第3章 虛擬專用網(wǎng)絡(luò)技術(shù)

第3章虛擬專用網(wǎng)絡(luò)技術(shù)3.1虛擬專用網(wǎng)絡(luò)的產(chǎn)生背景3.2虛擬專用網(wǎng)絡(luò)的基本知識3.3VPN的核心技術(shù)——隧道技術(shù)3.4常用的VPN實現(xiàn)技術(shù)3.5虛擬專用網(wǎng)的實現(xiàn)2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)12023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)2學(xué)習(xí)目標(biāo)與要求了解VPN是利用公共互聯(lián)網(wǎng)絡(luò)安全、經(jīng)濟(jì)和方便地拓展企業(yè)內(nèi)部網(wǎng)絡(luò)的新方法；理解VPN的概念，基本理解VPN的工作原理和關(guān)鍵技術(shù)（隧道技術(shù)）的實現(xiàn)；掌握VPN的三種不同應(yīng)用：用于連接分支機(jī)構(gòu)的IntranetVPN，用于連接合作伙伴的ExtranetVPN，用于連接遠(yuǎn)程個人用戶的AccessVPN。了解虛擬專用網(wǎng)的實現(xiàn)過程3.1虛擬專用網(wǎng)絡(luò)的產(chǎn)生背景一個網(wǎng)絡(luò)連接通常包括三個部分:客戶機(jī)、傳輸介質(zhì)和服務(wù)器。建立網(wǎng)絡(luò)連接的傳輸介質(zhì)可以是傳統(tǒng)的撥號電信網(wǎng)絡(luò)線路，可以是電信部門提供的DDN專線或固定虛擬線路(PermanentVirtualCircuit，PVC)，例如幀中繼(FrameRelay，F(xiàn)R)、異步傳輸模式(AsynchronousTransferMode，ATM)等數(shù)據(jù)網(wǎng)絡(luò)，也可以是Internet或其他公共互聯(lián)網(wǎng)絡(luò)，還可以是虛擬專用網(wǎng)絡(luò)。不同的網(wǎng)絡(luò)連接方法，效果明顯不同。下面對目前常用的網(wǎng)絡(luò)接入方法作一介紹。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)33.1.1專用通路接入的網(wǎng)絡(luò)連接1.常用方法(1)個人系統(tǒng)經(jīng)由Modem通過長途電話撥號，直接接入企業(yè)計算中心Modem池，再連入企業(yè)內(nèi)部網(wǎng)絡(luò)。(2)用戶還可以向電信部門租用DDN專線或固定虛擬線路來實現(xiàn)從企業(yè)分支機(jī)構(gòu)網(wǎng)絡(luò)接入中央信息系統(tǒng)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)42、優(yōu)缺點優(yōu)點：電話撥號、DDN專線、幀中繼、異步傳輸模式等可以建立從客戶機(jī)到服務(wù)器的固定專用通路，當(dāng)然比較容易實現(xiàn)良好的安全性、保密性、可靠性等。缺點：運行成本高，可擴(kuò)展性受到諸多制約，已不能滿足瞬息萬變的電子商務(wù)的需求。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)53.1.2通過公共互聯(lián)網(wǎng)絡(luò)接入的網(wǎng)絡(luò)連接1、通過Internet接入的必要性與面臨的威脅2.具體連接原理企業(yè)利用Internet連接的端到端的數(shù)據(jù)通路大致由撥入段、外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)三段組成。撥入段:一個到ISP的撥入連接外部網(wǎng)絡(luò):公共互聯(lián)網(wǎng)絡(luò)Internet內(nèi)部網(wǎng)絡(luò):企業(yè)內(nèi)部網(wǎng)絡(luò)Intranet2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)63.1.3通過VPN接入的網(wǎng)絡(luò)連接當(dāng)采用專用通路接入實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部目標(biāo)的網(wǎng)絡(luò)連接時，比較容易控制網(wǎng)絡(luò)的可靠性和安全性，但是網(wǎng)絡(luò)的可擴(kuò)展性受到限制;當(dāng)通過公共互聯(lián)網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)時，網(wǎng)絡(luò)具有較好的可擴(kuò)展性，但是容易受到不同方式的攻擊，網(wǎng)絡(luò)的安全可靠性面臨威脅。由此，彌補(bǔ)了上述缺陷的VPN便應(yīng)運而生。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)73.2虛擬專用網(wǎng)絡(luò)的基本知識3.2.1

VPN的概念虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork，VPN)技術(shù)，是一種網(wǎng)絡(luò)連接新技術(shù)。所謂“虛擬”是指用戶不需要擁有實際的的數(shù)據(jù)線路，而是使用Internet公共數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂“專用網(wǎng)絡(luò)”，是指用戶可以制定一個最符合自己需求的網(wǎng)絡(luò)。虛擬專用網(wǎng)不是真正的專用網(wǎng)絡(luò)，卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)83.2.2

VPN網(wǎng)絡(luò)的安全技術(shù)目前VPN主要采用4項技術(shù)來保證安全，這4項技術(shù)分別是隧道技術(shù)(Tunneling)使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）數(shù)據(jù)加解密技術(shù)（Encryption&Decryption）密鑰管理技術(shù)(KeyManagement)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)93.3VPN的核心技術(shù)——隧道技術(shù)3.3.1隧道技術(shù)的基本原理3.3.2隧道協(xié)議隧道是由隧道協(xié)議形成的，目前常用的VPN隧道協(xié)議有如下4種。PPTP協(xié)議、L2TP協(xié)議、IPSec協(xié)議和SSTP協(xié)議。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)101、PPTP協(xié)議PPTP(PointtoPointTunnelingProtocol，第二層點到點隧道協(xié)議）。提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信。PPTP客戶機(jī)是指運行了該協(xié)議的PC，如啟動該協(xié)議的WindowsXP。PPTP可看作是PPP協(xié)議的一種擴(kuò)展，它允許對IP、IPX或NetBEUI等不同的數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公用互聯(lián)網(wǎng)絡(luò)發(fā)送。遠(yuǎn)端用戶能夠透過任何支持PPTP的ISP服務(wù)訪問企業(yè)的專用網(wǎng)絡(luò)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)112、L2TP協(xié)議L2TP協(xié)議(Layer2TunnelingProtocol，第二層隧道協(xié)議),是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似。L2TP協(xié)議可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起連接。L2TP是把鏈路層PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施，如IP、ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP可以使物理上連接到不同NAS的PPP鏈路，在邏輯上的終結(jié)點為同一個物理設(shè)備，L2TP擴(kuò)展了PPP連接。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)123、IPSec協(xié)議IPSec協(xié)議（IPSecurity）是IETF制定的一系列協(xié)議，以保證在Internet上傳送數(shù)據(jù)的安全保密性。IPSec協(xié)議主要功能是為IP通信提供加密和認(rèn)證，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性IPSEC，是第三層的協(xié)議標(biāo)準(zhǔn)，支持IP網(wǎng)絡(luò)上的數(shù)據(jù)的安全傳輸。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)13IPSec有兩種工作模式：一種是隧道模式，另一種是傳輸模式。傳輸模式只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證，此時繼續(xù)使用原始IP頭部。傳輸模式對IP包的路由支持較好。隧道模式對整個IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)14IPSec隧道模式有以下局限。（1）只能支持IP數(shù)據(jù)流（2）工作在IP棧（IPstack

）的底層，因此應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。（3）由一個安全策略（一整套過濾機(jī)制）進(jìn)行控制。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)154、SSTP協(xié)議SSTP（SecureSocketTunnelingProtocol）協(xié)議是一種新的隧道協(xié)議，在TCP端口443上使用HTTPS協(xié)議，使通信可以通過可能阻止PPTP通信和L2TP/IPSec通信的防火墻和Web代理。SSTP提供了一種機(jī)制，用于封裝通過HTTPS協(xié)議的安全套接字層（SSL）通道傳輸?shù)腜PP通信。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)165、隧道協(xié)議的選擇在PPTP、L2TP/IPSec和SSTP遠(yuǎn)程訪問VPN解決方案之間進(jìn)行選擇時，需要考慮以下事項。1）PPTP可以用于各種Microsoft客戶端，包括Windows2000、WindowsXP、WindowsVista和WindowsServer2008。與L2TP/IPSec不同，PPTP不要求使用公鑰結(jié)構(gòu)（PKI）?；赑PTP的VPN連接不提供數(shù)據(jù)完整性（保證數(shù)據(jù)在傳輸中未更改）和數(shù)據(jù)源身份驗證（保證數(shù)據(jù)由經(jīng)過授權(quán)的用戶發(fā)送）。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)172）L2TP只能用于運行Windows2000、WindowsXP和WindowsVista的客戶端計算機(jī)。L2TP支持將計算機(jī)證書或預(yù)共享密鑰作為IPSec的身份驗證方法。計算機(jī)證書身份驗證是建議的身份驗證方法，要求使用PKI向VPN服務(wù)器和所有VPN客戶端頒發(fā)計算機(jī)證書。L2TP/IPSecVPN連接使用IPSec來提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)身份驗證。與PPTP和SSTP不同，L2TP/IPSec啟用IPSec層的計算機(jī)身份驗證和PPP層的用戶級身份驗證。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)183）SSTP只能用于WindowsVistaServicePack1(SP1)、Windows7或WindowsServer2008的客戶端計算機(jī)。SSTPVPN連接使用SSL來提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)身份驗證。4）3種隧道類型均在網(wǎng)絡(luò)協(xié)議堆棧頂部傳送PPP幀。因此，三種隧道類型的PPP常用功能、如身份驗證方案、Internet協(xié)議第4版（IPV4）協(xié)商和Internet協(xié)議第6版（IPv）協(xié)商以及網(wǎng)絡(luò)訪問保護(hù)（NAP），保持相同。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)193.4常用的VPN實現(xiàn)技術(shù)用戶可以根據(jù)自己的情況選擇VPN實現(xiàn)技術(shù)，如：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)(IntranetVPN)和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）。這3種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)203.4.1用于連接分支機(jī)構(gòu)的VPN(IntranetVPN)利用Internet線路保證網(wǎng)絡(luò)互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過使用專用連接共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)有與專用網(wǎng)絡(luò)相同政策，包括安全服務(wù)、質(zhì)量（QualityofService，QoS）、可管理性和可靠性。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)21兩種實現(xiàn)IntranetVPN的方式:(1)專線入網(wǎng)實現(xiàn)IntranetVPN。采用這種方法其實不需要使用價格昂貴的長距離專線，分支機(jī)構(gòu)和公司總部的路由器可以各自使用本地的專線通過本地的ISP接入Internet。VPN軟件使用與本地ISP建立的連接和Internet網(wǎng)絡(luò)在分支機(jī)構(gòu)和企業(yè)總部的路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡(luò)。(2)撥號入網(wǎng)實現(xiàn)IntranetVPN。不同于傳統(tǒng)的使用連接分支機(jī)構(gòu)路由器的撥打長途電話連接企業(yè)NAS的方式，分支機(jī)構(gòu)端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立的連接在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個跨越Internet的虛擬專用網(wǎng)絡(luò)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)22IntranetVPN技術(shù)對用戶的吸引力在于如下方面。（1）減少WAN帶寬的費用。（2）能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接。（3）新的站點能更快、更容易地被連接。（4）通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)233.4.2用于連接業(yè)務(wù)伙伴或供應(yīng)商的VPN(ExtranetVPN)與IntranetVPN不同，ExtranetVPN是兩個互不信任的網(wǎng)絡(luò)的連接。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。ExtranetVPN中，實際的數(shù)據(jù)傳送是雙方各自通過本地ISP接入Internet，數(shù)據(jù)從本企業(yè)網(wǎng)絡(luò)經(jīng)由ISP再通過Internet傳到對方網(wǎng)絡(luò)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)24ExtranetVPN連接時，根據(jù)不同的安全策略，客戶方不但要向保護(hù)制造商內(nèi)部網(wǎng)絡(luò)的防火墻(路由器)認(rèn)證其身份，而且需向連接的服務(wù)器認(rèn)證自己的身份。完成了身份認(rèn)證后，就可以建立一個安全的通道，雙方可以進(jìn)行加密通信。加密和解密工作在認(rèn)證設(shè)備(如服務(wù)器)和被認(rèn)證設(shè)備(客戶機(jī))上完成，而不像IntranetVPN那樣在防火墻(路由器)上完成。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)25總之，ExtranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全服務(wù)、質(zhì)量、可管理性和可靠性。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)263.4.3用于遠(yuǎn)程訪問的VPN(AccessVPN)如果企業(yè)的內(nèi)部人員移動或有遠(yuǎn)程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用AccessVPN。這里所說的移動用戶是指出差在外的不固定地址的員工。VPN允許身處異地及海外的企業(yè)員工的個人計算機(jī)系統(tǒng)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施，以安全的方式與位于企業(yè)內(nèi)部網(wǎng)的服務(wù)器建立連接，即AccessVPN。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)27AccessVPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。AccessVPN能使用戶隨時隨地以其所需的方式訪問企業(yè)資源。AccessVPN包括模擬、撥號、ISDN、數(shù)據(jù)用戶線路（xDSL）、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)28AccessVPN有下列特點:(1)動態(tài)特性。(2)訪問權(quán)限。(3)加密和認(rèn)證。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)29AccessVPN對用戶的吸引力在于如下方面（1）減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)。（2）實現(xiàn)本地?fù)芴柦尤氲墓δ軄砣〈h(yuǎn)距離接入或800電話接入，這樣能顯著降低遠(yuǎn)距離通信的費用。（3）極大的可擴(kuò)展性，簡便地對加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。（4）遠(yuǎn)端驗證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)。（5）將工作重心從管理和保留動作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)303.4.4內(nèi)部網(wǎng)絡(luò)中的VPN在一個企業(yè)內(nèi)部網(wǎng)絡(luò)中，可能有一些敏感部門的計算機(jī)或局域網(wǎng)絡(luò)需要實現(xiàn)特殊的保護(hù)。例如，企業(yè)的財務(wù)部門與審計部門之間的通信不能讓其他部門介入，并且財務(wù)部門與審計部門的網(wǎng)絡(luò)連接也必定是受限的。這種應(yīng)用其實沒有涉及新的技術(shù)，可以把這兩個部門的網(wǎng)絡(luò)連接看作是兩個協(xié)作企業(yè)網(wǎng)絡(luò)之間的連接，即一個特殊的ExtranetVPN，只是原來所說的兩個企業(yè)的內(nèi)部網(wǎng)絡(luò)現(xiàn)在改為部門的局域網(wǎng)絡(luò)，連接這兩個部門局域網(wǎng)絡(luò)的是企業(yè)的骨干網(wǎng)絡(luò)。因為同樣需要在通信雙方之間建立VPN隧道實現(xiàn)保密的通信，所以這時就是在內(nèi)部網(wǎng)絡(luò)中實現(xiàn)隧道技術(shù)、用戶認(rèn)證、加密通信、密鑰管理等。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)313.5虛擬專用網(wǎng)的實現(xiàn)VPN可以通過支持VPN功能的路由器或交換機(jī)實現(xiàn)，WindowsServer2000或WindowsServer2003或更高版本都提供了VPN功能。本節(jié)討論如何通過安裝了WindowsServer2003的主機(jī)實現(xiàn)VPN功能。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)323.5.1準(zhǔn)備工作要實現(xiàn)VPN連接，內(nèi)部網(wǎng)絡(luò)中必須有一臺基于WindowsServer2003以上或WindowsServer2000的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，這就要求VPN服務(wù)器必須擁有一個公共的IP地址。當(dāng)客戶機(jī)通過VPN連接與專用網(wǎng)絡(luò)中的計算機(jī)進(jìn)行通信時，先由ISP將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計算機(jī)。在WindowsServer2003中支持兩種類型的VPN技術(shù)。點對點隧道協(xié)議（PPTP）帶有IP協(xié)議安全（IPSec）的第二隧道協(xié)議（L2TP）2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)333.5.2配置VPN服務(wù)器下面以一個遠(yuǎn)程客戶端與一個公司總部VPN服務(wù)器之間的連接為例，介紹VPN的安裝設(shè)置步驟首先，需要公司總部的計算機(jī)（以下稱為“VPN服務(wù)器”）和分公司的計算機(jī)（以下稱為“VPN客戶機(jī)”）均應(yīng)能訪問Internet，并且VPN服務(wù)器擁有一個Internet上合法的IP地址（即公網(wǎng)IP）。然后，當(dāng)VPN客戶機(jī)通過虛擬撥號和VPN服務(wù)器連接成功，VPN客戶機(jī)就成了VPN服務(wù)器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi)，任意一臺計算機(jī)均可以根據(jù)權(quán)限訪問其他計算機(jī)上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)34（1）依次單擊【開始】->【程序】->【管理工具】->【路由和遠(yuǎn)程訪問】，打開“路由和遠(yuǎn)程訪問”控制臺，如圖3-6所示2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)35圖3-6路由和遠(yuǎn)程訪問控制臺（2）在左邊“路由和遠(yuǎn)程訪問”欄中右擊“X3650(本地)”，選擇“配置并啟用路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問安裝向?qū)А贝翱冢凇皻g迎使用路由和遠(yuǎn)程訪問安裝向?qū)А敝袥]有可以設(shè)置的選項，直接單擊“下一步”按鈕，出現(xiàn)“配置”對話框，如圖3-7所示。（3）在圖3-7中選擇“虛擬專用網(wǎng)絡(luò)（VPN）訪問和NAT”，然后單擊“下一步按鈕。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)362023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)37圖3-7選擇虛擬專用網(wǎng)絡(luò)（VPN）訪問和NAT（4）在“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А钡摹癡PN連接”中選擇與Internet相連的接口，本例為“本地連接”。然后單擊“下一步”按鈕。5）在出現(xiàn)的對話框“IP地址指定”對話框中需要選擇為遠(yuǎn)程VPN客戶端指定IP地址的方法。如果本機(jī)配置了DHCP服務(wù)器，可以選為“自動”，由本機(jī)給客戶機(jī)分配IP地址；若本機(jī)沒有配置DHCP服務(wù)器，則選為“來自一個指定的地址范圍”，本例選擇“來自一個指定的地址范圍”，如圖3-8，然后單擊“下一步”按鈕。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)382023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)39圖3-8選擇如何給客戶端配置IP地址（6）在“地址范圍指定”對話框中可以為VPN客戶機(jī)指定所分配的IP地址范圍。例如，打算分配的IP地址范圍為“0～9”，則單擊“新建”按鈕打開“新建地址范圍”窗口，輸入IP地址范圍后單擊“確定”按鈕，如圖3-9所示，然后單擊“下一步”按鈕。為了確保連接后的VPN網(wǎng)絡(luò)能同VPN服務(wù)器原有局域網(wǎng)正常通信，它們必須同VPN服務(wù)器的IP地址處在同一個網(wǎng)段中。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)402023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)41圖3-9輸入IP地址范圍圖3-10管理多個遠(yuǎn)程訪問服務(wù)器（7）在“管理多個遠(yuǎn)程訪問服務(wù)器”對話框中設(shè)置是否集中管理多個VPN服務(wù)器。選擇“否，使用路由和遠(yuǎn)程訪問來對連接請求進(jìn)行身份驗證”，如圖3-10所示，然后單擊“下一步”按鈕。（8）出現(xiàn)“正在完成路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)印焙?，單擊“完成”按鈕結(jié)束VPN服務(wù)器配置。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)423.5.3賦予用戶撥入權(quán)限在默認(rèn)狀態(tài)下，VPN服務(wù)器拒絕包括Administrator用戶在內(nèi)的所有用戶撥入，因此需要為相應(yīng)用戶賦予撥入權(quán)限。（1）右擊“我的電腦”，在快捷菜單中選擇“管理”，打開“計算機(jī)管理”控制臺，如圖3-11所示。2023/2/5圖3-11計算機(jī)管理窗口43（2）創(chuàng)建用戶，在圖3-11中左側(cè)“本地用戶和組”中右擊“用戶”，在快捷菜單中選擇“新建用戶”，出現(xiàn)“新用戶”對話框。（3）在

“用戶名”、“全名”、“密碼”和“確認(rèn)密碼”文本框內(nèi)分別輸入相應(yīng)信息，單擊“創(chuàng)建”按鈕，然后單擊“關(guān)閉”按鈕。（4）依次展開“本地用戶和組”|“用戶”，在右邊窗格中右擊“shenyuan”，快捷菜單中選擇“屬性”，打開“shenyuan屬性”對話框，如圖3-12所示。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)44（5）單擊“撥入”標(biāo)簽，在“遠(yuǎn)程訪問權(quán)限（撥入或VPN）”下選擇“允許訪問”，然后單擊“確定”按鈕，返回“計算機(jī)管理”控制臺，即結(jié)束了賦予“shenyuan”用戶撥入權(quán)限的工作。2023/2/5第3章虛擬專用網(wǎng)絡(luò)技術(shù)45圖3-12用戶屬性對話框3.5.4配置VPN客戶機(jī)客戶機(jī)系統(tǒng)以Windows2003為例，用戶可在自己機(jī)器上配置VPN客戶機(jī)（1）右擊“網(wǎng)上鄰居”，選擇“屬性”，打開“網(wǎng)絡(luò)和撥號連接”窗口。（2）雙擊“網(wǎng)絡(luò)連接”窗口中“新建連接向?qū)?/p>