Windows server 2003 *** 配置實例

先來了解一下***，***（Virtual private Network,虛擬專用網）是穿越專用網絡或公用網絡的、安全的、點對點連接的網絡。***客戶端使用特定的隧道協議，與***服務器建立虛擬連接。

***最佳範例就是：***客戶端使用***連接到與Intenet相連的***服務器上。它的工作是***服務器應答驗證***客戶端的身份，如果驗證通過，內部網絡與***客戶端傳送數據。***既然是虛擬的專用網，那麼在***服務器與客戶端之間建立的是一種邏輯，非直接的連接，可以跟撥號網絡比較來理解。***一般都要保證數據的安全性，必須對連接進行加密。

概括一下：目前常見的***應用包括站點到站點（Site to Site)***和遠程訪問（Remote Access)***兩種。前者主要用於一個組織的總部網絡與分支機構網絡之間的連接或者一個組織的網絡與其它可信的合作伙伴的網絡之間的連接。後者主要用於遠程或移動用戶的遠程訪問連接。

下面來看下遠程訪問***的構成：

先來看看各個角色的功能：

（1）***服務器：這個當然就是用於接收並響應***客戶端的連接請求，並建立連接。它可以是專用的***服務器設備，也可以是運行***服務的主機。在這裏當然是屬於後一種了。

（2）***客戶端：***客戶端用於發起連接***服務器的請求，通常爲***連接組件的主機，這個組件當然就是撥號的組件，要支持***協議。

（3）隧道協議。***有它自己的特殊協議，它的實現必須依賴於隧道協議。通過隧道協議進行特殊的封裝，還可以提供加密，認證等等的安全服務。當然服務器和客戶端都必須支持相同的協議。目前最常用的就是PPTP、L2TP和IPSEC。

PPTP：（point-to-point tunneling protocol點對點隧道協議）是PPP的擴展。協調使用PPP的身份認證、壓縮和加密機制，它支持在IP網絡上建立多協議的***連接，可以爲使用PSTN和ISDN的用戶提供***支持。PPTP一般是通過MS-CHAP，MS-CHAPv2或EAP-TLS身份認證過程中生成的密鑰，對信息進行加密。加密採用MPPE(Microsoft Point-to-Point Encryption,Microsoft 點對點加密）算法，密鑰長度可以選用較弱的40位或強度較大的128位。

L2TP：（Layet 2 Tunneling Protocol,第二層隧道協議）是基於RFC的標準隧道協議。但它與PPTP不同，L2TP不利用MPPE進行加密，而是依賴於IPSec。L2TP和IPSec的組合爲L2TP/IPSec。通過IPSec在IKE協商進程中生成的加密密鑰，L2TP可使用DES或3DES對信息進行加密。

IPSec:(IP Security,IP安全）協議是IETF開發的IP網絡安全標準。它包括IKE、AH和ESP等等協議。

（4）Intenet連接：***服務器和客戶端都必須接入Internet，並且能夠通過Internet進行正常通信。

好，看了原理後就來部署一個實例：

登錄上要配置***服務的服務器。

打於路由與遠程訪問窗口

點主機右鍵。選“配置並啓用路由和遠程訪問”

便出現安裝嚮導，然後點下一步。

這裏選第一個，然後點下一步。

選***。然後點下一步。

可以看到這裏有兩個網絡接口，這例子是建立雙網卡的***。所以出現兩個，其中Internet是連接外部網絡，LAN是連接內部網絡，在圖中也可以清楚地看到。但這裏不選“通過設置靜態數據包篩選器來對選擇接口進行保護”爲什麼呢？如果選中它是通過設置數據包篩選器來限制與INTERNET接呂的通信，阻止不需要的連接。但這裏的例子遠程訪問***客戶端的位置相對不固定，而數據包篩選器是靜態的，會給***的實現帶來不便。