前幾日和Hike討論了關于在Windows 2000的操作系統中設置VPN的問題，Hike說到不能在windows 中設置VPN，對此我很是納悶，明明記得老師在上課的時候已經說到了VPN，并且自己已經做過實驗，怎么會不能實現VPN呢？但是由于自己只是靠背BIBLE過關的，對此也不敢抗爭，今日趁有空到圖書館查了一些資料，終于可以站出來說一句了：在Windows中也可以實現VPN!
　　一．VPN概述
　　1．VPN的一些基本知識
　　VPN,全稱為 Virtual Private Network,中文翻譯為虛擬專用網，這幾年非常使流行。它是一個加密或封裝的通信過程，兩個節點之間所發生的通信都是通過加密的。它也是專用網絡的一個擴展，但不需要ISP或電話公司設置一個獨立的額外的連接來提供連通性。VPN通常在Internet上實現，然而，VPN也可以通過專用線路，幀中繼/ATM，或普通的舊式電話網POTN（如ISDN，xDSL等）來實現。VPN的通信是依靠加密來實現的，而加密軟件對原有的大部分系統來說并不使用，要專用的打包器。
　　這里主要討論基于Internet上的VPN的使用。VPN不限于站點間的連接，它們還允許遠程的客戶安全的連接到辦公室的網絡上。
　　VPN為通過公共網絡的不安全連接提供安全性和可靠性，VPN基本用來合作構成一個安全連接的三種技術組成，即：身份驗證，隧道和加密。
　　。身份驗證 確保VPN會話建立之前的客戶和服務器是他們本身，但并不需要相互驗 證，在隧道建立和數據傳輸之前要求成功的驗證。要盡可能的提供最強的驗證級別。諸如：EAP，MS-CHAP或MS-CHAPv2等身份驗證協議。
　　。隧道 用來將網絡協議（TCP/IP，IPX/SPX等）包裝到可在Internet上傳遞的IP數據包中。在windows 2000中負責創建隧道連接的兩個協議是PPTP和L2TP（L2TP是PPTP和L2F合并而成的）。L2TP比PPTP更為高級，并且使用IPSec驗證和加密協議。只有在RRAS的Windows 2000版本中才能使用L2TP，而Windows 2000客戶是唯一使用它的客戶，NT 4.0和98只能用PPTP。
　　。加密Windows 2000支持兩種加密技術：MMPE（Microsoft點對點加密）和IPSec.你可以要求遠程客戶或站點使用其中的一種方法加密，如果它們不使用規定的方法，你可以配置RRAS拒絕連接。
　　 MMPE 支持三種方案：標準的40位和56位。在美國個加拿大還使用加強的128位加 密。要使用MMPE,必須使用MS-CHAP或MS-CHAPv2等身份驗證協議。
　　 IPSec 實際上是一基于加密技術的服務和協議的集合。為使用L2TP的VPN連接提供了身份驗證和加密，如EAP和MS-CHAP。在Windows 2000中的IPSec實現了數據加密標準DES或DES3。DES是在國際上通用的，而DES3只能在美國用。因為美國是把加密技術當成軍火才出售的，因此其他地區只能使用DES（由此可見，美國佬確實有點可恨?。。?
　　2．實現VPN的一些考慮
　　VPN的應有有四個領域：
　　。企業內部網Intranet
　　。遠程訪問
　　。企業外部網Extranet
　　。企業內的VPN
　　也許前面三個大家都很理解，但是這最后似乎有點不可理喻；內部做VPN干什么？其實，這主要是為了安全的考慮。根據調查顯示，很多時候網絡安全的威脅不僅是來自外部，更多的是來自企業內部。通過在企業內部實現VPN，可以保證財務，金融等數據的安全性。
　　但是，如果僅僅因為VPN是一個很時髦的技術而采用它，是否有點過于浪費（不過，如果你的公司很有錢的話也很可以這樣牛一下）。在考慮是否要采用VPN之前請先考慮一下如下幾個問題：
　　。安全 所傳遞的數據真的需要如此高級別的安全性嗎？
　　。預算 （這個不言而喻。）
　　。吞吐量 由于數據加密等一些額外的開銷，網絡的性能可能會下降30%~50%。
　　如果以上三點你都可以接受的話，那么，你可以考慮實施VPN了。
　　另外，還不得不考慮一些技術上的問題：
　　。IP地址問題 你必須擁有已經注冊了的合法的IP地址空間
　　。DNS 問題
　　。路由選擇
　　。網絡地址轉換
　　。加密技術
　　3．解決方案
　　實現VPN，總的來說有這么三種解決方案：
　　。撥號VPN 遠程客戶à本地ISPà Windows 2000的VPN服務器?？晒澥∵h程用戶的電話費，還能節省VPN服務器站點的許多投資，在許多情況下，能替代所需的大量調制解調器。
　　。站點到站點 可使用兩個或多個Windows 2000 VPN服務器建立它們之間的VPN連接，兩個站點之間的通信被安全的定義。
　　。組合方案 組合以上兩種方案。
　　二．實施VPN
　　自從Windows NT 4.0的RRAS以來，Microsoft就支持VPN了。在Windows 2000中也繼續得到了支持。建立VPN首先需要安裝RRAS。
　　1．安裝和啟動RRAS
　　RRAS在Windows 2000 Server 安裝的時候已經自動安裝了，但是處于禁用狀態，要使用RRAS需要先啟動它。步驟：開始|程序|系統管理工具|路由與遠程訪問，在彈出的“路由與遠程訪問”窗口中，選定要啟用的服務器，然后單擊工具欄中的“操作”|配置和啟用路由與遠程訪問，啟動配置向導。
　　2．如何配置RRAS
　　2．1配置Internet連接服務器 可選ICS和NAT。
　　2.1.1 如果選擇了ICS，你會被詢問通過網絡或撥號連接配置ICS，要通過撥號配置ICS，按如下過程完成：開始|設置|網絡和撥號連接，在撥號或VPN上右擊->屬性，在共享選項卡中，選擇“啟用此連接的Internet連接共享”。該選項允許網絡上的另一臺計算機使用這個Internet連接。然后確定（注意彈出的提示消息?。。?
　　2.1.2 如果選擇了NAT的ICS路由器，可以把Windows 2000配置成Internet連接路由器，這個路由器使用通過一個NIC（網卡）連接的NAT，支持以下內容：
　　。多個IP地址
　　。多個SOHO接口
　　。用于網絡客戶的可配置的IP地址范圍
　　*注意 在一個有其他的DC，DNS服務器或者DHCP服務器的網絡中使用此選項。
　　這個選項有兩個關聯的選項可供選擇：使用選擇的Internet連接或創建一個新的請求撥號的Internet連接。如果選擇了第二個選項，會啟動撥號連接向導，按照向導完成配置。
　　2.2 配置遠程訪問服務器 （略，可按照向導逐步完成）
　　2.3虛擬專用（VPN）服務器
　　SERVER端：檢查所需的協議是否已經安裝，選擇用來連接Internet的連接方式。如果你有一個DHCP服務器，就應當使用這個服務器，如果沒有，VPN服務器將從一個IP地址范圍內為客戶分配一個IP地址（下一步將會提示你輸入IP地址的范圍）。如果是使用DHCP服務器，下一步將會詢問你是否使用一個RADIUS服務器，保留默認的“不”。
　　CLIENT端：很多操作系統都可以做為客戶端操作系統，如Windows NT/9X，UNIX及其變種，Macintosh等。這里介紹windows 2000的客戶。確保在配置客戶端應用程序之前，已經安裝了一個調制解調器和驅動程序。）
　　執行步驟：開始|設置|網絡和撥號連接，雙擊啟動“新建連接”。與RRAS服務器相關的選項是“撥號到專用網絡”和“通過Internet連接到專用網絡”。可以選擇第一個，按照向導完成。請注意不要將“Internet連接共享”復選框選中。
　　指定連接的安全設置：如果你覺得不必配置安全性的話，那么，在上一步其實你就已經完成了VPN的配置了。但是事實是你還得配置這一步。返回“網絡和撥號連接”，雙擊剛才建立的連接，右鍵|屬性|安全措施，在這里配置客戶使用服務器是采用的安全機制。單選“高級”，設置，在下一屏中配置安全措施和加密協議等。
　　三．VPN訪問策略
　　遠程訪問連接根據用戶的帳號和遠程訪問策略被授權訪問。當添加遠程訪問策略時，一個用戶只能使用一個策略。
　　添加策略：在控制臺左邊，右擊遠程策略，選擇“新建遠程訪問策略”，按照向導完成。
　　四．管理和排除RRAS故障
　　1． 管理 如果你有多個RRAS服務器，可以將他們放在一個管理單元中進行管理。右擊“服務器狀態”，選擇“添加服務器”，或者在“操作”中選擇“添加新的服務器”。
　　2． 監視 單擊“服務器狀態”，可在右邊查看服務器的名稱，類型，狀態，服務器上的端口數量總數，使用中的端口數量等。
　　3． 查看路由選擇表
　　命令行查看：route print
　　或者在RRAS控制臺中，展開控制臺樹，顯示出IP路由選擇或者IPX路由選擇子數下的靜態路由條目，右擊“靜態路由”并選擇“顯示IP路由選擇表”或者“顯示IPX路由選擇表”
　　4．添加靜態路由表 對于家庭用戶或者小型辦公環境，可以手工向路由選擇表中添加靜態
　　 路由，以便能連接到另一個網絡
　　 命令行方式：route add
　　 對于不熟悉route命令的用戶，可以使用RRAS界面。在上述顯示路由表的操作中，可
　　 選擇“添加新路由”，填入相應的IP地址和子網掩碼。
　　5． 記錄 右擊RRAS服務器，選擇“屬性|事件記錄”
　　五．說明
　　在上述操作的中，可能會有某些選項不可用。如果AD在混合模式下的時候，以下選項不可用：
　　。通過遠程訪問策略控制訪問的能力
　　。使用呼叫方ID驗證呼叫者
　　。分配靜態IP地址
　　。應用靜態路由
　　這也是為什么Microsoft極力推薦將NT的網絡升級為2000的網絡的一個原因之一吧，我想。
　　六．專業的VPN公司
　　我們知道，VPN是一個安全措施很低的網絡，這個網絡建于Internet上，必然會要考慮到數據的安全性，而這其中有很多數據加密的算法和保密協議，等等。Windows 2000并不是一個專業的VPN支持系統，因此在很多方面都可能存在著漏洞和不足。很多公司都在致力于VPN的數據加密和系統的開發，并有自己的產品。這些公司像Aventail,Compatible Systems, Nortel網絡公司，Radguard公司等。我覺得，要構建一個真正的高安全性的VPN，還是應該使用這些專業的產品，畢竟Windows 2000只是一個操作平臺。