虛擬專用網絡是什么？有什么用？如何在 Windows Server 2003 中安裝和配置虛擬專用網絡服務器？下文給出了詳細的解答。

使用虛擬專用網絡，您可以通過另一個網絡（例如Internet）連接網絡組件。您可以把基于WindowsServer2003的計算機作為遠程訪問服務器，這樣其他用戶可以通過使用VPN與其連接，然后登錄到網絡并訪問共享資源。虛擬專用網絡是通過在Internet或另外的公用網絡上進行“隧道操作”來實現的，可提供與專用網絡相同的安全性和功能。數據利用公用網絡的路由結構在公用網絡上傳送，而對用戶來說，則好像是通過一個專門的專用鏈接傳送的。

VPN概述

虛擬專用網絡是一種通過公用網絡（如Internet）連接專用網絡（如您的辦公室網絡）的途徑。VPN將撥號服務器的撥號連接的優點與Internet連接的方便與靈活性結合了起來。通過使用Internet連接，您可以周游世界，而同時在大多數地方仍可以通過當地最近的Internet訪問電話號碼連接到您的辦公室。如果您的計算機和辦公室有高速Internet連接（如電纜或DSL），您就可以用最高的Internet速度與辦公室通訊，比任何使用模擬調制解調器的撥號連接速度都要快得多。此技術使企業可以通過公用網絡連接到其分支辦事處或其他公司，同時又可以確保通信的安全性。通過Internet的VPN連接從邏輯上講相當于一個專用的廣域網(WAN)鏈接。

虛擬專用網絡使用需進行身份驗證的鏈接以確保只有授權用戶才可以連接到您的網絡。為了確保通過公用網絡傳送數據的安全性，VPN連接使用點對點隧道協議(PPTP)或第二層隧道協議(L2TP)對數據進行加密。

VPN的組件

運行WindowsServer2003的服務器中的VPN組件包括一個VPN服務器、一個VPN客戶端、一個VPN連接（連接中數據被加密的部分）和隧道（連接中數據被封裝的部分）。建立隧道是通過運行WindowsServer2003的服務器中包括的兩個隧道協議之一完成的，這兩個協議都是隨“路由和遠程訪問”安裝的。WindowsServer2003安裝過程中將自動安裝“路由和遠程訪問”服務。但是，默認情況下，“路由和遠程訪問”服務會被關閉。

Windows包括的這兩個隧道協議是：

·點對點隧道協議(PPTP)：使用“Microsoft點對點加密”提供數據加密。

·第二層隧道協議(L2TP)：使用IPSec提供數據加密、身份驗證和完整性。

到Internet的連接必須使用專用的線路，例如T1、FractionalT1或FrameRelay。必須用指派給您的域或由Internet服務提供商(ISP)提供的IP地址和子網掩碼配置WAN適配器。還必須將WAN適配器配置為ISP路由器的默認網關。

注意：若要啟用VPN，您必須使用具有管理權限的帳戶登錄。

如何安裝和啟用VPN服務器

若要安裝和啟用VPN服務器，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

2.在控制臺左窗格中單擊與本地服務器名稱匹配的服務器圖標。如果該圖標左下角有一個紅圈，則說明尚未啟用“路由和遠程訪問”服務。如果該圖標左下角有一個指向上方的綠色箭頭，則說明已啟用“路由和遠程訪問”服務。如果先前已啟用“路由和遠程訪問”服務，您可能要重新配置服務器。若要重新配置服務器，請按照下列步驟操作：

a.右擊服務器對象，然后單擊“禁用路由和遠程訪問”。單擊是以繼續。

b.右擊服務器圖標，然后單擊“配置并啟用路由和遠程訪問”以啟動“路由和遠程訪問服務器安裝向導”。

c.單擊下一步繼續。單擊“遠程訪問（撥號或VPN）”以啟用遠程計算機撥入或通過Internet連接到本網絡。單擊下一步繼續。

3.根據您打算分配給該服務器的角色，單擊以選擇VPN或撥號。

4.在“VPN連接”窗口中，單擊連接到Internet的網絡接口，然后單擊下一步。

5.如果要使用DHCP服務器給遠程客戶端分配地址，請在IP地址分配窗口中單擊自動，或者，如果僅應從預定義池給遠程客戶端分配地址，請單擊“來自一個指定的地址范圍”。多數情況下，DHCP選項的管理更簡單。不過，如果沒有DHCP，就必須指定一個靜態地址范圍。單擊下一步繼續。

6.如果您單擊“來自一個指定的地址范圍”，就打開了地址范圍分配對話框。單擊新建。在“起始IP地址”框中鍵入希望使用的地址范圍內的第一個IP地址。在“結束IP地址”框中鍵入該范圍內的最后一個IP地址。Windows將自動計算地址的數目。單擊確定以返回到地址范圍分配窗口。單擊下一步繼續。

7.接受“否，使用路由和遠程訪問對連接請求進行身份驗證”的默認設置，然后單擊下一步繼續。單擊完成以啟用路由和遠程訪問服務并將該服務器配置為遠程訪問服務器。

如何配置VPN服務器

若要繼續根據需要配置VPN服務器，請按照下列步驟操作。

如何將遠程訪問服務器配置為路由器

為讓遠程訪問服務器能在您的網絡中正確地轉發通信量，必須用靜態路由或路由協議將其配置為一個路由器，這樣遠程訪問服務器才能訪問到內部網中的所有位置。

若要將服務器配置為路由器，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

2.右擊服務器名稱，然后單擊屬性。

3.單擊常規選項卡，然后單擊選擇“啟用此計算機作為”下的路由器。

4.單擊“局域網和請求撥號路由選擇”，然后單擊確定以關閉屬性對話框。

如何修改同時連接的數目

調制解調器撥號連接的數目取決于安裝在服務器上的調制解調器的數目。例如，如果在服務器上只安裝了一個調制解調器，則一次只能有一個調制解調器連接。

撥號VPN連接的數目取決于您允許同時訪問的用戶的數目。默認情況下，如果您運行的是本文描述的步驟，則允許128個連接。若要更改同時連接的數目，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

2.雙擊服務器對象，右擊端口，然后單擊屬性。

3.在端口屬性對話框中，單擊WAN微型端口(PPTP)，然后單擊配置。

4.在最多端口數框中，鍵入要允許的VPN連接的數目。

5.單擊確定，再次單擊確定，然后關閉“路由和遠程訪問”。

如何管理地址和名稱服務器

VPN服務器必須有可用的IP地址，以便在連接進程的IP控制協議(IPCP)協商階段將它們分配給VPN服務器的虛擬接口和VPN客戶端。分配給VPN客戶端的IP地址實際分配給了VPN客戶端的虛擬接口。

對于基于WindowsServer2003的VPN服務器，默認情況下，分配給VPN客戶端的IP地址是通過DHCP獲得的。您也可以配置靜態IP地址池。VPN服務器還必須配置名稱解析服務器（通常是DNS和WINS服務器）地址，以在IPCP協商期間分配給VPN客戶端。

如何管理訪問

在用戶帳戶上配置撥入屬性并配置遠程訪問策略，以管理對撥號網絡和VPN連接的訪問。

注意：默認情況下拒絕用戶訪問撥號網絡。

一、通過用戶帳戶訪問

如果您按用戶管理遠程訪問，若要向某個用戶帳戶授予撥號訪問權限，請按照下列步驟操作：

1.單擊開始，指向管理工具，然后單擊“ActiveDirectory用戶和計算機”。

2.右擊用戶帳戶，然后單擊屬性。

3.單擊“版本”選項卡。

4.單擊“允許訪問”以授予用戶撥入的權限。單擊確定。

二、通過組成員身份訪問

如果您按組管理遠程訪問，請按照下列步驟操作：

1.創建一個由允許創建VPN連接的成員組成的組。

2.單擊開始，指向管理工具，然后單擊“路由和遠程訪問”。

3.在控制臺樹中，展開“路由和遠程訪問”，展開服務器名，然后單擊遠程訪問策略。

4.在右側窗格中右擊任意位置，指向新建，然后單擊遠程訪問策略。

5.單擊下一步，鍵入策略名稱，然后單擊下一步。

6.對于“虛擬專用訪問”訪問方法，請單擊VPN，或對于撥號訪問方法，請單擊撥號，然后單擊下一步。

7.單擊添加，鍵入您在步驟1中創建的組的名稱，然后單擊下一步。

8.按照屏幕上的說明完成該向導的操作。

如果VPN服務器已經允許使用撥號網絡遠程訪問服務，則不要刪除默認策略。而是移動其位置，使它成為最后一個起作用的策略。

如何從客戶端計算機配置VPN連接

若要建立與VPN的連接，請按照下列步驟操作。若要設置客戶端進行虛擬專用網絡訪問，請在客戶端工作站上執行下列步驟：

注意：您必須以管理員組的成員身份登錄才能執行這些步驟。

注意：因為MicrosoftWindows存在多個版本，所以在您的計算機上執行的步驟可能與下面介紹的步驟有所不同。如果是這樣，請參閱產品文檔來完成這些步驟。

1.在客戶計算機上，確認與Internet的連接配置正確。

2.單擊開始，單擊控制面板，然后單擊網絡連接。單擊網絡任務下的“創建一個新的連接”，然后單擊下一步。

3.單擊“連接到我的工作場所的網絡”以創建撥號連接。單擊下一步繼續。

4.單擊“虛擬專用網絡連接”，然后單擊下一步。

5.在公司名稱對話框中為連接鍵入一個描述性的名稱，然后單擊下一步。

6.如果計算機永久連接到Internet，請單擊不撥初始連接。如果計算機通過Internet服務提供商(ISP)連接到Internet，則單擊“自動撥此初始連接”，然后單擊與ISP連接的名稱。單擊下一步。

7.鍵入VPN服務器計算機的IP地址或主機名（例如VPNServer.SampleDomain.com）。

8.如果要允許登錄到該工作站的任何用戶都能訪問此撥號連接，則單擊“任何人使用”。如果要使此連接僅供當前登錄用戶使用，則單擊“只是我使用”。單擊下一步。

9.單擊完成以保存連接。

10.單擊開始，單擊控制面板，然后單擊網絡連接。

11.雙擊新建的連接。

12.單擊屬性以繼續為連接配置選項。若要繼續配置連接的選項，請按照下列步驟操作：

如果您要連接到一個域，請單擊選項選項卡，然后單擊選中“包含Windows登錄域”

復選框以指定在嘗試連接前是否要求WindowsServer2003登錄域信息。

如果想讓該連接在斷線后重新撥號，則請單擊選項選項卡，然后單擊選中“斷線重撥”復選框。

若要使用連接，請按照下列步驟操作：

1.單擊開始，指向“連接到”，然后單擊該新建連接。

2.如果目前沒有到Internet的連接，Windows可讓您連接到Internet。

3.建立到Internet的連接后，VPN服務器會提示您輸入用戶名和密碼。鍵入用戶名和密碼，然后單擊連接。

您必須能夠使用您的網絡資源，就像直接連接到該網絡一樣。注意：若要從VPN上斷開，請右擊連接圖標，然后單擊斷開連接。

本文介紹了安裝和配置虛擬專用網絡服務器的方法，下文我們將介紹虛擬專用網絡服務器VPN疑難解答。

【編輯推薦】

1. Linux下的主要VPN技術
2. 詳細講解Linux系統VPN服務器配置
3. Windows 2008下VPN網絡連接設置方法
4. 在Ubuntu 8.10上連接到微軟VPN服務器
5. Windows XP下實現高效安全的VPN連接