VPN組建初探

領測軟件測試網 　隨著企業規模的擴大，許多企業會在全國乃至全世界建立各種分公司、辦事處等分支機構。那么如何在這些分支機構和企業總部之間建立可靠的網絡連接，從而實現資源共享呢？采用DDN、FR、ATM等專線虛電路方式當然可以解決問題，但這會使企業在通信上的經費大大增加。而利用IP VPN技術則可以在性能和開銷之間找到一個平衡點，稱得上是一個經濟有效的解決方案。

　　初識VPN

　　VPN（Virtual Private Network）即虛擬專用網絡，它通過一個公用網絡（如Inte.net）建立一個臨時的、安全的、模擬的點對點連接。這是一條穿越公用網絡的信息隧道，數據可以通過這條隧道在公用網絡中安全地傳輸。因此，我們也可形象地稱之為“網絡中的網絡”（如圖1）。而保證數據安全傳輸的關鍵就在于VPN使用了隧道協議（目前常用的隧道協議有PPTP、L2TP和IPSec）。VPN的適用范圍比較廣泛，如企業原有專線網絡的帶寬升級；企業遠程用戶需要實現遠程訪問的情況；對通信線路的保密性和可用性要求較高的用戶（如證券、保險公司）；企業原有專線網絡連接的備份，等等。在國外網絡通信發達的國家，VPN應用已經非常普及。據悉，目前全球30.4%的企業已在使用IP VPN，33.6%的企業正在有計劃地部署IP VPN。而在國內，隨著寬帶應用的迅速發展，VPN的應用將越來越廣泛。無論從費用、安全性還是從管理和便于連接等方面都不難看出，VPN將成為下一波的技術與市場熱點。

如何搭建和使用VPN

　　組建VPN有多種方法，而我們的討論則是基于Windows Server 2003提供的“路由和遠程訪問”服務。利用該服務，我們可以在企業內部搭建VPN服務器，然后通過企業外部客戶端的VPN撥號連接對企業內部網進行訪問。

　　我們的試驗基于以Windows Server 2003為操作平臺、ADSL接入Internet的服務器端環境和以Windows XP為操作平臺、ADSL接入Internet的客戶端環境。連接方式為客戶端通過Internet與服務器端建立VPN連接。

　　配置VPN服務器

　　Windows Server 2003的默認配置已經安裝 “路由和遠程訪問”服務，但需要對該服務進行必要的配置才能使其內置的VPN服務生效。配置過程簡述如下：

　　步驟一 依次單擊[開始]→[管理工具]→[路由和遠程訪問]，打開“路由和遠程訪問”服務窗口。

　　步驟二 右擊左側控制臺樹里的本地計算機名稱，執行[配置并啟用路由和遠程訪問]命令，進入安裝向導。單擊[下一步]，在“配置”對話框中點選[自定義配置]選項并單擊[下一步]。然后在“自定義配置”對話框中勾選[VPN訪問]選項并單擊[下一步]→[完成]→[是]。等待幾秒鐘之后，VPN服務器即可啟動。

　　步驟三 啟動之后的VPN服務器還要經過必需的設置才能符合我們的實驗環境。右擊控制臺樹里的服務器名（本例為CHHUIAN），執行[屬性]命令。在“CHHUIAN（本地）屬性”對話框中切換至IP標簽下。在[IP地址指派]選項中點選[靜態地址池]，然后單擊[添加]按鈕，分別鍵入起始IP地址和結束IP地址并單擊[確定]→[確定]（如圖2）。

　　小提示：使用靜態IP地址池為客戶端分配IP地址可以減少IP地址解析時間，提高連接速度。起始IP地址和結束IP地址可以從所在地區的IP地址范圍中截取一段（例如筆者截取的一段是61．55．230．10至61．55．230．20），具體范圍可以咨詢當地的ISP。另外也可以自定義一段IP地址（例如192．168．0．10至192．168．0．100）。當然，如果這臺主機已經配置了DHCP服務，也可以選擇“動態主機配置協議（DHCP）”選項，不過這會延長連接時間。
　步驟四 申請動態域名解析服務。如果服務器端有固定的IP地址，則客戶端隨時可以與服務器建立VPN連接。而我們的服務器端采用的是ADSL虛擬撥號接入Internet，因此需要在VPN服務器上使用動態域名解析服務才能支持客戶端用同一個域名隨時撥入。當然，如果在每次建立VPN連接前先打電話詢問服務器端的IP地址也可以。關于申請動態域名解析的方法本報前面有詳細介紹，這里不再贅述。

　　小提示：能提供動態域名解析服務的網站及相關軟件有很多種，如花生殼、DynamicHost等。大家可參閱相關介紹申請使用該項服務。

　　經過這樣簡單的幾步設置，這臺主機已經可以提供VPN服務了。

　　賦予用戶遠程連接的權限

　　出于安全考慮，VPN服務器配置完成以后所有用戶均被拒絕撥入到服務上，需要為相關用戶賦予撥入的權限。其過程簡述如下：

　　步驟一 右擊[我的電腦]，執行[管理]命令。在“計算機管理”對話框左側的控制臺樹中展開[本地用戶和組]選項，并單擊[用戶]文件夾。右擊對話框右側用戶列表中的某一用戶名稱（如Administrator），執行[屬性]命令。

　　步驟二 在打開的“Administrator屬性”對話框中切換至[撥入]標簽下，點選[遠程訪問權限]選項中的[允許訪問]并單擊[確定]按鈕即可（如圖3）。

　　小提示：為便于大家理解，筆者這里選擇了�J允許訪問�K選項。其實這是安全性最差的撥入方式，建議選擇�J通過遠程訪問策略控制訪問�K選項，不過這需要在服務端定制遠程訪問策略。
　在客戶端創建VPN連接

　　客戶端的配置比較簡單，跟建立普通撥號連接一樣，只需建立一個VPN的專用連接即可。假設客戶端已經建立了一個虛擬撥號接入Internet的“ADSL連接”，我們以Windows XP為操作平臺簡述創建VPN連接的過程：

　　步驟一 依次單擊[開始]→[控制面板]，雙擊[網絡連接]選項。

　　步驟二 在打開的“網絡連接”對話框左側的快捷面板中找到并單擊[創建一個新的連接]圖標，單擊[下一步]。友情提示：如果是第一次建立連接，系統會要求你輸入所在地區的電話區號。如果在建立VPN連接前已經建立了其他連接（如ADSL接入Internet的連接）則不會出現該提示。

　　步驟三 在“網絡連接類型”對話框中點選[連接到我的工作場所的網絡]選項并單擊[下一步]。接著在“網絡連接”對話框中點選創建[虛擬專用網絡連接]選項并單擊[下一步]，鍵入一個連接名稱（如“公司的VPN連接”），單擊[下一步]（如圖4）。

　　步驟四 在“公用網絡”對話框中點選[自動撥此初始連接]并在其下的下拉菜單中選中一個撥號連接。單擊[下一步]。
　步驟五 在“VPN服務器選擇”對話框中鍵入VPN服務器端的IP地址或域名。這就用到了我們在配置VPN服務器時所提到的固定IP地址或動態域名。假設我們使用了動態域名解析系統，則應該在這里鍵入我們申請得到的域名（如chhuian.vicp.net），然后勾選[在桌面上創建此連接的快捷方式]并單擊[完成]結束創建過程。這時可能會提示你是否連接到初始連接上，勾選[不再顯示此提示]并單擊[否]即可（如圖5）。

　　撥入和訪問VPN服務器

　　至此，我們已經具備了在VPN服務器和客戶端建立VPN連接的條件了。但是如何從客戶端撥入VPN服務器呢？其實很簡單，直接雙擊桌面上的[公司的VPN連接]圖標，系統會要求先通過初始連接（鍵入該連接的用戶名和密碼）接入Internet。然后再通過VPN連接（鍵入被賦予撥入權限的用戶名和密碼）與VPN服務器建立連接。我們可以通過雙擊桌面右下角的VPN連接圖標查看其狀態。

　　那么如何訪問VPN服務器上的共享資源呢，有兩種方法：一是通過[網上鄰居]直接訪問共享資源，二是在IE瀏覽器的地址欄中鍵入“\\服務器名”或“\\服務器地址”（例如“CHHUIAN”或“\\chhuian.vicp.net”），通過瀏覽器窗口訪問共享資源。另外，如果VPN服務器端同時又作為局域網內的一臺主機，我們還可以讓VPN客戶端進一步訪問局域網內的其他主機。這需要VPN服務端開啟了路由器功能并啟用了IP路由，不過在VPN服務器配置完成后這些功能都是默認啟用的。

　　小提示：成功建立連接后，客戶端在訪問服務器端的共享資源的時候可能會出現長時間的搜索過程。如果遲遲找不到服務器，可以使用“搜索計算機”進行搜索。

　　一點說明

　　在客戶端和服務端均為ADSL接入Internet的環境下，我們可以輕松建立VPN連接。如果網絡環境比較復雜，例如小區寬帶接入Internet的客戶端訪問ADSL接入Internet的服務端、采用Cable Modem接入Internet的客戶端訪問ADSL接入Internet的服務端、ADSL接入Internet的客戶端訪問小區寬帶接入Internet的服務端等等，則還需要作進一步的配置才能實現連接。

文章來源于領測軟件測試網 http://www.kjueaiud.com/