)連入Internet。我還是選擇在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN客戶機(jī)為例。（1）在“網(wǎng)上鄰居”處單擊右鍵，選“屬性”打開“網(wǎng)絡(luò)和撥號連接”窗口。（2）雙擊“新建連接”圖標(biāo)打開“網(wǎng)絡(luò)連接向?qū)А贝翱凇＃?）在“歡迎使用路由和遠(yuǎn)程訪問安裝向?qū)А币徊浇榻B本向?qū)У淖饔谩]有可以設(shè)置的選項(xiàng)，直接單擊“下一步”按鈕繼續(xù)。（4）在“網(wǎng)絡(luò)連接類型”一步可以選擇所創(chuàng)建的網(wǎng)絡(luò)連接類型。默認(rèn)選項(xiàng)為“撥號到專用網(wǎng)絡(luò)”，需要改選為“通過Internet連接到專用網(wǎng)絡(luò)”，然后單擊“下一步”按鈕繼續(xù)。（5）在“公用網(wǎng)絡(luò)”一步可以選擇是否在VPN連接前自動(dòng)撥號。默認(rèn)選項(xiàng)為“自動(dòng)撥此初始連接”，需要改選為“不撥初始連接”，然后單擊“下一步”按鈕繼續(xù)。（6）在“目標(biāo)地址”一步需要提供VPN服務(wù)器的主機(jī)名或IP地址。在文本框中輸入VPN服務(wù)器的公網(wǎng)IP，比如為“218.88.135.48”，然后單擊“下一步”按鈕繼續(xù)。（7）在“可用連接”一步可以選擇此連接僅允許當(dāng)前客戶機(jī)當(dāng)前登錄用戶使用，還是可讓客戶機(jī)中所有用戶使用。默認(rèn)選項(xiàng)為“所有用戶使用此連接”，根據(jù)需要進(jìn)行選擇，然后單擊“下一步”按鈕繼續(xù)。 （8）在“完成網(wǎng)絡(luò)連接向?qū)А币徊娇梢愿谋拘逻B接的名稱。默認(rèn)為“虛擬專用連接”，可不用修改，也可改為任意內(nèi)容，比如為“到公司總部”，并勾選中“在我的桌面添加一快捷方式”復(fù)選框，然后單擊“完成”按鈕繼續(xù)。（9）之后會(huì)自動(dòng)彈出名為“連接到公司總部”的連接窗口。在“用戶名”處輸入“water”（大小寫不限），在“密碼”處輸入相應(yīng)的密碼，根據(jù)需要勾選中“保存密碼”復(fù)選框，然后單擊“連接”按鈕繼續(xù)，見（圖2）。 注意：此處輸入的用戶名應(yīng)為VPN服務(wù)器上已經(jīng)建立好，并設(shè)置了具有撥入服務(wù)器權(quán)限的用戶，密碼也為其密碼。

圖2 （10）連接成功之后可以看到，雙方的任務(wù)欄右側(cè)均會(huì)出現(xiàn)兩個(gè)撥號網(wǎng)絡(luò)成功運(yùn)行的圖標(biāo)，其中一個(gè)是到Intenet的連接，另一個(gè)則是VPN的連接了！見（圖3）。

圖3 注意：當(dāng)雙方建立好了通過Internet的VPN連接后，即相當(dāng)于又在Internet上建立好了一個(gè)雙方專用的虛擬通道，而通過此通道，雙方可以在網(wǎng)上鄰居中進(jìn)行互訪，也就是說相當(dāng)于又組成了一個(gè)局域網(wǎng)絡(luò)！這個(gè)網(wǎng)絡(luò)是雙方專用的，而且具體良好的保密性能。VPN建立成功之后，雙方便可以通過IP地址或'網(wǎng)上鄰居'來達(dá)到互訪的目的，當(dāng)然也就可以使用對方所共享出來的軟硬件資源了！

VPN網(wǎng)絡(luò)實(shí)際應(yīng)用中遇到的問題及解決辦法:

（1）當(dāng)VPN網(wǎng)絡(luò)建立成功之后，VPN客戶機(jī)如何訪問VPN服務(wù)器和VPN服務(wù)器所在的局域網(wǎng)？解決方法：像普通局域網(wǎng)一樣，相互之間可以通過“網(wǎng)上鄰居”，或者直接在任意窗口地址欄輸入“對方IP地址”（如“100.100.100.3”）等方式來訪問對方共享出的軟硬件資源。

（2）VPN網(wǎng)絡(luò)建立成功之后，VPN客戶機(jī)便不能訪問Internet了。如何才能做到VPN網(wǎng)絡(luò)訪問和Internet訪問兩不誤？解決方法：這是因?yàn)閂PN客戶機(jī)系統(tǒng)使用了VPN服務(wù)器所定義的網(wǎng)關(guān)來覆蓋了原有的網(wǎng)關(guān)，從而切斷了VPN客戶機(jī)訪問Internet的路徑。解決方法是禁止VPN客戶機(jī)使用VPN服務(wù)器上的默認(rèn)網(wǎng)關(guān)。具體操作方法如下：對于Win2000客戶機(jī)，在“網(wǎng)絡(luò)和撥號連接”窗口中，先選中相應(yīng)的連接名，比如為“到公司總部”，單擊右鍵，選“屬性”打開“到公司總部 屬性”窗口。再轉(zhuǎn)到“網(wǎng)絡(luò)”選項(xiàng)卡，雙擊列表中的“Internet協(xié)議（TCP/IP）”打開“Internet協(xié)議（TCP/IP）屬性”窗口。然后單擊“高級”按鈕進(jìn)入“高級TCP/IP設(shè)置”窗口的“常規(guī)”選項(xiàng)卡，去掉“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”前的小勾即可。

（3）為什么VPN網(wǎng)絡(luò)建立成功之后，已經(jīng)建立連接的VPN客戶機(jī)和VPN服務(wù)器（含其下原有的局域網(wǎng)計(jì)算機(jī)）無法顯示在對方的“網(wǎng)上鄰居”中？解決方法：首先確保VPN客戶機(jī)和VPN服務(wù)器均擁有相同的“工作組”名，然后還需要在VPN服務(wù)器與VPN客戶端上均安裝“NetBEUI”協(xié)議（建議同時(shí)安裝“IPX/SPX”協(xié)議）。

（4）VPN網(wǎng)絡(luò)建立成功之后，用什么方法可以迅速、全面、直觀地查看網(wǎng)絡(luò)中所有活動(dòng)計(jì)算機(jī)的計(jì)算機(jī)名、占用的IP地址及共享資源？解決方法：可以用IP-Tools軟件。其下載地址為：http://www.skycn.net/soft/1123.html（1.06MB）。下載之后直接運(yùn)行即可很容易完成安裝。運(yùn)行IP-Tools的主程序之后單擊工具欄左起第4個(gè)“NB Scanner”按鈕，根據(jù)提示輸入起始IP地址后，再單擊“Start”按鈕即可搜索到相應(yīng)內(nèi)容（圖5）。

圖5

最后總結(jié)一下采用VPN的好處：;;

1. 降低了費(fèi)用：首先，遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請賬戶登錄到Internet，以Internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；其次，企業(yè)可以節(jié)省購買和維護(hù)通信設(shè)備的費(fèi)用。

2. 增強(qiáng)了安全性：VPN 使用三個(gè)方面的技術(shù)保證了通信的安全性：通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。客戶機(jī)向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。

3. 支持最常用的網(wǎng)絡(luò)協(xié)議：基于IP、IPX和NetBUI協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能很容易地使用VPN。

4. 有利于IP地址安全：VPN是加密的，VPN數(shù)據(jù)在Internet中傳輸時(shí)，Internet上的用戶只看到公共的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。