如何有效建立Win2000 VPN服务器

用户是否听说过虚拟专用网VPN的优越特性？是否准备好在远程访问设备上看看它的优越性了吗？那么，用户应该很高兴的是，Windows 2000提供了一个非常好的VPN平台，尤其是连接小型远程办公，支持远程办工人员（也就是电子通勤族）从家庭工作室进行远程连接。而且，用户将会看到在Windows 2000上建立VPN是非常简单的。同时，Win2K能够从根本上动态提升Windows NT的VPN服务器的性能和安全性。

在这篇文章中，我介绍一下用户建立自己的VPN所需要的硬件和软件，以及如何在公司网络中配置一台VPN服务器，如何配置远程办工人员的PCs，使他们能够建立到公司LAN网络的VPN连接。文章主要集中于介绍安装VPN的基本过程，不会涉及更高级方面的问题，例如建立一个远程办公网络的服务器对服务器端的VPN连接，配置远程访问策略，或配置VPN连接，使之能够通过防火墙和代理服务器。有了这些认知，我们就开始介绍如何配置Windows 2000服务器远程访问VPN。准备基本设备

用户需要考虑的第一件事就是VPN服务器的硬件设备。要知道Windows 2000本身就需要大量的硬件资源。在一个公司的网络环境中，有可能只希望VPN服务器作为专用的服务器来提供服务，机器上只运行Windows 2000服务器平台或Windows 2000高级服务器平台。对于这样的配置，建议至少要使用奔腾Ⅲ 450-MHz的处理器，256兆字节的RAM。对于小公司网络或只有不超过200个用户，并且支持少于20个远端连接的公司分部网络来说，可以使用奔腾Ⅱ300MHz（或更高）处理器或者至少128兆RAM的赛扬（Celeron）处理器。

用户的服务器需要两块网卡。一块连接Internet，另一块连接局域网。用户可能会想到，这就意味着VPN服务器的实际功能更像一个VPN路由器，而不仅仅是一台服务器。它要验证用户权限，产生安全通道，然后同任何路由器一样，根据路由表中的信息判断，是否允许用户访问他们所要连接的网络中的子网资源，或其他的子网。用户应该有这样的印象，这些资源也包括非Windows资源，像NetWare 和UNIX服务器。

最后应该考虑的是用户的Internet 连接。使用一台VPN服务器可能意味着可以抛掉很多当前使用的RAS专用电话线路。但是，就某种意义来说，这无疑是拆东墙补西墙，因为在这种情况下用户有可能要考虑增加公司办公系统的Internet网络带宽。是否要作出这种决定取决于下列因素：起始带宽的大小、当前的带宽利用率、用户数目和连接VPN服务器的远程分部网络的数目。同样，如果在公司网络中已经有一个始终在线的Internet连接的话，VPN会工作的更好。如果有一个拨号Internet连接的话，我所建议的唯一的VPN解决方案就是在公司网络和远程分部网络之间建立服务器到服务器的连接。

配置VPN服务器

在考虑过硬件配置问题之后，就需要在机器上安装Windows 服务器和最近的服务包。同时要保证在服务器上没有安装其他不需要的服务，例如DNS服务、DHCP服务和IIS服务。同样要避免装载任何额外的第三方软件，除了那些不得不安装的软件，如备份代理程序。

安装Windows服务器期间，应该选择静态分配IP地址方式。要为第一块网卡设置一个真实的Internet IP地址和Internet路由器的缺省网关。另一块网卡应该拥有一个分配给局域网的IP地址，而且不应该使用缺省网关。

还要为VPN服务器设置域/工作组。所作的设置取决于用户服务器进行用户验证的方式。有三个基本选项：VPN服务器在本地验证用户；使用Windows 2000 域安全性；或将安全验证工作转给RADIUS服务器。如果选择VPN服务器在本地验证用户，就要为VPN服务器建立一个工作组——类似于“Internet”这样的名字。如果使用活动目录并且用Windows 2000 域控制器进行验证，就要将VPN服务器加入到Windows 2000的域中。如果有一系列的VPN服务器，可能要使用一个RADIUS服务器（例如微软的Internet验证服务）来完成验证工作。在这个例子中，我们使用VPN服务器本地验证用户方式。

如果用户已经安装了Windows 2000服务器，那么依次打开“开始”　“程序”　“管理工具”　“路由和远程访问”，打开“路由和远程访问”窗口，如图A所示。然后，在相应服务器名的图标上单击，然后单击“操作”按钮，从结果菜单中选择“配置并启用路由和远程访问”。载入创建一个新服务器的向导。选择“手动配置服务器”，就会进入RRAS开始进行配置。向导可能会提示要选择VPN选项，但是用户可以根据自己的要求进行选择。VPN向导可能有一点古怪，最好在RRAS中手动配置基本的VPN设置，以便在将来可以知道如何进行问题跟踪和纠正。

 图A

右击相应VPN服务器图标开始进行配置，选择“属性”。调出用户用来激活VPN服务器的主选项。在“常规”标签中，一定要选择“路由器”和“远程访问服务器”这两个复选框，选择“用于局域网和请求拨号路由选择”选项，如图B所示。切换到“安全”标签，如果VPN服务器自己作验证或者用户使用一个Windows域作验证的话，选择“Window 身份验证”。如果用户使用的是一个RADIUS服务器，选择“RADIUS身份验证”。对于“PPP”和“事件日志”标签中的信息，可以保留缺省设置或者根据需要进行选择。

在“IP”标签中的设置是非常重要的，如图C所示。需要复选“启用IP路由”和“允许基于IP的远程访问和请求拨号连接”复选框，然后在“IP地址分配”组中选择“动态主机配置协议（DHCP）”方式或“静态地址池”（在希望客户连接的子网内）方式。将“适配器”选项设置为连接用户LAN网络的适配器。“IP”标签中的设置是很重要的，因为这些设置规范了VPN接入客户接收到的IP地址和网络信息。在大多数情况下，建议使用DHCP方式为VPN用户配置地址信息。使用局域网内那个用户用来接收他们的IP信息的DHCP服务器，为VPN客户配置地址信息是特别高效的。VPN客户也能够接受静态IP地址，会在进行客户配置时看到。

图B

图C