（用戶是否聽說過虛擬專用網(wǎng)VPN）的優(yōu)越特性？是否準(zhǔn)備好在遠(yuǎn)程訪問設(shè)備上看看它的優(yōu)越性了嗎？那么，用戶應(yīng)該很高興的是，Windows 2000提供了一個(gè)非常好的VPN平臺(tái)，尤其是連接小型遠(yuǎn)程辦公，支持遠(yuǎn)程辦工人員（也就是電子通勤族）從家庭工作室進(jìn)行遠(yuǎn)程連接。而且，用戶將會(huì)看到在windows 2000上建立VPN是非常簡(jiǎn)單的。同時(shí)，Win2K能夠從根本上動(dòng)態(tài)提升Windows NT的VPN服務(wù)器的性能和安全性。

在這篇文章中，我介紹一下用戶建立自己的VPN所需要的硬件和軟件，以及如何在公司網(wǎng)絡(luò)中配置一臺(tái)VPN服務(wù)器，如何配置遠(yuǎn)程辦工人員的PCs，使他們能夠建立到公司LAN網(wǎng)絡(luò)的VPN連接。文章主要集中于介紹安裝VPN的基本過程，不會(huì)涉及更高級(jí)方面的問題，例如建立一個(gè)遠(yuǎn)程辦公網(wǎng)絡(luò)的服務(wù)器對(duì)服務(wù)器端的VPN連接，配置遠(yuǎn)程訪問策略，或配置VPN連接，使之能夠通過防火墻和代理服務(wù)器。有了這些認(rèn)知，我們就開始介紹如何配置windows 2000服務(wù)器遠(yuǎn)程訪問VPN。

準(zhǔn)備基本設(shè)備

用戶需要考慮的第一件事就是VPN服務(wù)器的硬件設(shè)備。要知道Windows 2000本身就需要大量的硬件資源。在一個(gè)公司的網(wǎng)絡(luò)環(huán)境中，有可能只希望VPN服務(wù)器作為專用的服務(wù)器來提供服務(wù)，機(jī)器上只運(yùn)行Windows 2000服務(wù)器平臺(tái)或windows 2000高級(jí)服務(wù)器平臺(tái)。對(duì)于這樣的配置，建議至少要使用奔騰Ⅲ 450-MHz的處理器，256兆字節(jié)的RAM。對(duì)于小公司網(wǎng)絡(luò)或只有不超過200個(gè)用戶，并且支持少于20個(gè)遠(yuǎn)端連接的公司分部網(wǎng)絡(luò)來說，可以使用奔騰Ⅱ300MHz（或更高）處理器或者至少128兆R(shí)AM的賽揚(yáng)（Celeron）處理器。

用戶的服務(wù)器需要兩塊網(wǎng)卡。一塊連接Internet，另一塊連接局域網(wǎng)。用戶可能會(huì)想到，這就意味著VPN服務(wù)器的實(shí)際功能更像一個(gè)VPN路由器，而不僅僅是一臺(tái)服務(wù)器。它要驗(yàn)證用戶權(quán)限，產(chǎn)生安全通道，然后同任何路由器一樣，根據(jù)路由表中的信息判斷，是否允許用戶訪問他們所要連接的網(wǎng)絡(luò)中的子網(wǎng)資源，或其他的子網(wǎng)。用戶應(yīng)該有這樣的印象，這些資源也包括非Windows資源，像NetWare 和UNIX服務(wù)器。

最后應(yīng)該考慮的是用戶的Internet 連接。使用一臺(tái)VPN服務(wù)器可能意味著可以拋掉很多當(dāng)前使用的RAS專用電話線路。但是，就某種意義來說，這無疑是拆東墻補(bǔ)西墻，因?yàn)樵谶@種情況下用戶有可能要考慮增加公司辦公系統(tǒng)的Internet網(wǎng)絡(luò)帶寬。是否要作出這種決定取決于下列因素：起始帶寬的大小、當(dāng)前的帶寬利用率、用戶數(shù)目和連接VPN服務(wù)器的遠(yuǎn)程分部網(wǎng)絡(luò)的數(shù)目。同樣，如果在公司網(wǎng)絡(luò)中已經(jīng)有一個(gè)始終在線的Internet連接的話，VPN會(huì)工作的更好。如果有一個(gè)撥號(hào)Internet連接的話，我所建議的唯一的VPN解決方案就是在公司網(wǎng)絡(luò)和遠(yuǎn)程分部網(wǎng)絡(luò)之間建立服務(wù)器到服務(wù)器的連接。

配置VPN服務(wù)器

在考慮過硬件配置問題之后，就需要在機(jī)器上安裝Windows 服務(wù)器和最近的服務(wù)包。同時(shí)要保證在服務(wù)器上沒有安裝其他不需要的服務(wù)，例如DNS服務(wù)、DHCP服務(wù)和IIS服務(wù)。同樣要避免裝載任何額外的第三方軟件，除了那些不得不安裝的軟件，如備份代理程序。

安裝Windows服務(wù)器期間，應(yīng)該選擇靜態(tài)分配IP地址方式。要為第一塊網(wǎng)卡設(shè)置一個(gè)真實(shí)的Internet IP地址和Internet路由器的缺省網(wǎng)關(guān)。另一塊網(wǎng)卡應(yīng)該擁有一個(gè)分配給局域網(wǎng)的IP地址，而且不應(yīng)該使用缺省網(wǎng)關(guān)。

還要為VPN服務(wù)器設(shè)置域/工作組。所作的設(shè)置取決于用戶服務(wù)器進(jìn)行用戶驗(yàn)證的方式。有三個(gè)基本選項(xiàng)：VPN服務(wù)器在本地驗(yàn)證用戶；使用Windows 2000 域安全性；或?qū)�安全�?yàn)證工作轉(zhuǎn)給RADIUS服務(wù)器。如果選擇VPN服務(wù)器在本地驗(yàn)證用戶，就要為VPN服務(wù)器建立一個(gè)工作組——類似于“Internet”這樣的名字。如果使用活動(dòng)目錄并且用Windows 2000 域控制器進(jìn)行驗(yàn)證，就要將VPN服務(wù)器加入到windows 2000的域中。如果有一系列的VPN服務(wù)器，可能要使用一個(gè)RADIUS服務(wù)器（例如微軟的Internet驗(yàn)證服務(wù)）來完成驗(yàn)證工作。在這個(gè)例子中，我們使用VPN服務(wù)器本地驗(yàn)證用戶方式。

如果用戶已經(jīng)安裝了windows 2000服務(wù)器，那么依次打開“開始”　“程序”　“管理工具”　“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”窗口，如圖A所示。然后，在相應(yīng)服務(wù)器名的圖標(biāo)上單擊，然后單擊“操作”按鈕，從結(jié)果菜單中選擇“配置并啟用路由和遠(yuǎn)程訪問”。載入創(chuàng)建一個(gè)新服務(wù)器的向?qū)�。選擇“手動(dòng)配置服務(wù)器”，就會(huì)進(jìn)入RRAS開始進(jìn)行配置。向?qū)Э赡軙?huì)提示要選擇VPN選項(xiàng)，但是用戶可以根據(jù)自己的要求進(jìn)行選擇。VPN向?qū)Э赡苡幸稽c(diǎn)古怪，最好在RRAS中手動(dòng)配置基本的VPN設(shè)置，以便在將來可以知道如何進(jìn)行問題跟蹤和糾正。

　　圖A

右擊相應(yīng)VPN服務(wù)器圖標(biāo)開始進(jìn)行配置，選擇“屬性”。調(diào)出用戶用來激活VPN服務(wù)器的主選項(xiàng)。在“常規(guī)”標(biāo)簽中，一定要選擇“路由器”和“遠(yuǎn)程訪問服務(wù)器”這兩個(gè)復(fù)選框，選擇“用于局域網(wǎng)和請(qǐng)求撥號(hào)路由選擇”選項(xiàng)，如圖B所示。切換到“安全”標(biāo)簽，如果VPN服務(wù)器自己作驗(yàn)證或者用戶使用一個(gè)Windows域作驗(yàn)證的話，選擇“Window 身份驗(yàn)證”。如果用戶使用的是一個(gè)RADIUS服務(wù)器，選擇“RADIUS身份驗(yàn)證”。對(duì)于“PPP”和“事件日志”標(biāo)簽中的信息，可以保留缺省設(shè)置或者根據(jù)需要進(jìn)行選擇。

在“IP”標(biāo)簽中的設(shè)置是非常重要的，如圖C所示。需要復(fù)選“啟用IP路由”和“允許基于IP的遠(yuǎn)程訪問和請(qǐng)求撥號(hào)連接”復(fù)選框，然后在“IP地址分配”組中選擇“動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）”方式或“靜態(tài)地址池”（在希望客戶連接的子網(wǎng)內(nèi)）方式。將“適配器”選項(xiàng)設(shè)置為連接用戶LAN網(wǎng)絡(luò)的適配器。“IP”標(biāo)簽中的設(shè)置是很重要的，因?yàn)檫@些設(shè)置規(guī)范了VPN接入客戶接收到的IP地址和網(wǎng)絡(luò)信息。在大多數(shù)情況下，建議使用DHCP方式為VPN用戶配置地址信息。使用局域網(wǎng)內(nèi)那個(gè)用戶用來接收他們的IP信息的DHCP服務(wù)器，為VPN客戶配置地址信息是特別高效的。VPN客戶也能夠接受靜態(tài)IP地址，會(huì)在進(jìn)行客戶配置時(shí)看到。

　　圖B

　　圖C