虚拟专用网络（VPN）是一门网络新技术，它无须专用的长途线路，通过因特网或其它公网，即可在异地的两台计算机或局域网之间建立一个安全的隧道连接，达到通过Internet或其它公网安全访问企业网的目的。移动用户也可拨入因特网，再通过VPN安全地访问自己企业的内部网络。VPN可通过带VPN功能的路由器、软件VPN系统和专用硬件VPN设备来实现。下面介绍NT4．0下的软件VPN的实现。

微软公司引入了点对点通道协议（Point－to－Point Tunneling Protocol PPTP）支持VPN。PPTP在NT环境下利用RAS和PPP来实现VPN。PPTP允许远程用户拨号到本地的ISP，然后通过一个安全的隧道来访问远程的企业内部网络。PPTP为NT的远程访问服务（RAS）连接进行协议封装和数据加密，以此提高安全性。另外PPTP允许VPN服务器对于接入的客户进行身份验证。PPTP可以支持多种协议，如IP、IPX、NetBEUI。微软公司的网络操作系统Windows NT Server 4．0支持基于PPTP的VPN，其主流桌面操作系统Windows 98和Windows NT Workstation 4．0内置了PPTP客户端软件，Windows 95通过升级也可支持此客户端软件。

NT下的VPN由PPTP客户机和PPTP服务器构成。在企业网络中，PPTP服务器是一台运行Windows NT Server的网络服务器，作为企业VPN的网关，接收来自因特网的PPTP封装报文，解析出相应内部网络上的机器名和地址，并转发给指定的内部网客户。一个异地的PPTP客户机首先通过PPP协议拨叫当地的ISP，建立与因特网的连接，然后再通过PPTP方式拨叫远程已接入因特网的企业网络的PPTP服务器，通过安全性验证后即建立起VPN隧道连接，可像局域网用户一样访问企业的网络资源。通过VPN，远程客户机拨入当地的ISP，而不需直接拨叫远程访问服务器，即可访问企业网络，这将大大减少远程或移动客户用于连接企业网络的费用。

NT下的VPN配置需在企业网络的PPTP服务器和远程的PPTP客户机两方进行配置。

安装和配置NT Server 4．0下的PPTP服务器

用于PPTP的服务器需安装NT Server 4．0、正确配置TCP／IP网络协议、并有Internet上的一个合法IP地址、且正确连入Internet。

1．安装点对点通道协议（PPTP）

按如下步骤在一台运行Windows NT Server 4．0的服务器上安装PPTP协议：

1）“开始”→“设置”→“控制面板”，双击“网络”，出现“网络属性”对话框，单击“协议”，再单击“添加”出现“选定网络协议”对话框，选择“点对点通道通信协议”，单击“确定”出现“PPTP设置”对话框；

2）选择需要服务器同时支持的VPN数目，单击“确定”，出现“安装远程访问”对话框；

3）单击“添加”，出现“添加RAS设备”对话框，选择可用的RAS设备，单击“确定”，返回“安装远程访问”对话框；

4）选择一个VPN设备，单击“配置”，出现“配置端口用法”对话框，确保“只能接收”被选中，单击“确定”，返回“安装远程访问”对话框；

5）选择一个VPN设备，单击“网络”，出现“网络配置”对话框，在“允许远程客户运行”选项中只保留“TCP／IP”被选中；单击“TCP／IP”选择框旁边的“配置”，出现“RAS服务器TCP／IP配置”对话框，在此可进行一些TCP／IP方面的配置，如可允许TCP／IP客户访问“整个网络”或“仅限于本地计算机”，对于客户地址分配，可用DHCP或静态地址集等；进行必要的设置后单击“确定”，返回“网络配置”对话框；“加密设置”选项中确保选中“Microsoft加密”，并选中“请求数据加密”，这使所有连接到PPTP服务器的远程客户机将进行基于NT的身份验证；单击“确定”，返回“安装远程访问”对话框；

6）单击“继续”，完成最后安装，然后重启NT。

2．配置VPN用户

本过程添加要通过VPN访问企业网络的用户，并给予用户拨入的权限。

1）单击“开始”→“程序”→“管理工具”→“域用户管理器”，出现“域用户管理器”窗口；

2）单击选单项“用户”→“新用户”，出现“新用户”对话框，设置用户名、密码及所属的组，然后单击“拨入”出现“拨入信息”对话框，选中“给予用户拨入的权限”，单击“确定”，返回“新用户”对话框，最后单击“添加”，从而添加一个新用户。重复上述步骤添加所有将要通过VPN访问企业网络的用户。

至此，PPTP服务器方的配置完成。

安装和配置Windows 98下的PPTP客户机

Windows 98下的PPTP客户机需正确安装TCP／IP协议和拨号网络，并能通过拨号连入Internet。

1．安装MS虚拟专用网络适配器

单击“开始”→“设置”→“控制面板”，双击“网络”，出现“网络”对话框，单击“添加”出现“选择网络组件类型”对话框，选中“适配器”然后单击“添加”，出现“选择网络适配器”对话框，选中“Microsoft虚拟专用网络适配器”后单击“确定”，返回“网络”对话框，单击“确定”以完成最后安装，然后重启计算机。

2．创建到ISP和VPN的拨号连接

要配置Windows 98下的PPTP客户机，必须建立两个拨号网络连接。一个连接用于连接ISP，另一个连接用于连接远程企业网的PPTP服务器。

1）建立到ISP的拨号网络连接。由于比较简单，这里不再介绍。

2）建立到企业网的拨号网络连接

双击“我的电脑”，双击“拨号网络”，然后单击“创建新的连接”。在“选择设备”中，单击“Microsoft VPN Adapter＂，然后单击“下一步”。在“主机名或IP地址”中，键入待连接网络的PPTP服务器的名称或IP地址。单击“下一步”，然后单击“完成”。

通过拨号连接远程的企业网络

双击“我的电脑”，然后双击“拨号网络”。双击到ISP的连接，键入ISP分配的用户名和密码，然后单击“连接”。成功登录到Internet账号后，单击指向企业网络的连接，键入在域名管理器中设置的用户名和密码，然后单击“连接”，即可连入远程的企业网。

为了安全，应使PPTP服务器位于企业网络的防火墙之后，使发往PPTP服务器数据能通过防火墙加以过滤，避免服务器受到黑客的直接攻击。另外应启用服务器上的TCP端口过滤和PPTP过滤功能以增强安全性。


返回