1.配置VPN服务器,使之能够接受VPN接入。

2.VPN客户端（Win2000）的配置。

3.建立客户端与服务器间的VPN连接。  

具体步骤如下：

首先，需要公司总部的计算机（以下称之为“VPN服务器”）和分公司的计算机（以下称之为“VPN客户机”）均应能访问Internet，并且VPN服务器拥有一个Internet上合法的IP地址（即公网IP）。然后，当VPN客户机通过虚拟拨号和VPN服务器连接成功，VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内，任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源，操作方法和普通局域网完全一样。

1．VPN服务器的配置

VPN服务器端操作系统可以是WinNT 4.0/Win2000/WinXP/Win2003；相关组件为系统自带；要求VPN服务器已经连入Internet，并且拥有一个独立的公网IP。我选用在Windows 2000 Server（以下简称“Win2000”）中配置VPN服务器为例。
（1）依次进入“开始”→“程序”→“管理工具”→“路由和远程访问”打开“路由和远程访问”控制台。
（2）在左边框架中“SERVER（本地）”（“SERVER”为服务器名）处单击右键，选择“配置并启用路由和远程访问”打开“路由和远程访问安装向导”窗口。
（3）在“欢迎使用路由和远程访问安装向导”一步介绍本向导的作用。没有可以设置的选项，直接单击“下一步”按钮继续。
（4）在“公共设置”一步需要选择所相应的公共配置。默认选项为“Internet连接服务器”，需要改选为“虚拟专用网络（VPN）服务器”，然后单击“下一步”按钮继续。
（5）在“远程客户协议”一步显示的是当前VPN访问可使用协议的列表。默认选项为“是，所有可用的协议都在列表上”，不用修改，直接单击“下一步”按钮继续。
（6）在“Internet连接”一步需要指定服务器所使用的连接。默认选项为“无Internet连接”，不用修改，直接单击“下一步”按钮继续。
（7）在“IP地址”一步需要选择为远程VPN客户端指定IP地址的方法。默认选项为“自动”，由于本机没有配置DHCP服务器，因此需要改选为“来自一个指定的地址范围”，然后单击“下一步”按钮继续。
（8）在“地址范围指定”一步可以为VPN客户机指定所分配的IP地址范围。比如打算分配的IP地址范围为“192.168.0.100”～“192.168.0.200”，则单击“新建”按钮打开“新建地址范围”窗口，按提示输入后单击“确定”按钮返回“地址范围指定”一步，然后单击“下一步”按钮继续。
    注意：这些IP地址将分配给VPN服务器和VPN客户机。为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信，它们必须同VPN服务器的IP地址处在同一个网段中。即：假设VPN服务器IP地址为“192.168.0.1”，则此范围中的IP地址均应该以“192.168.0”开头。
（9）在“管理多个远程访问服务器”一步用于设置集中管理多个VPN服务器。默认选项为“不，我现在不想设置此服务器使用RADIUS”，不用修改，直接单击“下一步”按钮继续。
（10）在“正在完成路由和远程访问服务器安装向导”一步说明已经配置完成。没有可以设置的选项，直接单击“完成”按钮继续。
（11）此时屏幕上将出现一个名为“正在启动路由和远程访问服务”的小窗口，过一会儿将自动返回“路由和远程访问”控制台，出现如（图1）画面，即结束了VPN服务器的配置工作。
    说明：此时“服务”控制台中的“Routing and Remote Access”服务已经“自动”处于“已启动”状态了；而在“网络和拨号连接”窗口中也会多出一个“传入的连接”图标。

图1
2．赋予用户拨入权限

默认的，包括Administrator用户在内的所有用户均被拒绝拨入到VPN服务器上，因此需要为相应用户赋予拨入权限。本文以“water”用户为例。
（1）在“我的电脑”处单击右键，选“管理”打开“计算机管理”控制台。
（2）在左边框架中依次展开“本地用户和组”→“用户”，在右边框架中双击“water”打开“water 属性”窗口。
（3）转到“拨入”选项卡，在“选择访问权限（拨入或VPN）”选项组下默认选项为“通过远程访问策略控制访问”，改选为“允许访问”，然后单击“确定”按钮返回“计算机管理”控制台，即结束了赋予“water”用户拨入权限的工作。

3．VPN客户机（Win2000）的配置

   VPN客户机端的操作系统可以是Win98/WinNT4.0/Win2000/WinXP/Win2003，相关组件均为系统自带，且要求VPN客户机已经连入Internet。我还是选择在Windows 2000 Server（以下简称“Win2000”）中配置VPN客户机为例。
（1）在“网上邻居”处单击右键，选“属性”打开“网络和拨号连接”窗口。
（2）双击“新建连接”图标打开“网络连接向导”窗口。
（3）在“欢迎使用路由和远程访问安装向导”一步介绍本向导的作用。没有可以设置的选项，直接单击“下一步”按钮继续。
（4）在“网络连接类型”一步可以选择所创建的网络连接类型。默认选项为“拨号到专用网络”，需要改选为“通过Internet连接到专用网络”，然后单击“下一步”按钮继续。
（5）在“公用网络”一步可以选择是否在VPN连接前自动拨号。默认选项为“自动拨此初始连接”，需要改选为“不拨初始连接”，然后单击“下一步”按钮继续。
（6）在“目标地址”一步需要提供VPN服务器的主机名或IP地址。在文本框中输入VPN服务器的公网IP，比如为“218.88.135.48”，然后单击“下一步”按钮继续。
（7）在“可用连接”一步可以选择此连接仅允许当前客户机当前登录用户使用，还是可让客户机中所有用户使用。默认选项为“所有用户使用此连接”，根据需要进行选择，然后单击“下一步”按钮继续。
（8）在“完成网络连接向导”一步可以更改本新连接的名称。默认为“虚拟专用连接”，可不用修改，也可改为任意内容，比如为“到公司总部”，并勾选中“在我的桌面添加一快捷方式”复选框，然后单击“完成”按钮继续。
（9）之后会自动弹出名为“连接到公司总部”的连接窗口。在“用户名”处输入“water”（大小写不限），在“密码”处输入相应的密码，根据需要勾选中“保存密码”复选框，然后单击“连接”按钮继续，见（图2）。
    注意：此处输入的用户名应为VPN服务器上已经建立好，并设置了具有拨入服务器权限的用户，密码也为其密码。

图2
（10）连接成功之后可以看到，双方的任务栏右侧均会出现两个拨号网络成功运行的图标，其中一个是到Intenet的连接，另一个则是VPN的连接了！见（图3）。

图3
注意：当双方建立好了通过Internet的VPN连接后，即相当于又在Internet上建立好了一个双方专用的虚拟通道，而通过此通道，双方可以在网上邻居中进行互访，也就是说相当于又组成了一个局域网络！这个网络是双方专用的，而且具体良好的保密性能。VPN建立成功之后，双方便可以通过IP地址或"网上邻居"来达到互访的目的，当然也就可以使用对方所共享出来的软硬件资源了！

VPN网络实际应用中遇到的问题及解决办法:

（1）当VPN网络建立成功之后，VPN客户机如何访问VPN服务器和VPN服务器所在的局域网？
解决方法：像普通局域网一样，相互之间可以通过“网上邻居”，或者直接在任意窗口地址栏输入“\\对方IP地址”（如“\\100.100.100.3”）等方式来访问对方共享出的软硬件资源。

（2）VPN网络建立成功之后，VPN客户机便不能访问Internet了。如何才能做到VPN网络访问和Internet访问两不误？
解决方法：这是因为VPN客户机系统使用了VPN服务器所定义的网关来覆盖了原有的网关，从而切断了VPN客户机访问Internet的路径。解决方法是禁止VPN客户机使用VPN服务器上的默认网关。具体操作方法如下：
对于Win2000客户机，在“网络和拨号连接”窗口中，先选中相应的连接名，比如为“到公司总部”，单击右键，选“属性”打开“到公司总部 属性”窗口。再转到“网络”选项卡，双击列表中的“Internet协议（TCP/IP）”打开“Internet协议（TCP/IP）属性”窗口。然后单击“高级”按钮进入“高级TCP/IP设置”窗口的“常规”选项卡，去掉“在远程网络上使用默认网关”前的小勾即可。

（3）为什么VPN网络建立成功之后，已经建立连接的VPN客户机和VPN服务器（含其下原有的局域网计算机）无法显示在对方的“网上邻居”中？
解决方法：首先确保VPN客户机和VPN服务器均拥有相同的“工作组”名，然后还需要在VPN服务器与VPN客户端上均安装“NetBEUI”协议（建议同时安装“IPX/SPX”协议）。

（4）VPN网络建立成功之后，用什么方法可以迅速、全面、直观地查看网络中所有活动计算机的计算机名、占用的IP地址及共享资源？
解决方法：可以用IP-Tools软件。其下载地址为：http://www.skycn.net/soft/1123.html（1.06MB）。下载之后直接运行即可很容易完成安装。运行IP-Tools的主程序之后单击工具栏左起第4个“NB Scanner”按钮，根据提示输入起始IP地址后，再单击“Start”按钮即可搜索到相应内容（图5）。

图5
 

最后总结一下采用VPN的好处：                                                    

1. 降低了费用：首先，远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为通道与企业内部专用网络相连，通信费用大幅度降低；其次，企业可以节省购买和维护通信设备的费用。

2. 增强了安全性：VPN 使用三个方面的技术保证了通信的安全性：通道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务端，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

3. 支持最常用的网络协议：基于IP、IPX和NetBUI协议的网络中的客户机都能很容易地使用VPN。

4. 有利于IP地址安全：VPN是加密的，VPN数据在Internet中传输时，Internet上的用户只看到公共的IP地址，看不到数据包内包含的专用网络地址。

配置VPN服务器 　　　

　从管理您的服务器界面上选择"添加或删除角色"选项,后进入配置服务器角色的界面（图1-1） 　

　　　　图1-1 选择服务器角色

　　　　选择"远程访问/VPN服务器"，选择"下一步（N）>"按钮，出现路由和远程访问服务器配置（图1-2） 　

　　　　图1-2 路由和远程访问服务器配置

　　　　选择"远程访问（拔号或VPN）（R），选择"下一步（N）>"按钮，出现远程访问的配置（图1-3） 　　　　　

　　　　图1-3 远程访问配置

　　　　选择"VPN（V）"，选择"下一步（N）>"按钮， 根据系统提示完成网卡选择，IP指定及是否使用RADIUS等设置，完成VPN服务器的配置。 　　　　

配置VPN客户端 　　　

　选择"新建连接"，出现网络连接类型选择（图2-1） 　　　　　

　　　　图2-1 网络连接类型 　　　　选择（连接到我的工作场所的网络（O）"，选择"下一步（N）>"按钮，出现网络连接方式

（图2-2） 　　　　　

　　　　图2-2网络连接方式 　　　　选择"虚拟专用网络连接（V）", 选择"下一步（N）>"按钮，根据系统提示完成连接名及VPN服务器地址的配置，出现智能卡配置（连接名称和VPN服务器地址）。配置之后进入"选择使用智能卡用于此连接"（图2-3）。 　　　　　

　　　　图2-3 选择智能卡进行连接 　　　　选择"使用我的智能卡（U）"，选择"下一步（N）>"按钮，根据系统提示配置使用权限等，完成VPN客户端的配置。 　　　　注：图2-3中"使用我的智能卡"为使用的是通过智能卡证书的方式来验证用户端身份?quot;不使用我的智能卡"为"用户名+密码"的方式来验证用户端身份。由于"用户名+密码"认证方式有诸多安全隐患，因此建议不要采用。 　　　　登录到VPN服务器 　　　　将含有智能卡证书的ePass插入计算机的USB接口(关于如何申请智能卡证书及配置服务器参见《ePass应用--Windows Server 2003 智能卡登录》)，启动VPN客户端，出现VPN连接（图3-1） 　　　　　

　　　　图3-1 VPN连接界面 　　　　选择"连接（C）"，VPN客户端从ePass中的证书中，查到用户的用户名，出现输入用户PIN(图3-2) 　　　　　

　　　　图3-2 输入用户PIN 　　　　输入用户PIN后，选择"确定"按钮，登录到远程服务器上（图3-3）， 　　　　　

　　　　图3-3 通过服务器验证 　　　　选择"确定"按钮后，VPN连接完成。 　　　　这时在服务器上可以看到登录上来的用户（图

3-4） 　

　　　图3-4 登录到VPN服务器的用户 　　　　这时我们就可以象内部网一样访问远程计算机了，但所有的通讯都是基于加密的方式来进行的。

XP上VPN服务器架设