附录微软的VPN配置方案.docx

附录微软的VPN配置方案.docx

《附录微软的VPN配置方案.docx》由会员分享，可在线阅读，更多相关《附录微软的VPN配置方案.docx（8页珍藏版）》请在冰点文库上搜索。

附录微软的VPN配置方案

微软的VPN配置方案

目录：

一．概述：

本篇文档是介绍如何利用微软操作系统自带的功能实现VPN，和其他实现VPN的方法相比，这种方法具有相当的优点：

①、因是微软自带的，所以软件上无需另外投资即可实现VPN。

②、不会出现和微软操作系统的兼容性问题。

③、硬件投资少。

④、设置简单，实现容易，大多数设置都提供了向导。

微软的VPN有两种拓扑结构：

1、单独用户通过VPN连接到总公司：

有些单位领导出差，需要查帐，或有些员工在家办公，这种模式都非常适合。

用户连到当地的Internet的ISP或直接拨号到公司的拨入服务器，然后通过VPN登录到总公司的VPN服务器，这时他就和在局域网一样对业务进行操作和审查，当然速度会比局域网要慢得多；如果有些人因故只能在家办公也可采用这种模式，用户只要通过VPN连到总公司的网络，这样他就可以进行日常的工作了，他可以访问到公司其他员工的计算机，其他员工也可访问到他，给别人的感觉好像他就在公司上班一样。

2、两个局域网通过VPN连接到一起：

注：

两个网段的网络通过两台VPN服务器的连接，连接到一起。

这两台服务器的操作系统必须是Win2000Server以上的服务器操作系统（含Win2000Server操作系统），但没有必要是域控制器，只需是独立服务器即可，但网络中必须有域服务器也就是说局域网必须是域模式，这是因为VPN在拨入的时候需要验证。

以下我们分别讲述如何配置这两种VPN的步骤：

二．如何配置单用户使用VPN：

（一）、配置VPN服务器：

1、操作系统的选择：

Windows2000Server，Windows2000ADServer，WindowsNt4.0和Windows2003Server。

因现在windows2000操作系统现在使用得最为普遍，而且最为稳定，因此本文推荐使用Windows2000Server或Windows2000ADServer，并以Win2000Server为例讲述如何配置VPNServer。

2、如何配置Windows2000Server为VPNServer

（1）尚未配置：

Win2K中的VPN包含在"路由和远程访问服务"中。

当你的Win2K服务器安装好之后，它也就随之自动存在了！

不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后，在左边的"树"栏中选中"服务器准状态"，即可从右边看到其"状态"正处于"已停止（未配置）"的情况下。

（2）开始配置：

要想让Win2K计算机能接受客户机的VPN拨入，必须对VPN服务器进行配置。

在左边窗口中选中"SERVER"（服务器名），在其上单击右键，选"配置并启用路由和远程访问"。

（3）如果以前已经配置过这台服务器，现在需要重新开始，则在"SERVER"（服务器名）上单击右键，选"禁用路由和远程访问"，即可停止此服务，以便重新配置！

（4）当进入配置向导之后，在"公共设置"中，点选中"虚拟专用网络（VPN）服务器"，以便让用户能通过公共网络（比如Internet）来访问此服务器。

（5）在"远程客户协议"的对话框中，一般来说，这里面至少应该已经有了TCP/IP协议，则只需直接点选"是，所有可用的协议都在列表上"再"下一步"即可。

（6）之后系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或通过指定的网卡进行连接等）再"下一步"。

（7）接着在回答"您想如何对远程客户机分配IP地址"的询问时，除非你已在服务器端安装好了DHCP服务器，否则请在此处选"来自一个指定的IP地址范围"（推荐）。

（8）然后再根据提示输入你要分配给客户端使用的起始IP地址，"添加"进列表中，比如此处为"10.7.0.200~10.7.0.254"。

（请注意，此IP地址范围要同服务器本身的IP地址处在同一个网段中，而且不要和现有的IP地址冲突，即前面的"10.7"部分一定要相同！

）

（9）最后再选"不，我现在不想设置此服务器使用RADIUS"即可完成最后的设置。

此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口，当它消失之后，打开"管理工具"中的"服务"，即可以看到"RoutingandRemoteAccess"（路由和远程访问）项"自动"处于"已启动"状态了！

（10）赋予用户拨入的权限（拨入时填入这个人的ID和口令），因为默认的情况下，任何用户均被拒绝拨入到服务器上。

（11）欲给一个用户赋予拨入到此服务器的权限，需管理员或帐号管理员权限的人员到域控制器上或装有域用户管理器工具的服务器上进行操作，打开管理工具中的用户管理器（在"计算机管理"项或"ActiveDirectory用户和计算机"中），选中所需要的用户，在其上单击右键，选"属性"。

在该用户属性窗口中选"拨入"项，然后点击"允许访问"项，再"确定"即可完成赋予此用户拨入权限的工作。

（二）、配置VPN客户端：

1、概述：

以下操作系统均可安装VPN客户端：

Win2000Server，Windows2000ADServer，Win2000DataCenter，Windows2kProfessional,WindowsXP,Windows2003Server,Windows95,Windows98,WindowsMe。

因其中wind98和Win2000Pro的配置较具代表性，所以本文以下以这两个操作系统为例讲述如何配置VPN客户端。

2、在windows98上如何配置VPN的客户端：

使用专线接入VPN的设置方法：

在“网上邻居”点击右键-->“属性”-->“添加”-->“适配器”-->“Microsoft”-->“Microsoft虚拟网络适配器”-->点击“确定”来添加虚拟网络适配器，添加完成后，重新启动计算机。

1.在“拨号网络”中点击“新建连接”出现如下画面：

选择Microsoft.VPNAdapter，点击下一步

输入VPN服务器的IP地址如202.106.160.136，点击下一步完成配置。

然后在“拨号网络”中，点击“我的连接”出现如下画面：

输入域上的账号和密码即可登陆到公司的局域网上，如权限不够请与网络管理员联系。

使用MODEM拨入VPN的方法：

1、在“控制面板”中点击“添加/删除程序”在出现的画面中点击“windows安装程序”-->点击“通讯”-->再选中“虚拟网络适配器”-->“确定”，安装完成后，要有“拨号网络适配器#2（VPN支持）这一项。

2、在“拨号网络”中建立两个连接，一个是利用MODEM拨号上网，另一个是利用VPN拨虚拟服务器。

在使用VPN时，首先使用MODEM拨当地的ISP，建立第一次连接，然后再拨VPN服务器的IP地址（方法同“使用专线接入VPN”的设置方法一致）。

3、在Win2000Professional系列操作系统上如何配置VPN客户端

Win2000Server，Windows2000ADServer，Win2000DataCenter的VPN客户端配置方法和Win2000Professional的方法步骤是一样的，下面我们就在Win2000Professional具体说明如何配置：

1）、在控制面板网络和拨号网络连接新建连接

2）、网络链接类型：

跳过欢迎窗口，通过向导选择“通过Internet连接到专用网络（V）”；

3）、目标地址：

输入VPN服务器的外部实IP地址

4）、可用连接：

如果在这台计算机上只是自己使用这个VPN，请选择“只是我自己使用此连接”；如果想让这台机器的其它用户也使用这个连接，请选择“所有用户使用此连接”。

5）、完成网络连接向导：

给这个连接起一个名字，并可选择是否在桌面上添加一个快捷方式。

6）、设置好后，在控制面板－>网络和拨号连接中就会出现刚才设置好的虚拟专用网连接，以后需要连接是双击这个图标即可。

7）、用户连接到Internet上后，启动刚才设置好的虚拟专用网连接，输入一个有拨入权限的用户名及口令，即可连接的集团公司的局域网。

三、如何配置两个局域网通过公网VPN连接在一起:

是将分散在两个不同地方的网络利用公共网络连接起来的过程，就是配置路由器到路由器的VPN，是将分散在两个不同地方的网络利用公共网络连接起来的过程，使分支网络与企业网络通过VPN连接起来。

你必须在两个地方分别配置一台Windows2000Server的VPN服务器。

配置过程和前面配置VPN服务器基本上一样。

只不过为了使这两台VPN服务器能够相互安全通信，还必须配置分别配置它们的"请求拨号接口"，即分别配置它们使用什么端口接受对方VPN服务器的连接请求。

下面是使分支网络通过VPN连接到企业网络的设置方法。

具体配置分两步：

1、配置分支网络VPN服务器的"请求拨号接口"：

1）、使用请求拨号接口向导（右键点击控制台目录树中的"路由接口"→"新的请求拨号接口"打开向导）创建请求拨号接口。

2）、在向导中，配置以下事件：

"接口名称"-代表和企业网络连接的接口名称。

"连接类型"-单击"使用虚拟专用网络（VPN）连接"。

"VPN类型"-单击"点对点隧道协议（PPTP）"。

3）、"目标地址"-键入企业网络路由器（VPN服务器）Internet接口上的IP地址或主机名称。

如果键入的是主机名称，验证所键入的主机名称能分解为正确的IP地址。

4）、"拨出凭据"-键入与分支网络VPN服务器通信的用户帐户的名称，域名，和密码。

当这个分支网络的请求拨号接口在企业网络的VPN服务器上创建时，在请求拨号接口向导的"拨出凭据"中输入了凭据。

这些凭据则与所输入的相同

2、配置企业网络VPN服务器的"请求拨号接口"：

企业网络VPN服务器的“请求拨号接口”的配置比客户端的配置要简单，基本和配置客户端相同，步骤如下：

1）、打开"新的请求拨号接口"向导，"接口名称"-代表到分支网络连接的接口名称。

2）、"连接类型"-单击"使用虚拟专用网络（VPN）连接"。

"VPN类型"-单击"点对点隧道协议（PPTP）"。

3）、"目标地址"-因为企业网络的VPN服务器不初始化VPN连接（由分支网络VPN服务器初始化），所以不要求有电话号码或地址。

4）、"协议与安全"-选中"添加用户帐户"复选框，以便远程路由器能拨入。

5）、"拨出凭据"-因为企业网络的VPN服务器不初始化VPN连接，所以可以键入任意名称，域和密码。

6）、"拨入凭据"-键入域和用于验证分支办公室路由器的帐户密码。

请求拨号接口向导自动创建帐户并将远程访问权限设置"允许访问"。

帐户名与请求拨号接口的名称相同。