Windows Server 2003下VPN服務器的建立

【摘要】 介紹了虛擬專用網的構建方案以及利用Windows Server2003實現VPN服務器和客戶機的具體配置過程，為遠程用戶安全、方便地訪問內部網絡提供了一種實用的解決方案。VPN服務器必須具有一個公有IP地址，使得VPN客戶機能夠通過Internet進行訪問。

【關鍵詞】 虛擬專用網;VPN服務器;VPN客戶機

按微軟的定義，虛擬專用網(Virtual Private Network，簡稱VPN)涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。用戶主機直接連接到 Internet，并通過Internet連接到遠程訪問服務器。為使Internet上的主機能夠訪問到VPN服務器，VPN服務器必修擁有一個公有IP地址。VPN服務器一般具有雙網卡，分別連接到Internet和內部網絡。

一、VPN服務器的配置過程

VPN服務器可基于Windows NT或Windows 2003 Server建立起來。在此采用Windows 2003 Server建立VPN服務器，具體配置過程如下: (1)依次進入“開始”→“程序”→“管理工具”，單擊“路由和遠程訪問”打開其控制臺;(2)在左邊框架中“SERVER(本地)”(“SERVER”為服務器名)處單擊右鍵，選擇“配置并啟用路由和遠程訪問”打開“路由和遠程訪問安裝向導”窗口;(3)單擊“下一步”，在“公共設置”選擇“虛擬專用網絡(VPN)訪問和NAT”，單擊“下一步”繼續;(4)在“VPN連接”一步需要指定服務器所使用的連接。由于本服務器使用了雙網卡，選擇Internet連接使用的網卡(IP地址為10.0.0.2)，單擊“下一步”;(5)在“IP地址指定”一步需要選擇為遠程VPN客戶端指定IP地址的方法。由于本機沒有配置DHCP服務器，需要改選為“來自一個指定的地址范圍”，然后單擊“下一步”按鈕繼續;(6)在“地址范圍指定”一步可以為VPN客戶機指定所分配的IP地址范圍。由于內網IP地址為192.168.1.10，為VPN客戶機指定所分配的IP地址范圍可以為“192.168.1.100”～“192.168.1.200”。單擊“新建”按鈕打開“新建地址范圍”窗口，按提示輸入后單擊“確定”按鈕返回“地址范圍指定”一步，然后單擊“下一步”按鈕繼續;(7)在“在名稱和地址轉換服務”一步，選擇默認選項，路由和遠程訪問自動指派地址，并將并名稱解析訪問請求轉發到Internet上的名稱服務器，單擊“下一步”確認自動分配的地址范圍;(8)單擊“下一步”，在“管理多個遠程訪問服務器”一步選擇默認設置;單擊“下一步”，單擊“完成”結束VPN服務器的配置過程。

默認情況下所有用戶均被拒絕撥入到VPN服務器上，VPN服務器的配置過程結束后需要為相應用戶賦予撥入權限。過程如下:(1)依次進入“開始”→“程序”→“管理工具”，單擊“計算機管理”打開其控制臺;(2)依次展開“系統工具”、“本地用戶和組”，單擊“用戶”，則可以看到所有的本地用戶;(3)單擊右鍵選擇“新用戶”來新建一個用戶，用戶名可以取“vpn”，密碼為“vpn”(當然從實際考慮用戶名和密碼要設置的復雜些)，并將“用戶下次登錄時必須更改密碼”前的選項去掉，單擊“創建”創建一個用戶;(4)右鍵單擊用戶“vpn”，選擇“屬性”，在“撥入” 選項卡中 “選擇訪問權限(撥入或VPN)”選項組下默認選項為“通過遠程訪問策略控制訪問”，改選為“允許訪問”，然后單擊“確定”按鈕返回“計算機管理”控制臺，即結束了賦予“vpn”用戶撥入權限的工作。

二、VPN客戶端的配置過程及與VPN服務器的連接

在此使用Windows2000 Professional作為客戶機，其IP地址設置為10.0.0.3，子網掩碼255.255.255.0。其具體配置過程如下:(1)打開“網絡和撥號連接”;(2)雙擊“新建連接”，然后單擊“下一步”;(3)在“網絡連接類型”一步，單擊“通過Internet 連接到專用網絡”，再單擊“下一步”;(4)在“目標地址”一步，輸入需要連接的VPN服務器的域名或IP地址，在這里輸入IP地址10.0.0.2;(5)在“可用連接”這一步，根據需要選擇使用此連接的用戶，可按默認選擇，單擊“下一步”;(6)在“Internet連接共享”這一步，直接單擊“下一步”;(7)在“完成網絡連接”這一步，鍵入該連接的名稱，單擊“完成”結束網絡連接向導。網絡連接向導結束后，彈出VPN客戶端連接窗口，在此連接窗口輸入用戶名為:vpn，輸入密碼為:vpn，單擊“連接”。片刻之后，彈出“連接完成”窗口，單擊“確定”，VPN客戶端與VPN服務器的連接已經建立起來。依次打開“開始”→“程序”→“附件”→“命令提示符”，在命令提示符窗口輸入:ipconfig并回車，這時可以看到本地連接的IP地址10.0.0.3和虛擬專用連接的IP地址，這里的地址是192.168.1.103。同樣，在VPN服務器端也可以看到已經建立起來的VPN連接情況。

參考文獻

[1]戴宗昆.VPN與網絡安全[M].金城出版社，2008

[2][美]Minasi.Windows2003從入門到精通[M].電子工業出版社，2007