菜鸟网管实战VPN

1.1 Windows 2000下的VPN

目录

Windows 2000下的VPN

• VPN到底是什么
• 配置VPN
• 配置账号访问策略

客户端拨入配置

• Windows XP中的设置
• Windows 98 中的设置

　　老板这几天心血来潮，学起别人做起SOHO一族，这不，老板向彭彭要求，让自己在家上网也可以调用公司其他机器的打印机，还要调用局域网中其他机器的文件。这下可苦了彭彭这个半吊子网管了，因为公司的计算机都在代理服务器的后面，外网是没办法直接访问的。不过是老板要求的，而且老板正在兴头上，没办法，彭彭只好找了本书啃起来。

　　啃了几天书，搜索了好些个网站，彭彭发现，如果要将外网的机器划入到内网来，好像在局域网内一样进行通信，需要做一个VPN的设置。

　　1.1.1  VPN到底是什么

　　看来老板的要求是可以实现的了。彭彭简单画了一个简略的网络示意图（图1.1.1）。公司采用Windows 2000 Server做代理服务器代理上网和发布网站。而老板则在家中上网，主要是电话拨号等，老板在家连上公网之后，再建立到公司的VPN通道，再由公司的VPN服务器分配公司局域网内部IP给老板的C机，到时候，老板就像在办公室上网一样了。

图1.1.1 VPN通道示意图

　　虚拟专用网（VPN）可以让企业利用现存的Internet来建立自己的内部网，适用于大型的、在各个分散的地方有分公司的而且需要将各地的网络连起来的企业。VPN为这种连接提供了一种安全廉价的高性能解决方案，将企业分散在各地的网络通过现有的公共网络连接起来。VPN适用于任何类型的网络：专用 Intranet 或 Internet。VPN采用的隧道协议有许多优点，比如用户通过拨号网络连入Internet，接受ISP分配的动态IP地址，接着访问企业内部网，而企业网一般均采用防火墙等安全措施来保护自己的网络，那么我们通ISP拨号上网时就不能穿过防火墙访问企业内部网，只能访问企业的Web服务器。而采用隧道协议后，拨号用户不仅可以得到ISP的动态IP地址，还可以得到企业内部网的IP 地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。用户付出的仅仅是拨ISP的市话费用，不必直接拨号到企业内部。传统上，如果远程用户需要访问企业内部网，一般是直接拨号到企业内部的远程访问服务器，建立的费用是很低廉，但使用时拨号是拨的长途电话，费用就很高了。如果用专线，则就更加昂贵了。
1.1.2 在Windows 2000 Server中支持VPN

　　彭彭把这一层想通后，说干就干，马上就在公司的服务器上调试了起来。

　　1．打开"控制面板"中的"管理工具"，可以看到"路由与远程访问"图标，双击该图标（图1.1.2）。

　　图1.1.2 路由与远程访问

　　2．打开"路由与远程访问"窗口之后，可以在窗口的右边看到关于"路由与远程访问"的基本操作。例如，该服务器名叫Server5，则可以在左列的"Server5(本地)"上按右键（图1.1.3），选择"配置并启用路由选择选项"。

图1.1.3 配置并启用路由选择选项

3．接着可以看到"路由与远程访问服务器"的安装向导，点击"下一步"按钮继续（图1.1.4）。

图1.1.4 远程访问向导

　　4．在向导中选择"虚拟专用网络（VPN）服务器"，并点击"下一步"按钮继续（图1.1.5）。

图1.1.5 选择"虚拟专用网络（VPN）服务器"

　　5．选择远程客户使用的协议，一般情况下，都是使用TCP/IP协议，所以可以选择"是，所有可用协议都在列表上"，并点击"下一步"按钮继续（图1.1.6）。

图1.1.6 选择远程客户协议

6．选择Internet连接，一般的VPN服务器都是最少有两块网卡，一块对外网，一块对内部局域网。在这里是指选择对外网的连接（图1.1.7）。

图1.1.7 选择外网连接

　　7．和上一步的操作一样，需要选择一块对内的网卡连接，选好之后点击"下一步"继续（图1.1.8）。

图1.1.8 选择内部网络连接

8．IP地址指定，如果该服务器上已经配置了DHCP服务，可以选择"启动"，使用DHCP服务器分配地址。点击"下一步"按钮继续（图1.1.9）。

图1.1.9 启用DHCP服务器分配地址

　　9．管理多个远程访问服务器，如果有多个远程访问服务器，而且账号非常多的话，可以使用RADIUS服务器，不过一般情况下，可以选择"不，我现在不想设置此服务器使用RADIUS"（1.1.10）。

图1.1.10 不使用RADIUS服务器

　　名词解释：RADIUS

更多请选择查询词汇的第一个字母：
A B C D E F G
H I J K L M N
O P Q R S T U
V W X Y Z 0-9

 

　　10．最后，经过一段时间的系统设置后，"远程与路由访问"窗口显示"虚拟专用网络"配置成功，并在左列窗口中显示具体所支持的接口与协议（图1.1.11）。

点击放大
图1.1.11 配置成功的VPN服务器

目录

Windows 2000下的VPN

• VPN到底是什么
• 配置VPN
• 配置账号访问策略

客户端拨入配置

• Windows XP中的设置
• Windows 98 中的设置

　　1.1.3 配置账号访问策略

　　看来也不是很难嘛，彭彭暗自想，以后只要在客户端给装一个VPN客户端拨号程序就可以了，访问的时候只要在客户端填上服务器的地址和服务器的账号就可以了呀。为了验证自己配置的是否正确，彭彭把服务器的一个Users组中的账号和地址给了外网的一个通过Modem拨号上网的朋友，请他来通过VPN客户端来登录服务器测试一下。不一会儿，朋友报告说，不能进入，提示该账号没有远程登录权限。幸亏没有直接推荐给老板，要不准挨骂。

　　到底是什么原因呢？提示账号没有远程登录权限，看来与账号设置有关呀，彭彭带着疑问打开了Windows的用户管理。

一、新增账号

　　1．彭彭的服务器为了管理的方便，已经升级到了域模式，需要管理账号的时候要通过打开"管理工具"中的"Active Directory 用户和计算机"（图1.1.12）。

点击放大
图1.1.12 管理Active Directory 中的对象

　　2．在"Active Directory 用户和计算机"窗口中的左边列表中选择"Users"组，可以看到右边列表显示了整个域所有的账号和类型说明。现在需要给VPN服务器专门建立一个访问的账号，在右边列表空白处打开右键菜单，选择"新建"菜单中的"用户"命令（图1.1.13）。

点击放大
图 1.1.13 新建用户

3．在"新建对象-用户"窗口按照提示填入新账号的一些信息，如用户的姓名、登录名等（图1.1.14）。

图1.1.14 新建账号

　　4．填入该账号的密码（图1.1.15）。密码框下面的四个选项现在可以不选。填好密码之后点击"下一步"继续。

图1.1.15 设置密码

　　5．可以看到，在"Active Directory 用户和计算机"窗口中，刚才新建的账号已经成功（图1.1.16）。

点击放大
图1.1.16 新建成功的账号

二、修改账号的权限

　　在刚刚新建的账号上按右键，选择"属性"（图1.1.17），打开"属性"面板中的"拨入"标签，在"远程访问权限（拨入或VPN）"中选择"允许访问"，并按"确定"完成修改。

图1.1.17 修改用户拨入权限

　　再一试，OK啦。
1.2 客户端拨入配置

　　老板家里有两台电脑，分别装了Windows XP和Windows 98，为了方便老板在任意一台机器上都可以访问到公司的网络，彭彭特意找来了在不同的操作系统中拨入VPN的方法。

　　1.2.1  Windows XP中的设置

　　1．在桌面的"网上邻居"图标上按右键，选择"属性"，打开"网络连接"窗口（图1.2.1）。并打开"文件"菜单中的"新建连接"命令。

图1.2.1 网络连接窗口

　　2．使用网络连接向导，这是一个综合的网络连接向导，可以设置拨号、VPN、串行连接等服务（图1.2.2）。

图1.2.2 连接向导

　　3．选择网络类型，在这里选择"连接到我的工作场所的网络"，点击"下一步"继续（图4.1.1）。

图4.1.1选择网络类型

　　4．在这里选择"虚拟专用网络连接"，点击"下一步"按钮继续（图1.2.4）。

图1.2.4 虚拟专用网络连接

5．填入这个远程连接的名称，可以根据具体情况来设置，填好之后点击"下一步"按钮继续（图1.2.5）。

图1.2.5 建立远程连接名

　　6．VPN网络要求的前提是计算机已经接通网络，所以在这里只要填入对方服务器的地址（可以是域名也可以是IP地址）即可。点击"下一步"继续（图1.2.6）。

图1.2.6 填入VPN服务器地址

7．已经完成本VPN客户端的安装。单击"完成"之后，系统会在"网络连接"栏目中生成一个连接对象（图1.2.7）。

图1.2.7 完成连接向导

　　8．最后，弹出连接对话框，填入VPN服务器所支持远程拨入的账号和密码，单击"连接"开始连接（图1.2.8）。

图1.2.8 开始连接VPN服务器

　　9．如果服务器账号及服务设置都正确的话，就可以看到提示框显示"正在网络上注册你的计算机"，完成之后，也会在系统托盘中显示"虚拟专用连接"已经建立（图1.2.9、图1.2.10）。

图1.2.9 正在网络上注册计算机

图1.2.10 虚拟专用连接建立成功

1.2.2  Windows 98 中的设置

　　1．在Windows 98 的桌面上右击"网上邻居"选择"属性"（图1.2.11）。在"网络属性"窗口中单击"添加"按钮。

图1.2.11 打开网络属性

　　2．选择"适配器"，单击"添加"按钮继续（图1.2.12）。

图1.2.12 选择网络组件类型

3．在"选择 网络适配器"中，可以看到Windows 98系统默认支持的硬件，在左边的厂商列表中选择"Microsoft"，选好之后，右边会有三个选择，选择中间的"Microsoft 虚拟专用网络适配器"，单击"确定"开始安装（图1.2.13）。

　　特别说明，"Microsoft 虚拟专用网络适配器"需要"拨号适配器"的支持，所以还需要安装"拨号适配器"。

图1.2.13 添加虚拟专用网络适配器

　　4．等待一会儿，就可以看到"网络属性"面板中已经添加了"Microsoft 虚拟专用网络适配器"一项，单击"确定"按钮开始安装。

　　在安装过程中，系统可能会提示需要Windows 98的安装光盘，插入光盘完成安装。文件复制完成之后，需要重新启动一次。

　　5．从这里开始建立VPN拨号连接，双击打开桌面上"我的电脑"图标。找到"拨号网络"图标，双击打开（图1.2.14）。

图1.2.14 "我的电脑"窗口

　　6．使用拨号网络向导，点击"下一步"继续（图1.2.15）。

图1.2.15 拨号网络向导

7．如果该机器没有配置过拨号网络，则系统将另外弹出窗口要求填入所在地区和该地区的电话区号，填好之后，单击"关闭"按钮（图1.2.16）。

图1.2.16 填入区电话区号

　　8．选择连接的设置，在这里当然选择刚刚安装的"Microsoft VPN Adapter"，点击"下一步"继续（图1.2.17）。

图1.2.17 选择"Microsoft VPN Adapter"

9．填入VPN服务器的域名或者地址，填好之后点击"下一步"继续（图1.2.18），就建立好VPN连接了。

图1.2.18 填入服务器IP地址

　　10．做好的VPN连接会显示在"拨号网络"窗口中。这时可以双击"我的连接"图标打开连接（图1.2.19）。

图1.2.19 在拨号网络中的VPN连接

　　11．在连接窗口中填入服务器支持的账号和密码后，单击"连接"按钮继续（图1.2.20）。

图1.2.20 连接窗口

不管是Windows 98还是Windows 2000/XP，建立VPN连接之后，就和使用局域网没什么区别了。

　　彭彭把使用方法教给老板，老板学会之后，回家试了一下，感觉非常满意，把彭彭大加表扬了一番，这可把彭彭给乐坏了。

目录

Windows 2000下的VPN

• VPN到底是什么
• 配置VPN
• 配置账号访问策略

客户端拨入配置

• Windows XP中的设置
• Windows 98 中的设置

　　编者按：本文节选自天极出版的《菜鸟网管必杀技》。此书现已上市，感兴趣的朋友可到各大书店购买。

　　或许你由于精通电脑操作，而被领导任命为公司的网络管理者；或者你是刚刚进入网管这一行，正面临尽快熟悉网络管理技术的状况；或者你是一名网络爱好者，刚刚接受了诸如MCSE、CCNA等等职业培训，有了一定的网络管理理论等等，你正想了解如何在"半路出家"的情况下，成为一名称职的网管。如果是这样，那你就有了买本书的第一个理由。

　　也许你已经买了不少的有关网管方面的书，但学习了不少理论之后，对网管工作与职业并未形成一个整体的认识，面临实际工作常无法快速融入角色，找到问题的关键。本书讲解的内容实用强，完全按照一名中小企业网络管理员应该掌握的知识与技能进行讲解。如果你不知道网络管理应该做什么，应该怎样动手，那你就有了购买本书的第二个理由。

　　全书以一名初级网络管理员彭彭的成长经历为线索，以彭彭所在公司的网络环境为背景, 本书采用情景式写作，以浅显诙谐的语言来讲解晦涩难懂的知识，让你全面而真实地感受网络管理的快乐。

　　本书按照网络管理员的实际工作流程共划分成三大部分：

　　安装、配置和维护--如果你从来都没有建立过网络环境，或者只是组组网什么的，请进入本部分。

　　用户服务--如果你对网络的组建后，不清楚怎样为用户提供服务，那么请查阅本部分。

　　网络管理--如果你不了解网络管理的日常工作，那就需要仔细的阅读本部分了。

　　本书每一个大的部分又细分了许多具体任务，内容从最初的建立内部网络服务体系到日常的管理维护再到一些特殊的网络构架和管理无一不含。