（用戶是否聽說過虛擬專用網(wǎng)VPN）的優(yōu)越特性？是否準(zhǔn)備好在遠程訪問設(shè)備上看看它的優(yōu)越性了嗎？那么，用戶應(yīng)該很高興的是，Windows 2000提供了一個非常好的VPN平臺，尤其是連接小型遠程辦公，支持遠程辦工人員（也就是電子通勤族）從家庭工作室進行遠程連接。而且，用戶將會看到在windows 2000上建立VPN是非常簡單的。同時，Win2K能夠從根本上動態(tài)提升Windows NT的VPN服務(wù)器的性能和安全性。

在這篇文章中，我介紹一下用戶建立自己的VPN所需要的硬件和軟件，以及如何在公司網(wǎng)絡(luò)中配置一臺VPN服務(wù)器，如何配置遠程辦工人員的PCs，使他們能夠建立到公司LAN網(wǎng)絡(luò)的VPN連接。文章主要集中于介紹安裝VPN的基本過程，不會涉及更高級方面的問題，例如建立一個遠程辦公網(wǎng)絡(luò)的服務(wù)器對服務(wù)器端的VPN連接，配置遠程訪問策略，或配置VPN連接，使之能夠通過防火墻和代理服務(wù)器。有了這些認知，我們就開始介紹如何配置windows 2000服務(wù)器遠程訪問VPN。

準(zhǔn)備基本設(shè)備

用戶需要考慮的第一件事就是VPN服務(wù)器的硬件設(shè)備。要知道Windows 2000本身就需要大量的硬件資源。在一個公司的網(wǎng)絡(luò)環(huán)境中，有可能只希望VPN服務(wù)器作為專用的服務(wù)器來提供服務(wù)，機器上只運行Windows 2000服務(wù)器平臺或windows 2000高級服務(wù)器平臺。對于這樣的配置，建議至少要使用奔騰Ⅲ 450-MHz的處理器，256兆字節(jié)的RAM。對于小公司網(wǎng)絡(luò)或只有不超過200個用戶，并且支持少于20個遠端連接的公司分部網(wǎng)絡(luò)來說，可以使用奔騰Ⅱ300MHz（或更高）處理器或者至少128兆RAM的賽揚（Celeron）處理器。

用戶的服務(wù)器需要兩塊網(wǎng)卡。一塊連接Internet，另一塊連接局域網(wǎng)。用戶可能會想到，這就意味著VPN服務(wù)器的實際功能更像一個VPN路由器，而不僅僅是一臺服務(wù)器。它要驗證用戶權(quán)限，產(chǎn)生安全通道，然后同任何路由器一樣，根據(jù)路由表中的信息判斷，是否允許用戶訪問他們所要連接的網(wǎng)絡(luò)中的子網(wǎng)資源，或其他的子網(wǎng)。用戶應(yīng)該有這樣的印象，這些資源也包括非Windows資源，像NetWare 和UNIX服務(wù)器。

最后應(yīng)該考慮的是用戶的Internet 連接。使用一臺VPN服務(wù)器可能意味著可以拋掉很多當(dāng)前使用的RAS專用電話線路。但是，就某種意義來說，這無疑是拆東墻補西墻，因為在這種情況下用戶有可能要考慮增加公司辦公系統(tǒng)的Internet網(wǎng)絡(luò)帶寬。是否要作出這種決定取決于下列因素：起始帶寬的大小、當(dāng)前的帶寬利用率、用戶數(shù)目和連接VPN服務(wù)器的遠程分部網(wǎng)絡(luò)的數(shù)目。同樣，如果在公司網(wǎng)絡(luò)中已經(jīng)有一個始終在線的Internet連接的話，VPN會工作的更好。如果有一個撥號Internet連接的話，我所建議的唯一的VPN解決方案就是在公司網(wǎng)絡(luò)和遠程分部網(wǎng)絡(luò)之間建立服務(wù)器到服務(wù)器的連接。

配置VPN服務(wù)器

在考慮過硬件配置問題之后，就需要在機器上安裝Windows 服務(wù)器和最近的服務(wù)包。同時要保證在服務(wù)器上沒有安裝其他不需要的服務(wù)，例如DNS服務(wù)、DHCP服務(wù)和IIS服務(wù)。同樣要避免裝載任何額外的第三方軟件，除了那些不得不安裝的軟件，如備份代理程序。

安裝Windows服務(wù)器期間，應(yīng)該選擇靜態(tài)分配IP地址方式。要為第一塊網(wǎng)卡設(shè)置一個真實的Internet IP地址和Internet路由器的缺省網(wǎng)關(guān)。另一塊網(wǎng)卡應(yīng)該擁有一個分配給局域網(wǎng)的IP地址，而且不應(yīng)該使用缺省網(wǎng)關(guān)。

還要為VPN服務(wù)器設(shè)置域/工作組。所作的設(shè)置取決于用戶服務(wù)器進行用戶驗證的方式。有三個基本選項：VPN服務(wù)器在本地驗證用戶；使用Windows 2000 域安全性；或?qū)�安全驗證工作轉(zhuǎn)給RADIUS服務(wù)器。如果選擇VPN服務(wù)器在本地驗證用戶，就要為VPN服務(wù)器建立一個工作組——類似于“Internet”這樣的名字。如果使用活動目錄并且用Windows 2000 域控制器進行驗證，就要將VPN服務(wù)器加入到windows 2000的域中。如果有一系列的VPN服務(wù)器，可能要使用一個RADIUS服務(wù)器（例如微軟的Internet驗證服務(wù)）來完成驗證工作。在這個例子中，我們使用VPN服務(wù)器本地驗證用戶方式。

如果用戶已經(jīng)安裝了windows 2000服務(wù)器，那么依次打開“開始”　“程序”　“管理工具”　“路由和遠程訪問”，打開“路由和遠程訪問”窗口，如圖A所示。然后，在相應(yīng)服務(wù)器名的圖標(biāo)上單擊，然后單擊“操作”按鈕，從結(jié)果菜單中選擇“配置并啟用路由和遠程訪問”。載入創(chuàng)建一個新服務(wù)器的向?qū)А＿x擇“手動配置服務(wù)器”，就會進入RRAS開始進行配置。向?qū)Э赡軙�提示要選擇VPN選項，但是用戶可以根據(jù)自己的要求進行選擇。VPN向?qū)Э赡苡幸稽c古怪，最好在RRAS中手動配置基本的VPN設(shè)置，以便在將來可以知道如何進行問題跟蹤和糾正。

　　圖A

右擊相應(yīng)VPN服務(wù)器圖標(biāo)開始進行配置，選擇“屬性”。調(diào)出用戶用來激活VPN服務(wù)器的主選項。在“常規(guī)”標(biāo)簽中，一定要選擇“路由器”和“遠程訪問服務(wù)器”這兩個復(fù)選框，選擇“用于局域網(wǎng)和請求撥號路由選擇”選項，如圖B所示。切換到“安全”標(biāo)簽，如果VPN服務(wù)器自己作驗證或者用戶使用一個Windows域作驗證的話，選擇“Window 身份驗證”。如果用戶使用的是一個RADIUS服務(wù)器，選擇“RADIUS身份驗證”。對于“PPP”和“事件日志”標(biāo)簽中的信息，可以保留缺省設(shè)置或者根據(jù)需要進行選擇。

在“IP”標(biāo)簽中的設(shè)置是非常重要的，如圖C所示。需要復(fù)選“啟用IP路由”和“允許基于IP的遠程訪問和請求撥號連接”復(fù)選框，然后在“IP地址分配”組中選擇“動態(tài)主機配置協(xié)議（DHCP）”方式或“靜態(tài)地址池”（在希望客戶連接的子網(wǎng)內(nèi)）方式。將“適配器”選項設(shè)置為連接用戶LAN網(wǎng)絡(luò)的適配器。“IP”標(biāo)簽中的設(shè)置是很重要的，因為這些設(shè)置規(guī)范了VPN接入客戶接收到的IP地址和網(wǎng)絡(luò)信息。在大多數(shù)情況下，建議使用DHCP方式為VPN用戶配置地址信息。使用局域網(wǎng)內(nèi)那個用戶用來接收他們的IP信息的DHCP服務(wù)器，為VPN客戶配置地址信息是特別高效的。VPN客戶也能夠接受靜態(tài)IP地址，會在進行客戶配置時看到。

　　圖B

　　圖C