VPN技術(shù)簡介
1.1 概述
    VPN的全稱是Virtual Private Network，翻譯過來一般稱為虛擬專用網(wǎng)絡(luò)。其主要作用就是利用公用網(wǎng)絡(luò)（主要是互聯(lián)網(wǎng)）將多個私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點連接起來。通過公用網(wǎng)絡(luò)進行連接可以大大降低通信的成本。
    一般來說兩臺連接上互聯(lián)網(wǎng)的計算機只要知道對方的IP地址，是可以直接同通信的。不過位于這兩臺計算機之后的網(wǎng)絡(luò)是不能直接互聯(lián)的，原因是這些私有的網(wǎng)絡(luò)和公用網(wǎng)絡(luò)使用了不同的地址空間或協(xié)議，即私有網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間是不兼容的。VPN的原理就是在這兩臺直接和公用連接的計算機之間建立一個條專用通道。連個私有網(wǎng)絡(luò)之間的通信內(nèi)容經(jīng)過這兩臺計算機或設(shè)備打包通過公用網(wǎng)絡(luò)的專用通道進行傳輸，然后在對端解包，還原成私有網(wǎng)絡(luò)的通信內(nèi)容轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)中。這樣對于兩個私有網(wǎng)絡(luò)來說公用網(wǎng)絡(luò)就像普通的通信電纜，而接在公用網(wǎng)絡(luò)上的兩臺計算機或設(shè)備則相當(dāng)于兩個特殊的線路接頭。
    由于VPN連接的特點，私有網(wǎng)絡(luò)的通信內(nèi)容會在公用網(wǎng)絡(luò)上傳輸，出于安全和效率的考慮一般通信內(nèi)容需要加密或壓縮。而通信過程的打包和解包工作則必須通過一個雙方協(xié)商好的協(xié)議進行，這樣在兩個私有網(wǎng)絡(luò)之間建立VPN通道是需要一個專門的過程，依賴于一系列不同的協(xié)議。這些設(shè)備和相關(guān)的設(shè)備和協(xié)議組成了一個VPN系統(tǒng)。一個完整的VPN系統(tǒng)一般包括以下幾個單元：
VPN服務(wù)器，一臺計算機或設(shè)備用來接收和驗證VPN連接的請求，處理數(shù)據(jù)打包和解包工作。
VPN客戶端，一臺計算機或設(shè)備用來發(fā)起VPN連接的請求，也處理數(shù)據(jù)的打包和解包工作。
VPN數(shù)據(jù)通道，一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。
注意所謂的服務(wù)器和客戶端在VPN連接建立之后在通信的角色是一樣的，服務(wù)器和客戶端的區(qū)別在于連接是由誰發(fā)起的而已。這個概念在兩個網(wǎng)絡(luò)之間的連接尤其明顯。
1.2 應(yīng)用情景
    我們可以設(shè)想一下的情景：公司的總部在廣州，有兩個辦事處分別在香港和上海，兩個辦事處的網(wǎng)絡(luò)需要和總部連接，同時辦事處之間也需要相互連接。解決這種問題以前只有一種辦法就是分別申請兩條專線連接總部和兩個辦事處，兩個辦事處之前的通信通過總部轉(zhuǎn)發(fā)。長途專線的費用是非常昂貴的，在以前也只有銀行、證券公司以及大象企業(yè)才有能力負擔(dān)。
    有了互聯(lián)網(wǎng)和VPN技術(shù)之后解決辦法可以變成這樣，總部通過一條專線和互聯(lián)網(wǎng)連接，兩個辦事處分別在本地申請互聯(lián)網(wǎng)的撥號連接。然后通過在互聯(lián)網(wǎng)上建立兩條VPN通道將三個網(wǎng)絡(luò)連接起來。這樣可以省去長途專線費用。不過互聯(lián)網(wǎng)的專線連接也不便宜，這種解決方案暫時也只有大中型公司可以負擔(dān)得起。
二、 規(guī)劃VPN接入環(huán)境
    VPN不但可以用于上述網(wǎng)絡(luò)對網(wǎng)絡(luò)的連接，也可以用于單臺計算機到網(wǎng)絡(luò)的連接。在使用VPN的時候我們需要規(guī)劃一下我們應(yīng)用環(huán)境。
    首先我們需要列出需要連接的節(jié)點以及節(jié)點的類型，以及之間的訪問關(guān)系，即由誰發(fā)起連接和向誰發(fā)起連接的問題。這樣我們可以確認在我們環(huán)境中確定哪些地方需要安裝VPN服務(wù)器，哪些地方僅僅是配置客戶端就可以了。
    對于需要安裝VPN服務(wù)器的地方我們需要一條比較高速的互聯(lián)網(wǎng)線路，一個固定的IP地址，或者使用花生殼配置一個固定的域名。
    下面的介紹時基于微軟間操作系統(tǒng)進行的。微軟的操作系統(tǒng)中提供VPN服務(wù)器功能的有Window 2000 Server和Advance Server，以及比較久的NT Server 4.0，當(dāng)然這些操作系統(tǒng)也可以作為VPN的客戶端。其他的則全部都可以作為VPN客戶端。（Window95必須安裝Dialup Network 1.3組件）。
    確定了服務(wù)器和客戶端之后，我們還需要規(guī)劃個節(jié)點的IP地址。每個私有網(wǎng)絡(luò)必須使用不同的地址段，在各自的地址段中必須劃分出一部分用于VPN的接入。
以下的介紹我們都是圍繞著Window2000的配置進行的。

三、 配置VPN接入服務(wù)器
3.1 安裝花生殼
    只有VPN服務(wù)器才需要安裝花生殼服務(wù)，在規(guī)劃環(huán)境的時候必須為每臺VPN服務(wù)器申請一個網(wǎng)域護照。這樣每臺服務(wù)器就會有一個不同的域名。在客戶端撥號的時候可以通過域名控制連接不同的網(wǎng)絡(luò)。
    一般建議花生殼直接安裝在VPN服務(wù)器上，并配置為自動啟動。這樣只要服務(wù)器在線域名一定有效。當(dāng)然如果VPN服務(wù)器也提供互聯(lián)網(wǎng)共享的話也可以將花生殼安裝在內(nèi)部網(wǎng)絡(luò)的任何一臺計算機上，不過必須保證這臺計算機不會在服務(wù)器在線的時候關(guān)機，以免域名失效。
3.2 網(wǎng)絡(luò)連接準(zhǔn)備
    作為VPN服務(wù)器實際上就是一臺路由器，一般需要安裝兩塊或以上的網(wǎng)卡，其中一塊網(wǎng)卡負責(zé)和互聯(lián)網(wǎng)連接。另一塊網(wǎng)卡則連接內(nèi)部網(wǎng)絡(luò)。在進行下面的配置之前首先必須檢測服務(wù)器和互聯(lián)網(wǎng)的連接是否正常。
    另外很重要的一點就是必須保證服務(wù)器和互聯(lián)網(wǎng)連接的網(wǎng)卡獲得的是一個公網(wǎng)地址，即接入的ISP不是使用地址轉(zhuǎn)換技術(shù)。檢測的辦法如下：
    在命令行輸入ipconfig，檢查和互聯(lián)網(wǎng)連接的網(wǎng)卡的IP地址，如果其地址在下列范圍之一則不是公網(wǎng)地址，ISP使用了地址轉(zhuǎn)換技術(shù)提供接入服務(wù)。這樣就必須更換ISP。
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
3.3 配置路由和遠程訪問服務(wù)
激活路由和遠程訪問服務(wù)
    在安裝Window 2000 服務(wù)器或高級服務(wù)器的時候路由和遠程服務(wù)是默認安裝好的，不過沒有激活罷了，因此我們需要首先激活路由和遠程訪問服務(wù)。步驟如下：
在程序/管理工具中，點擊“路由和遠程訪問”。打開路由和遠程訪問服務(wù)管理界面，見圖3-1

圖3-1
當(dāng)前的管理界面中尚未添加服務(wù)器，所接下來需要將本機添加進去，方法是在服務(wù)器狀態(tài)上按鼠標(biāo)右鍵，選擇添加服務(wù)器，打開添加服務(wù)器的對話框，選擇“這臺計算機”，見圖3-2

圖3-2
按確定之后管理界面出現(xiàn)本機，并且處于停止?fàn)顟B(tài)，見圖3-3

接下來需要激活本機的路由和遠程訪問服務(wù)，在本級服務(wù)器上按鼠標(biāo)右鍵，選擇配置和激活路由和遠程訪問服務(wù)。系統(tǒng)打開路由和遠程訪問服務(wù)安裝向?qū)�。按下一步出現(xiàn)想到的功用設(shè)置頁面，見圖3-4。

圖3-4
    選擇手動配服務(wù)器，實際上這是最簡單的配置方法，我們暫時撇開復(fù)雜的概念，這個選擇實際上已經(jīng)將大部分我們需要的功能完成了。按下一步然后完成，系統(tǒng)會詢問是否啟動路由和遠程訪問服務(wù)，回答是。然后我們又回到管理界面。見圖3-5

圖3-5
接下來我們所需要改動的地方只有一個就是配置VPN接入是分配的IP地址
配置接入的IP地址
    VPN服務(wù)在接受了VPN客戶端的接入之后就會為客戶端分配一個IP地址，客戶端就是用這個地址和服務(wù)器或服務(wù)器連接的內(nèi)部網(wǎng)絡(luò)通信。這個地址需要實現(xiàn)分配好，這個地址可以有兩種配置方法：
    1、 使用和內(nèi)部網(wǎng)絡(luò)相同的地址段，這樣遠程接入的VPN客戶就和直接連接在內(nèi)部網(wǎng)絡(luò)的計算機一樣，其網(wǎng)絡(luò)配置和在公司內(nèi)部的計算機沒有什么區(qū)別。這種方式適合于單機撥入的情況，但不太適合網(wǎng)絡(luò)對網(wǎng)絡(luò)的VPN互聯(lián)。
    2、 使用和內(nèi)部網(wǎng)絡(luò)不同的地址段，這時候VPN服務(wù)器相當(dāng)于一臺路由器，比較和與網(wǎng)絡(luò)對網(wǎng)絡(luò)的互聯(lián)。對于單機就比較麻煩，對于接入移動式辦公的電腦最好還是選用第一種方式。
    配置接入地址段的方法也有兩種方法，一種是利用DHCP服務(wù)器，另一種就是直接在接入服務(wù)器上配置。前一種方法需要介紹DHCP服務(wù)器的使用，這里就暫不介紹了。以下是配置接入服務(wù)器自己的地址段的方法。

在接入服務(wù)器上按鼠標(biāo)右鍵，點擊屬性，打開服務(wù)器的屬性對話框，選擇IP頁面，如圖3-6

圖3-6
選擇“靜態(tài)地址”，按添加打開靜態(tài)地址配置對話框，如圖3-7

圖3-7
    輸入其實抵制和結(jié)束地質(zhì)，注意地址數(shù)量必須比最大的接入數(shù)量多一個，因為服務(wù)總是占用地址段的第一個地址。
3.4 配置訪問權(quán)限
    用戶必須有相應(yīng)的權(quán)限才能使用接入服務(wù)，這個權(quán)限是在用戶管理工具中配置的。如果使用活動目錄則必須使用活動目錄的擁護和計算機進行管理，如果使用本機的賬號則使用計算機管理中的用戶和組的功能。
    遠程撥入的權(quán)限是一個個用戶配置的，默認情況下所有用戶都沒有撥入權(quán)限。我們在用戶管理中選擇需要撥入的用戶，打開屬性對話框，選擇撥入頁面。在遠程訪問權(quán)限中選擇“允許訪問”即可，見圖3-8

四、 配置客戶端
這里介紹的客戶端指的是單臺PC連接VPN服務(wù)器的情況，即單機和網(wǎng)絡(luò)的連接。關(guān)于網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接我將在后續(xù)的文章介紹。
單機連接2000Server做的VPN服務(wù)器非常簡單，和平時Modem撥號上網(wǎng)差不多。區(qū)別在于原來填寫電話號碼的地方現(xiàn)在必須填寫VPN服務(wù)器的Ip地址或域名。另外我們需要記住VPN是一種建立在已有的網(wǎng)絡(luò)連接上的一種專用連接，即人和VPN都需要一個底層的網(wǎng)絡(luò)連接，我們可以在建立VPN撥號連接的時候指定底層連接（如連接互聯(lián)網(wǎng)的撥號連接），這樣在撥VPN的時候計算機會自動撥互聯(lián)網(wǎng)的連接。當(dāng)然你如果使用多種互聯(lián)網(wǎng)連接或直接使用局域網(wǎng)類型的連接�？梢圆恢付ㄟ@個底層連接，在撥VPN之前自己手工撥號上互聯(lián)網(wǎng)。
    建立VPN撥號連接的方法如下：
首先打開控制面板里面的網(wǎng)絡(luò)和撥號連接，點擊新建連接。系統(tǒng)會打開撥號連接向?qū)В�按下一步，進入網(wǎng)絡(luò)連接類型的選擇，如圖4-1

圖4-1
選擇通過Internet連接到專用網(wǎng)絡(luò)，按下一步，進入公用網(wǎng)絡(luò)配置，見圖4-2

圖4-2
如果你使用的局域網(wǎng)形式的接入選擇，不撥初始連接，如果你使用一個固定的撥號網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，則選擇自動撥此初始連接，并選擇對應(yīng)的撥號連接名稱。按下一步，進入目標(biāo)地址配置，見圖4-3

圖4-3
輸入VPN服務(wù)器的IP地址或域名，如果你的VPN服務(wù)器采用的是動態(tài)連接，這時花生殼就顯示出其威力了，只需要輸入了VPN服務(wù)器的動態(tài)域名，我們就可以省去大筆固定線路的租用費用了。按下一步，輸入新建VPN連接的名稱，見圖4-4

圖4-4
至此VPN客戶端配置完畢。如果你有多個VPN服務(wù)器可以重復(fù)上述步驟，為每個VPN接入服務(wù)器建立相應(yīng)的連接。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：Windows 2003下VPN服務(wù)器架設(shè)

本文網(wǎng)址：http://www.oesoe.com/html/support/111215186.html