用戶是不是聽說過虛擬專用網(wǎng)VPN的優(yōu)勝特性？是不是預(yù)備好在長(zhǎng)途拜訪設(shè)備上看看它的優(yōu)勝性了嗎？那么，用戶應(yīng)當(dāng)很高興的是，Windows 2000供給了一個(gè)十分好的VPN渠道，尤其是銜接小型長(zhǎng)途作業(yè)，支撐長(zhǎng)途辦工人員（也即是電子通勤族）從家庭作業(yè)室進(jìn)行長(zhǎng)途銜接。而且，用戶將會(huì)看到在Windows 2000上樹立VPN是十分簡(jiǎn)略的。一起，Win2K能夠從根本上動(dòng)態(tài)提升Windows NT的VPN效勞器的功用和安全性。

在這篇文章中，我介紹一下用戶樹立自個(gè)的VPN所需求的硬件和軟件，以及怎么在公司網(wǎng)絡(luò)中裝備一臺(tái)VPN效勞器，怎么裝備長(zhǎng)途辦工人員的PCs，使他們能夠樹立到公司LAN網(wǎng)絡(luò)的VPN銜接。文章首要集中于介紹裝置VPN的根本進(jìn)程，不會(huì)觸及更高檔方面的疑問，例如樹立一個(gè)長(zhǎng)途作業(yè)網(wǎng)絡(luò)的效勞器對(duì)效勞器端的VPN銜接，裝備長(zhǎng)途拜訪策略，或裝備VPN銜接，使之能夠通過防火墻和署理效勞器。有了這些認(rèn)知，咱們就開端介紹怎么裝備Windows 2000效勞器長(zhǎng)途拜訪VPN。預(yù)備根本設(shè)備

用戶需求思考的榜首件事即是VPN效勞器的硬件設(shè)備。要曉得Windows 2000自身就需求很多的硬件資本。在一個(gè)公司的網(wǎng)絡(luò)環(huán)境中，有也許只期望VPN效勞器作為專用的效勞器來供給效勞，機(jī)器上只運(yùn)行Windows 2000效勞器渠道或Windows 2000高檔效勞器渠道。關(guān)于這樣的裝備，主張最少要運(yùn)用飛躍Ⅲ 450-MHz的處理器，256兆字節(jié)的RAM。關(guān)于小公司網(wǎng)絡(luò)或只要不超越200個(gè)用戶，而且支撐少于20個(gè)遠(yuǎn)端銜接的公司分部網(wǎng)絡(luò)來說，能夠運(yùn)用飛躍Ⅱ300MHz（或更高）處理器或許最少128兆R(shí)AM的賽揚(yáng)（Celeron）處理器。

用戶的效勞器需求兩塊網(wǎng)卡。一塊銜接Internet，另一塊銜接局域網(wǎng)。用戶也許會(huì)想到，這就意味著VPN效勞器的實(shí)踐功用更像一個(gè)VPN路由器，而不僅僅是一臺(tái)效勞器。它要驗(yàn)證用戶權(quán)限，發(fā)生安全通道，然后同任何路由器相同，依據(jù)路由表中的信息判別，是不是允許用戶拜訪他們所要銜接的網(wǎng)絡(luò)中的子網(wǎng)資本，或其他的子網(wǎng)。用戶應(yīng)當(dāng)有這樣的形象，這些資本也包含非Windows資本，像NetWare 和UNIX效勞器。

最終應(yīng)當(dāng)思考的是用戶的Internet 銜接。運(yùn)用一臺(tái)VPN效勞器也許意味著能夠拋掉很多當(dāng)時(shí)運(yùn)用的RAS專用電話線路。可是，就某種意義來說，這無疑是拆東墻補(bǔ)西墻，由于在這種情況下用戶有也許要思考添加公司作業(yè)體系的Internet網(wǎng)絡(luò)帶寬。是不是要作出這種決議取決于下列要素：開端帶寬的巨細(xì)、當(dāng)時(shí)的帶寬利用率、用戶數(shù)目和銜接VPN效勞器的長(zhǎng)途分部網(wǎng)絡(luò)的數(shù)目。相同，假如在公司網(wǎng)絡(luò)中現(xiàn)已有一個(gè)一直在線的Internet銜接的話，VPN會(huì)作業(yè)的非常好。假如有一個(gè)撥號(hào)Internet銜接的話，我所主張的僅有的VPN解決方案即是在公司網(wǎng)絡(luò)和長(zhǎng)途分部網(wǎng)絡(luò)之間樹立效勞器到效勞器的銜接。

裝備VPN效勞器

在思考過硬件裝備疑問以后，就需求在機(jī)器上裝置Windows 效勞器和近來的效勞包。一起要確保在效勞器上沒有裝置其他不需求的效勞，例如DNS效勞、DHCP效勞和IIS效勞。相同要防止裝載任何額定的第三方軟件，除了那些不得不裝置的軟件，如備份署理程序。

裝置Windows效勞器時(shí)期，應(yīng)當(dāng)挑選靜態(tài)分配IP地址方法。要為榜首塊網(wǎng)卡設(shè)置一個(gè)實(shí)在的Internet IP地址和Internet路由器的缺省網(wǎng)關(guān)。另一塊網(wǎng)卡應(yīng)當(dāng)具有一個(gè)分配給局域網(wǎng)的IP地址，而且不應(yīng)當(dāng)運(yùn)用缺省網(wǎng)關(guān)。

還要為VPN效勞器設(shè)置域/作業(yè)組。所作的設(shè)置取決于用戶效勞器進(jìn)行用戶驗(yàn)證的方法。有三個(gè)根本選項(xiàng)：VPN效勞器在本地驗(yàn)證用戶；運(yùn)用Windows 2000 域安全性；或?qū)踩?yàn)證作業(yè)轉(zhuǎn)給RADIUS效勞器。假如挑選VPN效勞器在本地驗(yàn)證用戶，就要為VPN效勞器樹立一個(gè)作業(yè)組——類似于“Internet”這樣的姓名。假如運(yùn)用活動(dòng)目錄而且用Windows 2000 域控制器進(jìn)行驗(yàn)證，就要將VPN效勞器加入到Windows 2000的域中。假如有一系列的VPN效勞器，也許要運(yùn)用一個(gè)RADIUS效勞器（例如微軟的Internet驗(yàn)證效勞）來完成驗(yàn)證作業(yè)。在這個(gè)比如中，咱們運(yùn)用VPN效勞器本地驗(yàn)證用戶方法。

假如用戶現(xiàn)已裝置了Windows 2000效勞器，那么順次翻開“開端”　“程序”　“管理工具”　“路由和長(zhǎng)途拜訪”，翻開“路由和長(zhǎng)途拜訪”窗口，如圖A所示。然后，在相應(yīng)效勞器名的圖標(biāo)上單擊，然后單擊“操作”按鈕，從成果菜單中挑選“裝備并啟用路由和長(zhǎng)途拜訪”。載入創(chuàng)立一個(gè)新效勞器的導(dǎo)游。挑選“手動(dòng)裝備效勞器”，就會(huì)進(jìn)入RRAS開端進(jìn)行裝備。導(dǎo)游也許會(huì)提示要挑選VPN選項(xiàng)，可是用戶能夠依據(jù)自個(gè)的需求進(jìn)行挑選。VPN導(dǎo)游也許有一點(diǎn)乖僻，最好在RRAS中手動(dòng)裝備根本的VPN設(shè)置，以便在將來能夠曉得怎么進(jìn)行疑問盯梢和糾正。



 圖A

右擊相應(yīng)VPN效勞器圖標(biāo)開端進(jìn)行裝備，挑選“特點(diǎn)”。調(diào)出用戶用來激活VPN效勞器的主選項(xiàng)。在“慣例”標(biāo)簽中，一定要挑選“路由器”和“長(zhǎng)途拜訪效勞器”這兩個(gè)復(fù)選框，挑選“用于局域網(wǎng)和懇求撥號(hào)路由挑選”選項(xiàng)，如圖B所示。切換到“安全”標(biāo)簽，假如VPN效勞器自個(gè)作驗(yàn)證或許用戶運(yùn)用一個(gè)Windows域作驗(yàn)證的話，挑選“Window 身份驗(yàn)證”。假如用戶運(yùn)用的是一個(gè)RADIUS效勞器，挑選“RADIUS身份驗(yàn)證”。關(guān)于“PPP”和“事情日志”標(biāo)簽中的信息，能夠保存缺省設(shè)置或許依據(jù)需求進(jìn)行挑選。

在“IP”標(biāo)簽中的設(shè)置是十分重要的，如圖C所示。需求復(fù)選“啟用IP路由”和“允許根據(jù)IP的長(zhǎng)途拜訪和懇求撥號(hào)銜接”復(fù)選框，然后在“IP地址分配”組中挑選“動(dòng)態(tài)主機(jī)裝備協(xié)議（DHCP）”方法或“靜態(tài)地址池”（在期望客戶銜接的子網(wǎng)內(nèi)）方法。將“適配器”選項(xiàng)設(shè)置為銜接用戶LAN網(wǎng)絡(luò)的適配器。“IP”標(biāo)簽中的設(shè)置是很重要的，由于這些設(shè)置規(guī)范了VPN接入客戶接納到的IP地址和網(wǎng)絡(luò)信息。在大多數(shù)情況下，主張運(yùn)用DHCP方法為VPN用戶裝備地址信息。運(yùn)用局域網(wǎng)內(nèi)那個(gè)用戶用來接納他們的IP信息的DHCP效勞器，為VPN客戶裝備地址信息是格外高效的。VPN客戶也能夠承受靜態(tài)IP地址，會(huì)在進(jìn)行客戶裝備時(shí)看到。