目前，規模比較大點的公司都有自己的分公司，如何讓分公司隨時同公司總部保持安全、高效率、低成本、多用途的連接，這是擺在每一個企業面前的難題。傳統的方法有專線連接、撥號連接、IP地址直接訪問等，可是它們要么費用高昂，要么功能單一，還可能帶來安全隱患。而使用VPN連接則將使這些難題迎刃而解。

首先簡單介紹一下VPN，其英文全稱為Virtual Private Network，即虛擬專用網絡。 VPN技術是指在公共網絡中建立專用網絡，是“線路中的線路”，數據通過安全的“加密通道”在公共網絡中傳播，具有良好的保密性和抗干擾性。企業只需要租用本地的數據專線，連接上本地的公眾信息網，各地的機構就可以互相傳遞信息；同時，企業還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以連接進入企業網中。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺（如INTERNET，ATM，FRAME RELAY等）之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。VPN還提供遠程訪問，它擴展性強、便于管理和實現全面控制，并可節省成本。采用VPN技術是今后企業網絡發展的趨勢。

要實現VPN連接，企業內部網絡中必須有一臺基于Windows NT或Windows 2000 Server的VPN服務器，VPN服務器一方面連接企業內部專用網絡，另一方面要連接到Internet，這就要求VPN服務器必須擁有一個公共的IP地址。當客戶機通過VPN連接與專用網絡中的計算機進行通信時，先由ISP（Internet服務提供商）將所有的數據傳送到VPN服務器，然后再由VPN服務器負責將所有的數據傳送到目標計算機。在 Windows 2000 中有兩種類型的 VPN 技術：1.對點隧道協議 (PPTP)： 用于數據加密，PPTP 使用用戶級的點到點協議 (PPP) 身份驗證方法及 Microsoft 點到點加密 (MPPE)。 2.帶有 IP 協議安全 (IPSec) 的第二層隧道協議 (L2TP)： L2TP 使用用戶級 PPP 身份驗證方法和帶有 IPSec 數據加密的機器級證書。

我配置的實例是一個遠程客戶端(Windows 2000 Pro)與一個公司總部VPN server(Windows 2000 Pro)之間的連接，主要有三個步驟:

1.配置VPN服務器,使之能夠接受VPN接入。

2.VPN客戶端（Win2000）的配置。

3.建立客戶端與服務器間的VPN連接。

具體步驟如下：

首先，需要公司總部的計算機（以下稱之為“VPN服務器”）和分公司的計算機（以下稱之為“VPN客戶機”）均應能訪問Internet，并且VPN服務器擁有一個Internet上合法的IP地址（即公網IP）。然后，當VPN客戶機通過虛擬撥號和VPN服務器連接成功，VPN客戶機就成了VPN服務器所在局域網的一部分。在此局域網內，任意一臺計算機均可以根據權限訪問其他計算機上的軟硬件共享資源，操作方法和普通局域網完全一樣。

1．VPN服務器的配置

VPN服務器端操作系統可以是WinNT 4.0/Win2000/WinXP/Win2003；相關組件為系統自帶；要求VPN服務器已經連入Internet，并且擁有一個獨立的公網IP。我選用在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN服務器為例。（1）依次進入“開始”→“程序”→“管理工具”→“路由和遠程訪問”打開“路由和遠程訪問”控制臺。（2）在左邊框架中“SERVER（本地）”（“SERVER”為服務器名）處單擊右鍵，選擇“配置并啟用路由和遠程訪問”打開“路由和遠程訪問安裝向導”窗口。（3）在“歡迎使用路由和遠程訪問安裝向導”一步介紹本向導的作用。沒有可以設置的選項，直接單擊“下一步”按鈕繼續。（4）在“公共設置”一步需要選擇所相應的公共配置。默認選項為“Internet連接服務器”，需要改選為“虛擬專用網絡（VPN）服務器”，然后單擊“下一步”按鈕繼續。 （5）在“遠程客戶協議”一步顯示的是當前VPN訪問可使用協議的列表。默認選項為“是，所有可用的協議都在列表上”，不用修改，直接單擊“下一步”按鈕繼續。（6）在“Internet連接”一步需要指定服務器所使用的連接。默認選項為“無Internet連接”，不用修改，直接單擊“下一步”按鈕繼續。（7）在“IP地址”一步需要選擇為遠程VPN客戶端指定IP地址的方法。默認選項為“自動”，由于本機沒有配置DHCP服務器，因此需要改選為“來自一個指定的地址范圍”，然后單擊“下一步”按鈕繼續。 （8）在“地址范圍指定”一步可以為VPN客戶機指定所分配的IP地址范圍。比如打算分配的IP地址范圍為“192.168.0.100”～“192.168.0.200”，則單擊“新建”按鈕打開“新建地址范圍”窗口，按提示輸入后單擊“確定”按鈕返回“地址范圍指定”一步，然后單擊“下一步”按鈕繼續。 注意：這些IP地址將分配給VPN服務器和VPN客戶機。為了確保連接后的VPN網絡能同VPN服務器原有局域網正常通信，它們必須同VPN服務器的IP地址處在同一個網段中。即：假設VPN服務器IP地址為“192.168.0.1”，則此范圍中的IP地址均應該以“192.168.0”開頭。（9）在“管理多個遠程訪問服務器”一步用于設置集中管理多個VPN服務器。默認選項為“不，我現在不想設置此服務器使用RADIUS”，不用修改，直接單擊“下一步”按鈕繼續。（10）在“正在完成路由和遠程訪問服務器安裝向導”一步說明已經配置完成。沒有可以設置的選項，直接單擊“完成”按鈕繼續。（11）此時屏幕上將出現一個名為“正在啟動路由和遠程訪問服務”的小窗口，過一會兒將自動返回“路由和遠程訪問”控制臺，出現如（圖1）畫面，即結束了VPN服務器的配置工作。 說明：此時“服務”控制臺中的“Routing and Remote Access”服務已經“自動”處于“已啟動”狀態了；而在“網絡和撥號連接”窗口中也會多出一個“傳入的連接”圖標。

圖1 2．賦予用戶撥入權限

默認的，包括Administrator用戶在內的所有用戶均被拒絕撥入到VPN服務器上，因此需要為相應用戶賦予撥入權限。本文以“water”用戶為例。（1）在“我的電腦”處單擊右鍵，選“管理”打開“計算機管理”控制臺。（2）在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊“water”打開“water 屬性”窗口。（3）轉到“撥入”選項卡，在“選擇訪問權限（撥入或VPN）”選項組下默認選項為“通過遠程訪問策略控制訪問”，改選為“允許訪問”，然后單擊“確定”按鈕返回“計算機管理”控制臺，即結束了賦予“water”用戶撥入權限的工作。

3．VPN客戶機（Win2000）的配置

VPN客戶機端的操作系統可以是Win98/WinNT4.0/Win2000/WinXP/Win2003，相關組件均為系統自帶，且要求VPN客戶機已經連入Internet。我還是選擇在Windows 2000 Server（以下簡稱“Win2000”）中配置VPN客戶機為例。（1）在“網上鄰居”處單擊右鍵，選“屬性”打開“網絡和撥號連接”窗口。（2）雙擊“新建連接”圖標打開“網絡連接向導”窗口。（3）在“歡迎使用路由和遠程訪問安裝向導”一步介紹本向導的作用。沒有可以設置的選項，直接單擊“下一步”按鈕繼續。（4）在“網絡連接類型”一步可以選擇所創建的網絡連接類型。默認選項為“撥號到專用網絡”，需要改選為“通過Internet連接到專用網絡”，然后單擊“下一步”按鈕繼續。（5）在“公用網絡”一步可以選擇是否在VPN連接前自動撥號。默認選項為“自動撥此初始連接”，需要改選為“不撥初始連接”，然后單擊“下一步”按鈕繼續。（6）在“目標地址”一步需要提供VPN服務器的主機名或IP地址。在文本框中輸入VPN服務器的公網IP，比如為“218.88.135.48”，然后單擊“下一步”按鈕繼續。（7）在“可用連接”一步可以選擇此連接僅允許當前客戶機當前登錄用戶使用，還是可讓客戶機中所有用戶使用。默認選項為“所有用戶使用此連接”，根據需要進行選擇，然后單擊“下一步”按鈕繼續。 （8）在“完成網絡連接向導”一步可以更改本新連接的名稱。默認為“虛擬專用連接”，可不用修改，也可改為任意內容，比如為“到公司總部”，并勾選中“在我的桌面添加一快捷方式”復選框，然后單擊“完成”按鈕繼續。（9）之后會自動彈出名為“連接到公司總部”的連接窗口。在“用戶名”處輸入“water”（大小寫不限），在“密碼”處輸入相應的密碼，根據需要勾選中“保存密碼”復選框，然后單擊“連接”按鈕繼續，見（圖2）。 注意：此處輸入的用戶名應為VPN服務器上已經建立好，并設置了具有撥入服務器權限的用戶，密碼也為其密碼。

圖2 （10）連接成功之后可以看到，雙方的任務欄右側均會出現兩個撥號網絡成功運行的圖標，其中一個是到Intenet的連接，另一個則是VPN的連接了！見（圖3）。

圖3 注意：當雙方建立好了通過Internet的VPN連接后，即相當于又在Internet上建立好了一個雙方專用的虛擬通道，而通過此通道，雙方可以在網上鄰居中進行互訪，也就是說相當于又組成了一個局域網絡！這個網絡是雙方專用的，而且具體良好的保密性能。VPN建立成功之后，雙方便可以通過IP地址或'網上鄰居'來達到互訪的目的，當然也就可以使用對方所共享出來的軟硬件資源了！

VPN網絡實際應用中遇到的問題及解決辦法:

（1）當VPN網絡建立成功之后，VPN客戶機如何訪問VPN服務器和VPN服務器所在的局域網？解決方法：像普通局域網一樣，相互之間可以通過“網上鄰居”，或者直接在任意窗口地址欄輸入“對方IP地址”（如“100.100.100.3”）等方式來訪問對方共享出的軟硬件資源。

（2）VPN網絡建立成功之后，VPN客戶機便不能訪問Internet了。如何才能做到VPN網絡訪問和Internet訪問兩不誤？解決方法：這是因為VPN客戶機系統使用了VPN服務器所定義的網關來覆蓋了原有的網關，從而切斷了VPN客戶機訪問Internet的路徑。解決方法是禁止VPN客戶機使用VPN服務器上的默認網關。具體操作方法如下：對于Win2000客戶機，在“網絡和撥號連接”窗口中，先選中相應的連接名，比如為“到公司總部”，單擊右鍵，選“屬性”打開“到公司總部 屬性”窗口。再轉到“網絡”選項卡，雙擊列表中的“Internet協議（TCP/IP）”打開“Internet協議（TCP/IP）屬性”窗口。然后單擊“高級”按鈕進入“高級TCP/IP設置”窗口的“常規”選項卡，去掉“在遠程網絡上使用默認網關”前的小勾即可。

（3）為什么VPN網絡建立成功之后，已經建立連接的VPN客戶機和VPN服務器（含其下原有的局域網計算機）無法顯示在對方的“網上鄰居”中？解決方法：首先確保VPN客戶機和VPN服務器均擁有相同的“工作組”名，然后還需要在VPN服務器與VPN客戶端上均安裝“NetBEUI”協議（建議同時安裝“IPX/SPX”協議）。

（4）VPN網絡建立成功之后，用什么方法可以迅速、全面、直觀地查看網絡中所有活動計算機的計算機名、占用的IP地址及共享資源？解決方法：可以用IP-Tools軟件。其下載地址為：http://www.skycn.net/soft/1123.html（1.06MB）。下載之后直接運行即可很容易完成安裝。運行IP-Tools的主程序之后單擊工具欄左起第4個“NB Scanner”按鈕，根據提示輸入起始IP地址后，再單擊“Start”按鈕即可搜索到相應內容（圖5）。

圖5

最后總結一下采用VPN的好處：;;

1. 降低了費用：首先，遠程用戶可以通過向當地的ISP申請賬戶登錄到Internet，以Internet作為通道與企業內部專用網絡相連，通信費用大幅度降低；其次，企業可以節省購買和維護通信設備的費用。

2. 增強了安全性：VPN 使用三個方面的技術保證了通信的安全性：通道協議、身份驗證和數據加密。客戶機向VPN服務器發出請求，VPN服務器響應請求并向客戶機發出身份質詢，客戶機將加密的響應信息發送到VPN服務端，VPN服務器根據用戶數據庫檢查該響應，如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限，如果該用戶擁有遠程訪問的權限，VPN服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。

3. 支持最常用的網絡協議：基于IP、IPX和NetBUI協議的網絡中的客戶機都能很容易地使用VPN。

4. 有利于IP地址安全：VPN是加密的，VPN數據在Internet中傳輸時，Internet上的用戶只看到公共的IP地址，看不到數據包內包含的專用網絡地址。