Windows 2000系統中的VPN元件包括一個VPN伺服器、一個VPN 客戶機和一個VPN 連接(連接中資料被加密的部分),以及隧道(連接中資料被封裝的部分)。建立隧道是通過 Windows 2000 中包括的兩個隧道協議完成的,這兩個協議都是隨“路由和遠端存取”安裝的。Windows 2000 包括的兩個隧道協議是:
*點對點通道通訊協定
(PPTP):使用“Microsoft 點對點加密”提供資料加密。
*第二層隧道協議
(L2TP):使用 IPSec 提供資料加密、身份驗證和完整性。
到 Internet 的連接應使用專用線路,如 T1、Fractional T1 或 Frame Relay。WAN 適配器必須配置指派給您的域或由 Internet 服務提供者 (ISP) 提供的 IP 地址和子網路遮罩,以及 ISP 路由器的預設閘道器。
(注意:要啟用 VPN,您必須使用具有管理許可權的帳戶登錄。)
一、安裝和啟用 VPN 伺服器:
1.在 Microsoft Windows
2000 VPN 電腦上,確保到 Internet 的連接和到您的局域網 (LAN) 的連接都已正確配置。
2.按一下開始,指向管理工具,然後按一下“路由和遠端存取”。
3.按一下樹中的伺服器名稱,再按一下操作功能表上的“配置並啟用路由和遠端存取”,然後按一下下一步。
4.在通用配置對話方塊中,按一下“虛擬私人網路絡(VPN 伺服器)”,然後按一下下一步。
5.在遠端客戶機協議對話方塊中,確認清單中包括
TCP/IP,按一下“是,所有可用的協議都在清單上”,然後按一下下一步。
6.在 Internet 連接對話方塊中,選擇將連接到 Internet 的 Internet 連接,然後按一下下一步。
7.在“IP 位址分配”對話方塊中,選擇自動以便使用您子網上的 DHCP 伺服器給撥號客戶機和伺服器分配 IP 地址。
8.在管理多個遠端存取伺服器對話方塊中,確認“不,我現在不想設置此伺服器使用 RADIUS”核取方塊已選中。
9.按一下下一步,然後按一下完成。
10.按右鍵埠節點,然後按一下屬性。
11.在埠屬性對話方塊中,按一下 WAN 微型埠 (PPTP) 設備,然後按一下配置。
12.在“配置設備 - WAN Miniport
(PPTP)”對話方塊中,執行下列操作之一:
o如果不想支援到伺服器上安裝的數據機的直接用戶撥號 VPN,請按一下以清除請求撥號路由選擇連接(入站和出站)複
選框。
o如果想要支援到伺服器上安裝的數據機的直接用戶撥號 VPN,請按一下選中請求撥號路由選擇連接(入站和出站)核取方塊。
13.在最多埠數文字方塊中,鍵入您希望同時存在的
PPTP 連接的最大數目。(這可能取決於可用 IP 位址的數目)。
14.對 L2TP 設備重複步驟 11 至 13,然後按一下確定。
二、如何配置 VPN 伺服器:
要進一步根據需要配置
VPN 伺服器,請按照下列步驟操作。
將遠端存取伺服器配置為路由器。為讓遠端存取伺服器能在您的網路中正確地轉發通信量,必須用靜態路由或路由式通訊協定將其配置為一個路由器,這樣遠端存取伺服器才能訪問到內部網中的所有位置。
要將伺服器配置為路由器,請按照下列步驟操作:
1.按一下開始,指向管理工具,然後按一下“路由和遠端存取”。
2.按右鍵伺服器名稱,然後按一下屬性。
3.在常規選項卡上,按一下以選中啟用此電腦作為路由器。
4.選擇“僅用於局域網 (LAN) 路由選擇”或“用於局域網和請求撥號路由選擇”,然後按一下確定,關閉屬性對話方塊。
三、如何配置 PPTP 埠:
確認所需的 PPTP 埠數。要檢查埠數或添加埠,請按照下列步驟操作:
1.按一下開始,指向管理工具,然後按一下“路由和遠端存取”。
2.在主控台樹狀目錄中,展開“路由和遠端存取”,展開伺服器名,然後按一下埠。
3.按右鍵埠,然後按一下屬性。
4.在埠屬性對話方塊中,按一下 WAN 微型埠 (PPTP),然後按一下配置。
5.在配置設備對話方塊中,選擇設備的最大埠數目,然後選擇選項以指定該設備是僅接受傳入連接,還是接受傳入和傳出兩種連接。
四、如何管理地址和名稱伺服器
VPN 伺服器必須有可提供的 IP 位址,以便在連接進程的 IP 控制協定 (IPCP) 協商階段將它們分配給 VPN 伺服器的虛擬介面和 VPN 客戶機。分配給 VPN 用戶端的 IP 地址實際分配給了 VPN 用戶端的虛擬介面。
對於基於 Windows
2000 的 VPN 伺服器,預設情況下,分配給 VPN 用戶端的 IP 地址是通過 DHCP 獲得的。您也可以配置靜態 IP 位元元址集區。VPN 伺服器還必須配置名稱解析伺服器(通常是 DNS 和 WINS 伺服器)位址,以在 IPCP 協商期間分配給 VPN 用戶端。
五、如何管理訪問
在使用者帳戶上配置撥入屬性並配置遠端存取策略,以管理對撥號網路和 VPN 連接的訪問。
注意:預設情況下拒絕使用者對撥號的訪問。
通過使用者帳戶訪問
如果您是按用戶管理遠端存取,則對於允許創建 VPN 連接的使用者帳戶,可在使用者的屬性對話方塊中的撥入選項卡上,按一下允許訪問。如果 VPN 伺服器只允許 VPN 連接,則請刪除稱為“如果啟用撥入許可,就允許訪問”的默認遠端存取策略。然後新建一個遠端存取策略,給它取一個描述性名稱,如“按使用者帳戶允許 VPN 訪問”。有關詳細資訊,請參見 Windows 2000 幫助。
小心:刪除默認策略後,則與您創建的策略配置一個也不匹配的撥號客戶機將被拒絕訪問。
如果 VPN 伺服器也提供撥號遠端存取服務,則不要刪除預設策略,但要移動其位置,使它成為最後一個起作用的策略。
通過組成員身份訪問
如果您按組管理遠端存取,請使用“管理工具”或 MMC 管理單元中的“Active Directory 使用者和電腦控制台”,對所有使用者帳戶按一下“通過遠端存取策略控制訪問”選項按鈕。創建一個其成員可以創建 VPN 連接的 Windows 2000 組。如果 VPN 伺服器只允許 VPN 連接,則請刪除名稱為“如果啟用撥入許可,就允許訪問”的默認遠端存取策略。下一步,新建一個遠端存取策略,給它取一個描述性的名稱,例如“如果是允許創建 VPN 的
組的成員,則允許訪問 VPN”,然後將 Windows 2000 組指派給此策略。
如果 VPN 伺服器也提供撥號網路遠端存取服務,則不要刪除預設策略,而是移動其位置,使它成為最後一個起作用的策略。
六、如何從客戶機配置 VPN 連接
要建立到 VPN 的連接,請按照下列步驟操作:
1.在客戶機上,確認與 Internet 的連接配置正確。
2.按一下開始,指向設置,然後按一下網路和撥號連線。
3.按兩下建立新連接。
4.按一下下一步,再按一下通過
Internet 連接到私人網路絡,然後按一下下一步。
5.執行下列操作之一:
o如果您使用撥號連線來連接 Internet,請按一下自動撥此初始連接,然後從列表中選擇您的撥號 Internet 連接。
o如果您使用的是全時連接(如纜線數據機),請按一下不撥初始連接。
6.按一下下一步。
7.鍵入您想連接到的電腦的主機名稱(如
Microsoft.com)或 IP 位址(如 123.123.123.123),然後按一下下一步。
8.如果想讓登錄到此電腦的任何人都可以使用此連接,請按一下以選擇供所有用戶使用,如果想讓此連接只有在您登錄到電腦時可用,請按一下以選中僅供自己使用,然後按一下下一步。
9.為此連接鍵入一個描述性的名稱,然後按一下完成。
注意:此選項只有在您作為 Administrators 組的成員登錄時才可用。
10.按一下開始,指向設置,然後按一下網路和撥號連線。
11.按兩下新建的連接。
12.按一下屬性以繼續為此連接配置選項:
o如果要連接到一個域,請按一下選項選項卡,然後按一下以選中“包含 Windows 登錄域”核取方塊,以指定在嘗試連接前是否要求提供 Windows 2000 登錄域資訊。
o如果想讓該連接在斷線後重新撥號,則請按一下選項選項卡,然後按一下選中“斷線重撥”核取方塊。
要使用連接,請按下列步驟操作:
1.按一下開始,指向設置,然後按一下網路和撥號連線。
2.按兩下新建的連接。
3.如果目前沒有到 Internet 的連接,Windows 可讓您連接到 Internet。
4.建立到 Internet 的連接後,VPN 伺服器會提示您輸入用戶名和密碼。輸入您的用戶名和密碼,按一下連接,然後就可以使用您的網路資源了,方式與您直接連接到網路上時一樣。注意:要從 VPN 上斷開,請按右鍵連接圖示,然後按一下斷開連接。
文章定位:
人氣(681) | 回應(0)| 推薦 (
0)| 收藏 (
0)|
轉寄
全站分類:
不分類
