第3章 虛擬專用網(wǎng)絡技術(shù)

第3章虛擬專用網(wǎng)絡技術(shù)3.1虛擬專用網(wǎng)絡的產(chǎn)生背景3.2虛擬專用網(wǎng)絡的基本知識3.3VPN的核心技術(shù)——隧道技術(shù)3.4常用的VPN實現(xiàn)技術(shù)3.5虛擬專用網(wǎng)的實現(xiàn)2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)12023/2/5第3章虛擬專用網(wǎng)絡技術(shù)2學習目標與要求了解VPN是利用公共互聯(lián)網(wǎng)絡安全、經(jīng)濟和方便地拓展企業(yè)內(nèi)部網(wǎng)絡的新方法；理解VPN的概念，基本理解VPN的工作原理和關(guān)鍵技術(shù)（隧道技術(shù)）的實現(xiàn)；掌握VPN的三種不同應用：用于連接分支機構(gòu)的IntranetVPN，用于連接合作伙伴的ExtranetVPN，用于連接遠程個人用戶的AccessVPN。了解虛擬專用網(wǎng)的實現(xiàn)過程3.1虛擬專用網(wǎng)絡的產(chǎn)生背景一個網(wǎng)絡連接通常包括三個部分:客戶機、傳輸介質(zhì)和服務器。建立網(wǎng)絡連接的傳輸介質(zhì)可以是傳統(tǒng)的撥號電信網(wǎng)絡線路，可以是電信部門提供的DDN專線或固定虛擬線路(PermanentVirtualCircuit，PVC)，例如幀中繼(FrameRelay，F(xiàn)R)、異步傳輸模式(AsynchronousTransferMode，ATM)等數(shù)據(jù)網(wǎng)絡，也可以是Internet或其他公共互聯(lián)網(wǎng)絡，還可以是虛擬專用網(wǎng)絡。不同的網(wǎng)絡連接方法，效果明顯不同。下面對目前常用的網(wǎng)絡接入方法作一介紹。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)33.1.1專用通路接入的網(wǎng)絡連接1.常用方法(1)個人系統(tǒng)經(jīng)由Modem通過長途電話撥號，直接接入企業(yè)計算中心Modem池，再連入企業(yè)內(nèi)部網(wǎng)絡。(2)用戶還可以向電信部門租用DDN專線或固定虛擬線路來實現(xiàn)從企業(yè)分支機構(gòu)網(wǎng)絡接入中央信息系統(tǒng)。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)42、優(yōu)缺點優(yōu)點：電話撥號、DDN專線、幀中繼、異步傳輸模式等可以建立從客戶機到服務器的固定專用通路，當然比較容易實現(xiàn)良好的安全性、保密性、可靠性等。缺點：運行成本高，可擴展性受到諸多制約，已不能滿足瞬息萬變的電子商務的需求。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)53.1.2通過公共互聯(lián)網(wǎng)絡接入的網(wǎng)絡連接1、通過Internet接入的必要性與面臨的威脅2.具體連接原理企業(yè)利用Internet連接的端到端的數(shù)據(jù)通路大致由撥入段、外部網(wǎng)絡、內(nèi)部網(wǎng)絡三段組成。撥入段:一個到ISP的撥入連接外部網(wǎng)絡:公共互聯(lián)網(wǎng)絡Internet內(nèi)部網(wǎng)絡:企業(yè)內(nèi)部網(wǎng)絡Intranet2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)63.1.3通過VPN接入的網(wǎng)絡連接當采用專用通路接入實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡與外部目標的網(wǎng)絡連接時，比較容易控制網(wǎng)絡的可靠性和安全性，但是網(wǎng)絡的可擴展性受到限制;當通過公共互聯(lián)網(wǎng)絡接入內(nèi)部網(wǎng)絡時，網(wǎng)絡具有較好的可擴展性，但是容易受到不同方式的攻擊，網(wǎng)絡的安全可靠性面臨威脅。由此，彌補了上述缺陷的VPN便應運而生。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)73.2虛擬專用網(wǎng)絡的基本知識3.2.1

VPN的概念虛擬專用網(wǎng)絡(VirtualPrivateNetwork，VPN)技術(shù)，是一種網(wǎng)絡連接新技術(shù)。所謂“虛擬”是指用戶不需要擁有實際的的數(shù)據(jù)線路，而是使用Internet公共數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂“專用網(wǎng)絡”，是指用戶可以制定一個最符合自己需求的網(wǎng)絡。虛擬專用網(wǎng)不是真正的專用網(wǎng)絡，卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)83.2.2

VPN網(wǎng)絡的安全技術(shù)目前VPN主要采用4項技術(shù)來保證安全，這4項技術(shù)分別是隧道技術(shù)(Tunneling)使用者與設備身份認證技術(shù)（Authentication）數(shù)據(jù)加解密技術(shù)（Encryption&Decryption）密鑰管理技術(shù)(KeyManagement)。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)93.3VPN的核心技術(shù)——隧道技術(shù)3.3.1隧道技術(shù)的基本原理3.3.2隧道協(xié)議隧道是由隧道協(xié)議形成的，目前常用的VPN隧道協(xié)議有如下4種。PPTP協(xié)議、L2TP協(xié)議、IPSec協(xié)議和SSTP協(xié)議。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)101、PPTP協(xié)議PPTP(PointtoPointTunnelingProtocol，第二層點到點隧道協(xié)議）。提供PPTP客戶機和PPTP服務器之間的加密通信。PPTP客戶機是指運行了該協(xié)議的PC，如啟動該協(xié)議的WindowsXP。PPTP可看作是PPP協(xié)議的一種擴展，它允許對IP、IPX或NetBEUI等不同的數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡或公用互聯(lián)網(wǎng)絡發(fā)送。遠端用戶能夠透過任何支持PPTP的ISP服務訪問企業(yè)的專用網(wǎng)絡。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)112、L2TP協(xié)議L2TP協(xié)議(Layer2TunnelingProtocol，第二層隧道協(xié)議),是一種工業(yè)標準的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似。L2TP協(xié)議可以讓用戶從客戶端或訪問服務器端發(fā)起連接。L2TP是把鏈路層PPP幀封裝在公共網(wǎng)絡設施，如IP、ATM、幀中繼中進行隧道傳輸?shù)姆庋b。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP可以使物理上連接到不同NAS的PPP鏈路，在邏輯上的終結(jié)點為同一個物理設備，L2TP擴展了PPP連接。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)123、IPSec協(xié)議IPSec協(xié)議（IPSecurity）是IETF制定的一系列協(xié)議，以保證在Internet上傳送數(shù)據(jù)的安全保密性。IPSec協(xié)議主要功能是為IP通信提供加密和認證，為IP網(wǎng)絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性IPSEC，是第三層的協(xié)議標準，支持IP網(wǎng)絡上的數(shù)據(jù)的安全傳輸。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)13IPSec有兩種工作模式：一種是隧道模式，另一種是傳輸模式。傳輸模式只對IP數(shù)據(jù)包的有效負載進行加密或認證，此時繼續(xù)使用原始IP頭部。傳輸模式對IP包的路由支持較好。隧道模式對整個IP數(shù)據(jù)包進行加密或認證。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)14IPSec隧道模式有以下局限。（1）只能支持IP數(shù)據(jù)流（2）工作在IP棧（IPstack

）的底層，因此應用程序和高層協(xié)議可以繼承IPSEC的行為。（3）由一個安全策略（一整套過濾機制）進行控制。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)154、SSTP協(xié)議SSTP（SecureSocketTunnelingProtocol）協(xié)議是一種新的隧道協(xié)議，在TCP端口443上使用HTTPS協(xié)議，使通信可以通過可能阻止PPTP通信和L2TP/IPSec通信的防火墻和Web代理。SSTP提供了一種機制，用于封裝通過HTTPS協(xié)議的安全套接字層（SSL）通道傳輸?shù)腜PP通信。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)165、隧道協(xié)議的選擇在PPTP、L2TP/IPSec和SSTP遠程訪問VPN解決方案之間進行選擇時，需要考慮以下事項。1）PPTP可以用于各種Microsoft客戶端，包括Windows2000、WindowsXP、WindowsVista和WindowsServer2008。與L2TP/IPSec不同，PPTP不要求使用公鑰結(jié)構(gòu)（PKI）。基于PPTP的VPN連接不提供數(shù)據(jù)完整性（保證數(shù)據(jù)在傳輸中未更改）和數(shù)據(jù)源身份驗證（保證數(shù)據(jù)由經(jīng)過授權(quán)的用戶發(fā)送）。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)172）L2TP只能用于運行Windows2000、WindowsXP和WindowsVista的客戶端計算機。L2TP支持將計算機證書或預共享密鑰作為IPSec的身份驗證方法。計算機證書身份驗證是建議的身份驗證方法，要求使用PKI向VPN服務器和所有VPN客戶端頒發(fā)計算機證書。L2TP/IPSecVPN連接使用IPSec來提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)身份驗證。與PPTP和SSTP不同，L2TP/IPSec啟用IPSec層的計算機身份驗證和PPP層的用戶級身份驗證。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)183）SSTP只能用于WindowsVistaServicePack1(SP1)、Windows7或WindowsServer2008的客戶端計算機。SSTPVPN連接使用SSL來提供數(shù)據(jù)保密性、數(shù)據(jù)完整性和數(shù)據(jù)身份驗證。4）3種隧道類型均在網(wǎng)絡協(xié)議堆棧頂部傳送PPP幀。因此，三種隧道類型的PPP常用功能、如身份驗證方案、Internet協(xié)議第4版（IPV4）協(xié)商和Internet協(xié)議第6版（IPv）協(xié)商以及網(wǎng)絡訪問保護（NAP），保持相同。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)193.4常用的VPN實現(xiàn)技術(shù)用戶可以根據(jù)自己的情況選擇VPN實現(xiàn)技術(shù)，如：遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)(IntranetVPN)和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）。這3種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)所構(gòu)成的Extranet相對應。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)203.4.1用于連接分支機構(gòu)的VPN(IntranetVPN)利用Internet線路保證網(wǎng)絡互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過使用專用連接共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。企業(yè)有與專用網(wǎng)絡相同政策，包括安全服務、質(zhì)量（QualityofService，QoS）、可管理性和可靠性。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)21兩種實現(xiàn)IntranetVPN的方式:(1)專線入網(wǎng)實現(xiàn)IntranetVPN。采用這種方法其實不需要使用價格昂貴的長距離專線，分支機構(gòu)和公司總部的路由器可以各自使用本地的專線通過本地的ISP接入Internet。VPN軟件使用與本地ISP建立的連接和Internet網(wǎng)絡在分支機構(gòu)和企業(yè)總部的路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡。(2)撥號入網(wǎng)實現(xiàn)IntranetVPN。不同于傳統(tǒng)的使用連接分支機構(gòu)路由器的撥打長途電話連接企業(yè)NAS的方式，分支機構(gòu)端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立的連接在分支機構(gòu)和企業(yè)端路由器之間創(chuàng)建一個跨越Internet的虛擬專用網(wǎng)絡。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)22IntranetVPN技術(shù)對用戶的吸引力在于如下方面。（1）減少WAN帶寬的費用。（2）能使用靈活的拓撲結(jié)構(gòu)，包括全網(wǎng)絡連接。（3）新的站點能更快、更容易地被連接。（4）通過設備供應商WAN的連接冗余，可以延長網(wǎng)絡的可用時間。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)233.4.2用于連接業(yè)務伙伴或供應商的VPN(ExtranetVPN)與IntranetVPN不同，ExtranetVPN是兩個互不信任的網(wǎng)絡的連接。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內(nèi)部網(wǎng)絡的安全。ExtranetVPN中，實際的數(shù)據(jù)傳送是雙方各自通過本地ISP接入Internet，數(shù)據(jù)從本企業(yè)網(wǎng)絡經(jīng)由ISP再通過Internet傳到對方網(wǎng)絡。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)24ExtranetVPN連接時，根據(jù)不同的安全策略，客戶方不但要向保護制造商內(nèi)部網(wǎng)絡的防火墻(路由器)認證其身份，而且需向連接的服務器認證自己的身份。完成了身份認證后，就可以建立一個安全的通道，雙方可以進行加密通信。加密和解密工作在認證設備(如服務器)和被認證設備(客戶機)上完成，而不像IntranetVPN那樣在防火墻(路由器)上完成。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)25總之，ExtranetVPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡的相同政策，包括安全服務、質(zhì)量、可管理性和可靠性。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)263.4.3用于遠程訪問的VPN(AccessVPN)如果企業(yè)的內(nèi)部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用AccessVPN。這里所說的移動用戶是指出差在外的不固定地址的員工。VPN允許身處異地及海外的企業(yè)員工的個人計算機系統(tǒng)使用Internet等公共互聯(lián)網(wǎng)絡的路由基礎設施，以安全的方式與位于企業(yè)內(nèi)部網(wǎng)的服務器建立連接，即AccessVPN。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)27AccessVPN通過一個擁有與專用網(wǎng)絡相同策略的共享基礎設施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問。AccessVPN能使用戶隨時隨地以其所需的方式訪問企業(yè)資源。AccessVPN包括模擬、撥號、ISDN、數(shù)據(jù)用戶線路（xDSL）、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠程工作者或分支機構(gòu)。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)28AccessVPN有下列特點:(1)動態(tài)特性。(2)訪問權(quán)限。(3)加密和認證。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)29AccessVPN對用戶的吸引力在于如下方面（1）減少用于相關(guān)的調(diào)制解調(diào)器和終端服務設備的資金及費用，簡化網(wǎng)絡。（2）實現(xiàn)本地撥號接入的功能來取代遠距離接入或800電話接入，這樣能顯著降低遠距離通信的費用。（3）極大的可擴展性，簡便地對加入網(wǎng)絡的新用戶進行調(diào)度。（4）遠端驗證撥入用戶服務基于標準，基于策略功能的安全服務。（5）將工作重心從管理和保留動作撥號網(wǎng)絡的工作人員轉(zhuǎn)到公司的核心業(yè)務上來。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)303.4.4內(nèi)部網(wǎng)絡中的VPN在一個企業(yè)內(nèi)部網(wǎng)絡中，可能有一些敏感部門的計算機或局域網(wǎng)絡需要實現(xiàn)特殊的保護。例如，企業(yè)的財務部門與審計部門之間的通信不能讓其他部門介入，并且財務部門與審計部門的網(wǎng)絡連接也必定是受限的。這種應用其實沒有涉及新的技術(shù)，可以把這兩個部門的網(wǎng)絡連接看作是兩個協(xié)作企業(yè)網(wǎng)絡之間的連接，即一個特殊的ExtranetVPN，只是原來所說的兩個企業(yè)的內(nèi)部網(wǎng)絡現(xiàn)在改為部門的局域網(wǎng)絡，連接這兩個部門局域網(wǎng)絡的是企業(yè)的骨干網(wǎng)絡。因為同樣需要在通信雙方之間建立VPN隧道實現(xiàn)保密的通信，所以這時就是在內(nèi)部網(wǎng)絡中實現(xiàn)隧道技術(shù)、用戶認證、加密通信、密鑰管理等。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)313.5虛擬專用網(wǎng)的實現(xiàn)VPN可以通過支持VPN功能的路由器或交換機實現(xiàn)，WindowsServer2000或WindowsServer2003或更高版本都提供了VPN功能。本節(jié)討論如何通過安裝了WindowsServer2003的主機實現(xiàn)VPN功能。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)323.5.1準備工作要實現(xiàn)VPN連接，內(nèi)部網(wǎng)絡中必須有一臺基于WindowsServer2003以上或WindowsServer2000的VPN服務器，VPN服務器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡，另一方面要連接到Internet，這就要求VPN服務器必須擁有一個公共的IP地址。當客戶機通過VPN連接與專用網(wǎng)絡中的計算機進行通信時，先由ISP將所有的數(shù)據(jù)傳送到VPN服務器，然后再由VPN服務器負責將所有的數(shù)據(jù)傳送到目標計算機。在WindowsServer2003中支持兩種類型的VPN技術(shù)。點對點隧道協(xié)議（PPTP）帶有IP協(xié)議安全（IPSec）的第二隧道協(xié)議（L2TP）2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)333.5.2配置VPN服務器下面以一個遠程客戶端與一個公司總部VPN服務器之間的連接為例，介紹VPN的安裝設置步驟首先，需要公司總部的計算機（以下稱為“VPN服務器”）和分公司的計算機（以下稱為“VPN客戶機”）均應能訪問Internet，并且VPN服務器擁有一個Internet上合法的IP地址（即公網(wǎng)IP）。然后，當VPN客戶機通過虛擬撥號和VPN服務器連接成功，VPN客戶機就成了VPN服務器所在局域網(wǎng)的一部分。在此局域網(wǎng)內(nèi)，任意一臺計算機均可以根據(jù)權(quán)限訪問其他計算機上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)34（1）依次單擊【開始】->【程序】->【管理工具】->【路由和遠程訪問】，打開“路由和遠程訪問”控制臺，如圖3-6所示2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)35圖3-6路由和遠程訪問控制臺（2）在左邊“路由和遠程訪問”欄中右擊“X3650(本地)”，選擇“配置并啟用路由和遠程訪問”，打開“路由和遠程訪問安裝向?qū)А贝翱?，在“歡迎使用路由和遠程訪問安裝向?qū)А敝袥]有可以設置的選項，直接單擊“下一步”按鈕，出現(xiàn)“配置”對話框，如圖3-7所示。（3）在圖3-7中選擇“虛擬專用網(wǎng)絡（VPN）訪問和NAT”，然后單擊“下一步按鈕。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)362023/2/5第3章虛擬專用網(wǎng)絡技術(shù)37圖3-7選擇虛擬專用網(wǎng)絡（VPN）訪問和NAT（4）在“路由和遠程訪問服務器安裝向?qū)А钡摹癡PN連接”中選擇與Internet相連的接口，本例為“本地連接”。然后單擊“下一步”按鈕。5）在出現(xiàn)的對話框“IP地址指定”對話框中需要選擇為遠程VPN客戶端指定IP地址的方法。如果本機配置了DHCP服務器，可以選為“自動”，由本機給客戶機分配IP地址；若本機沒有配置DHCP服務器，則選為“來自一個指定的地址范圍”，本例選擇“來自一個指定的地址范圍”，如圖3-8，然后單擊“下一步”按鈕。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)382023/2/5第3章虛擬專用網(wǎng)絡技術(shù)39圖3-8選擇如何給客戶端配置IP地址（6）在“地址范圍指定”對話框中可以為VPN客戶機指定所分配的IP地址范圍。例如，打算分配的IP地址范圍為“0～9”，則單擊“新建”按鈕打開“新建地址范圍”窗口，輸入IP地址范圍后單擊“確定”按鈕，如圖3-9所示，然后單擊“下一步”按鈕。為了確保連接后的VPN網(wǎng)絡能同VPN服務器原有局域網(wǎng)正常通信，它們必須同VPN服務器的IP地址處在同一個網(wǎng)段中。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)402023/2/5第3章虛擬專用網(wǎng)絡技術(shù)41圖3-9輸入IP地址范圍圖3-10管理多個遠程訪問服務器（7）在“管理多個遠程訪問服務器”對話框中設置是否集中管理多個VPN服務器。選擇“否，使用路由和遠程訪問來對連接請求進行身份驗證”，如圖3-10所示，然后單擊“下一步”按鈕。（8）出現(xiàn)“正在完成路由和遠程訪問服務器安裝向?qū)印焙?，單擊“完成”按鈕結(jié)束VPN服務器配置。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)423.5.3賦予用戶撥入權(quán)限在默認狀態(tài)下，VPN服務器拒絕包括Administrator用戶在內(nèi)的所有用戶撥入，因此需要為相應用戶賦予撥入權(quán)限。（1）右擊“我的電腦”，在快捷菜單中選擇“管理”，打開“計算機管理”控制臺，如圖3-11所示。2023/2/5圖3-11計算機管理窗口43（2）創(chuàng)建用戶，在圖3-11中左側(cè)“本地用戶和組”中右擊“用戶”，在快捷菜單中選擇“新建用戶”，出現(xiàn)“新用戶”對話框。（3）在

“用戶名”、“全名”、“密碼”和“確認密碼”文本框內(nèi)分別輸入相應信息，單擊“創(chuàng)建”按鈕，然后單擊“關(guān)閉”按鈕。（4）依次展開“本地用戶和組”|“用戶”，在右邊窗格中右擊“shenyuan”，快捷菜單中選擇“屬性”，打開“shenyuan屬性”對話框，如圖3-12所示。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)44（5）單擊“撥入”標簽，在“遠程訪問權(quán)限（撥入或VPN）”下選擇“允許訪問”，然后單擊“確定”按鈕，返回“計算機管理”控制臺，即結(jié)束了賦予“shenyuan”用戶撥入權(quán)限的工作。2023/2/5第3章虛擬專用網(wǎng)絡技術(shù)45圖3-12用戶屬性對話框3.5.4配置VPN客戶機客戶機系統(tǒng)以Windows2003為例，用戶可在自己機器上配置VPN客戶機（1）右擊“網(wǎng)上鄰居”，選擇“屬性”，打開“網(wǎng)絡和撥號連接”窗口。（2）雙擊“網(wǎng)絡連接”窗口中“新建連接向?qū)?/p>