用戶是不是聽(tīng)說過虛拟專用網VPN的優勝特性？是不是預備好在長途拜訪設備上(shàng)看看它的優勝性了嗎？那(nà)麽，用戶應當很(hěn)高(gāo)興的是，Windows 2000供給了一個(gè)十分好的VPN渠道(dào)，尤其是銜接小(xiǎo)型長途作(zuò)業，支撐長途辦工人(rén)員（也即是電(diàn)子通(tōng)勤族）從家(jiā)庭作(zuò)業室進行(xíng)長途銜接。而且，用戶将會(huì)看到在Windows 2000上(shàng)樹(shù)立VPN是十分簡略的。一起，Win2K能夠從根本上(shàng)動态提升Windows NT的VPN效勞器(qì)的功用和(hé)安全性。

在這篇文章中，我介紹一下用戶樹(shù)立自個(gè)的VPN所需求的硬件和(hé)軟件，以及怎麽在公司網絡中裝備一台VPN效勞器(qì)，怎麽裝備長途辦工人(rén)員的PCs，使他們能夠樹(shù)立到公司LAN網絡的VPN銜接。文章首要集中于介紹裝置VPN的根本進程，不會(huì)觸及更高(gāo)檔方面的疑問，例如樹(shù)立一個(gè)長途作(zuò)業網絡的效勞器(qì)對效勞器(qì)端的VPN銜接，裝備長途拜訪策略，或裝備VPN銜接，使之能夠通(tōng)過防火(huǒ)牆和(hé)署理(lǐ)效勞器(qì)。有(yǒu)了這些(xiē)認知，咱們就開(kāi)端介紹怎麽裝備Windows 2000效勞器(qì)長途拜訪VPN。預備根本設備

用戶需求思考的榜首件事即是VPN效勞器(qì)的硬件設備。要曉得(de)Windows 2000自身就需求很(hěn)多(duō)的硬件資本。在一個(gè)公司的網絡環境中，有(yǒu)也許隻期望VPN效勞器(qì)作(zuò)為(wèi)專用的效勞器(qì)來(lái)供給效勞，機器(qì)上(shàng)隻運行(xíng)Windows 2000效勞器(qì)渠道(dào)或Windows 2000高(gāo)檔效勞器(qì)渠道(dào)。關于這樣的裝備，主張最少(shǎo)要運用飛躍Ⅲ 450-MHz的處理(lǐ)器(qì)，256兆字節的RAM。關于小(xiǎo)公司網絡或隻要不超越200個(gè)用戶，而且支撐少(shǎo)于20個(gè)遠端銜接的公司分部網絡來(lái)說，能夠運用飛躍Ⅱ300MHz（或更高(gāo)）處理(lǐ)器(qì)或許最少(shǎo)128兆RAM的賽揚（Celeron）處理(lǐ)器(qì)。

用戶的效勞器(qì)需求兩塊網卡。一塊銜接Internet，另一塊銜接局域網。用戶也許會(huì)想到，這就意味着VPN效勞器(qì)的實踐功用更像一個(gè)VPN路由器(qì)，而不僅僅是一台效勞器(qì)。它要驗證用戶權限，發生(shēng)安全通(tōng)道(dào)，然後同任何路由器(qì)相同，依據路由表中的信息判别，是不是允許用戶拜訪他們所要銜接的網絡中的子網資本，或其他的子網。用戶應當有(yǒu)這樣的形象，這些(xiē)資本也包含非Windows資本，像NetWare 和(hé)UNIX效勞器(qì)。

最終應當思考的是用戶的Internet 銜接。運用一台VPN效勞器(qì)也許意味着能夠抛掉很(hěn)多(duō)當時(shí)運用的RAS專用電(diàn)話(huà)線路。可(kě)是，就某種意義來(lái)說，這無疑是拆東牆補西牆，由于在這種情況下用戶有(yǒu)也許要思考添加公司作(zuò)業體(tǐ)系的Internet網絡帶寬。是不是要作(zuò)出這種決議取決于下列要素：開(kāi)端帶寬的巨細、當時(shí)的帶寬利用率、用戶數(shù)目和(hé)銜接VPN效勞器(qì)的長途分部網絡的數(shù)目。相同，假如在公司網絡中現已有(yǒu)一個(gè)一直在線的Internet銜接的話(huà)，VPN會(huì)作(zuò)業的非常好。假如有(yǒu)一個(gè)撥号Internet銜接的話(huà)，我所主張的僅有(yǒu)的VPN解決方案即是在公司網絡和(hé)長途分部網絡之間(jiān)樹(shù)立效勞器(qì)到效勞器(qì)的銜接。

裝備VPN效勞器(qì)

在思考過硬件裝備疑問以後，就需求在機器(qì)上(shàng)裝置Windows 效勞器(qì)和(hé)近來(lái)的效勞包。一起要确保在效勞器(qì)上(shàng)沒有(yǒu)裝置其他不需求的效勞，例如DNS效勞、DHCP效勞和(hé)IIS效勞。相同要防止裝載任何額定的第三方軟件，除了那(nà)些(xiē)不得(de)不裝置的軟件，如備份署理(lǐ)程序。

裝置Windows效勞器(qì)時(shí)期，應當挑選靜态分配IP地址方法。要為(wèi)榜首塊網卡設置一個(gè)實在的Internet IP地址和(hé)Internet路由器(qì)的缺省網關。另一塊網卡應當具有(yǒu)一個(gè)分配給局域網的IP地址，而且不應當運用缺省網關。

還(hái)要為(wèi)VPN效勞器(qì)設置域/作(zuò)業組。所作(zuò)的設置取決于用戶效勞器(qì)進行(xíng)用戶驗證的方法。有(yǒu)三個(gè)根本選項：VPN效勞器(qì)在本地驗證用戶；運用Windows 2000 域安全性；或将安全驗證作(zuò)業轉給RADIUS效勞器(qì)。假如挑選VPN效勞器(qì)在本地驗證用戶，就要為(wèi)VPN效勞器(qì)樹(shù)立一個(gè)作(zuò)業組——類似于“Internet”這樣的姓名。假如運用活動目錄而且用Windows 2000 域控制(zhì)器(qì)進行(xíng)驗證，就要将VPN效勞器(qì)加入到Windows 2000的域中。假如有(yǒu)一系列的VPN效勞器(qì)，也許要運用一個(gè)RADIUS效勞器(qì)（例如微軟的Internet驗證效勞）來(lái)完成驗證作(zuò)業。在這個(gè)比如中，咱們運用VPN效勞器(qì)本地驗證用戶方法。

假如用戶現已裝置了Windows 2000效勞器(qì)，那(nà)麽順次翻開(kāi)“開(kāi)端”　“程序”　“管理(lǐ)工具”　“路由和(hé)長途拜訪”，翻開(kāi)“路由和(hé)長途拜訪”窗口，如圖A所示。然後，在相應效勞器(qì)名的圖标上(shàng)單擊，然後單擊“操作(zuò)”按鈕，從成果菜單中挑選“裝備并啓用路由和(hé)長途拜訪”。載入創立一個(gè)新效勞器(qì)的導遊。挑選“手動裝備效勞器(qì)”，就會(huì)進入RRAS開(kāi)端進行(xíng)裝備。導遊也許會(huì)提示要挑選VPN選項，可(kě)是用戶能夠依據自個(gè)的需求進行(xíng)挑選。VPN導遊也許有(yǒu)一點乖僻，最好在RRAS中手動裝備根本的VPN設置，以便在将來(lái)能夠曉得(de)怎麽進行(xíng)疑問盯梢和(hé)糾正。



 圖A

右擊相應VPN效勞器(qì)圖标開(kāi)端進行(xíng)裝備，挑選“特點”。調出用戶用來(lái)激活VPN效勞器(qì)的主選項。在“慣例”标簽中，一定要挑選“路由器(qì)”和(hé)“長途拜訪效勞器(qì)”這兩個(gè)複選框，挑選“用于局域網和(hé)懇求撥号路由挑選”選項，如圖B所示。切換到“安全”标簽，假如VPN效勞器(qì)自個(gè)作(zuò)驗證或許用戶運用一個(gè)Windows域作(zuò)驗證的話(huà)，挑選“Window 身份驗證”。假如用戶運用的是一個(gè)RADIUS效勞器(qì)，挑選“RADIUS身份驗證”。關于“PPP”和(hé)“事情日志(zhì)”标簽中的信息，能夠保存缺省設置或許依據需求進行(xíng)挑選。

在“IP”标簽中的設置是十分重要的，如圖C所示。需求複選“啓用IP路由”和(hé)“允許根據IP的長途拜訪和(hé)懇求撥号銜接”複選框，然後在“IP地址分配”組中挑選“動态主機裝備協議（DHCP）”方法或“靜态地址池”（在期望客戶銜接的子網內(nèi)）方法。将“适配器(qì)”選項設置為(wèi)銜接用戶LAN網絡的适配器(qì)。“IP”标簽中的設置是很(hěn)重要的，由于這些(xiē)設置規範了VPN接入客戶接納到的IP地址和(hé)網絡信息。在大(dà)多(duō)數(shù)情況下，主張運用DHCP方法為(wèi)VPN用戶裝備地址信息。運用局域網內(nèi)那(nà)個(gè)用戶用來(lái)接納他們的IP信息的DHCP效勞器(qì)，為(wèi)VPN客戶裝備地址信息是格外高(gāo)效的。VPN客戶也能夠承受靜态IP地址，會(huì)在進行(xíng)客戶裝備時(shí)看到。