随着网络技术的不断发展和成熟，局域网和互联网的建设日趋完善，应用也更加普及。我们这里所要介绍的VPN技术可以把局域网和互联网两种不同的网络结构结合在一起，形成一个专用的、安全性高的广域网络。虽然早在VPN技术出现之前，广域网就已经被人们所采用，但是由于那时人们只能租用专门的长途线路连接分散在各地的分支机构，成本非常高，只有少数的大企业才有能力建立广域网。但是如今，借助于象WindowsNT或Windows98这样的操作系统所自带的VPN支持软件，任何一个企业都可以基于公用互联网建立自己的广域网，在充分享受网络所带来的全新的通讯体验之时，大大节省了不必要的开支。与传统的广域网技术相比，VPN除了具有明显的成本优势之外，在网络的安全性能上也有了很大的改善。VPN的配置过程相对来说较为简单，本文将会逐一介绍，希望能够对那些计划建立企业VPN网络的用户有所助益。

安装VPN实现广域网连接

如果用户希望使用VPN组建广域网的话，必须在网络连接的每一端各自指定一台WindowsNT服务器作为VPN服务器。每一台VPN服务器都需要安装PPTP协议，如果用户的机器中不包含该协议的话，可以使用Windows NT服务器的自带光盘进行安装。安装PPTP协议的过程中，RAS服务器也会被同时安装到用户的机器中。安装过程结束之后，弹出对话框询问需要安装的虚拟专用网络的数目。该数值表示服务器可以处理的同时网络连接数，用户可以根据网络的实际情况，在此输入将要连接的远程局域网的数量。接下来出现添加RAS设备对话框，单击确定就会在RAS服务器中加入一个新的VPN端口。用户可以重复上述过程直到所有的VPN连接都出现在远程接入设置窗口为止（如图所示）。



添加完所有的设备之后，用户必须配置每一个连接端口的使用模式。默认情况下，RAS被安装用来作为拨号客户端的接入服务器。但是我们需要使用VPN连接一个或多个远程局域网络而非个人用户，所以必须重新设置端口模式。用户可以单击Configure按钮，进入端口使用设置窗口（如图所示）。


连接端口的缺省使用模式为ReceiveCallsOnly，即只能接收客户端的呼叫，我们需要将其改为Dial OutAndReceiveCalls，即同时支持拨入和拨出信号，这样就可以实现广域网络之间的双向通讯。重复该过程，直到配置完成所有VPN端口。

下一步点击Network按钮进入网络配置窗口。默认情况下，RAS支持VPN网络使用TCP/IP和NetBEUI协议。如果用户的网络使用NetWare，则需要选择启动IPX协议支持功能。如果需要向远程用户开放网络，并且网络没有使用WINS或DNS进行域名解析的话，则需要保留NetBEUI选项（如图所示）。



这里还有非常重要的一点就是一定要选中RequireMicrosoftEncryptedAuthentication按钮，这样便可以要求每一个用户在进入和使用网络资源之前，提交登录信息。除了必要的用户名称和口令之外，访问者还需要拥有拨入服务器的专门许可。用户可以在Windows NT系统的用户管理器中向不同的访问者授予不同的许可权限。

重新启动服务器之后，用户还需要最后再对防火墙或代理服务器进行设置。如果用户的网络使用了防火墙或代理服务器等安全防范措施，必须为VPN数据流开放专门的通路。一般情况下，VPN通讯使用1723端口，但是几乎所有的代理服务器和绝大多数的防火墙在默认配置下都会屏蔽掉该端口。如果用户的网络使用代理服务器，可以在开放端口列表中加入预定义PPTP接收过滤器开启PPTP端口。上述设置可以通过WinProxy属性页面的安全按钮完成。如果用户使用网络防火墙，则需要参看相应的技术说明以开放1723端口。

解决问题

用户在广域网络的两端都完成上述所有安装和配置过程之后，可以对网络的连通性进行测试。建议用户首先测试两台VPN服务器之间能否正常通讯，然后再进一步测试两个局域网是否能够连通。如果用户在网络测试过程中遇到问题，可以考虑以下几个方面的因素：

如果两台VPN服务器之间无法建立连接，应当查看是否IP地址设置正确，通讯端口是否同时支持拨入和拨出，网络协议是否配置正确，防火墙是否阻挡了PPTP通讯，以及不同的系统域之间是否建立起信任关系，或者远程局域网是否具有本地用户的帐号信息等等。

如果本地局域网的机器无法连接远程VPN服务器，则应当查看路由表是否设置正确，以及远程局域网是否具有本地网络用户的登录信息等等。


安装VPN实现远程PC连接

使用VPN连接远程PC的服务端设置过程与我们在上文所讲的创建广域网的过程基本相同，只是在以下两个方面略有差异：

首先，创建VPN的端口数应当与网络实时远程连接的数量相关，该数字一般要大于局域网之间的连接数量。

其次，每一个VPN端口都应当配置成仅能接收拨入信号。

根据客户端所采用的不同的操作系统，VPN的设置过程各不相同。如果客户端的机器使用NTServer或NTWorkstation的话，配置方式与我们上文所讲的基本相同，只是在RAS设备的设置过程中，端口的使用模式应当改为信号拨出而非信号接入。

如果用户计划使用Windows9x操作系统组建客户端VPN网络的话，可以利用Windows95和Windows 98操作系统所自带的拨号网络（DUN）访问远程网络系统。为了能够正常建立网络连接，用户需要在客户端安装两个拨号适配器。其中，一个用于连接本地ISP获取Internet接入；另一个用于连接远程VPN服务器。完成上述安装之后，进入拨号网络文件夹，点击“建立新连接”图标，弹出连接创建向导。在第一个设置窗口中选择Microsoft VPNAdapter作为连接设备，然后单击下一步。在随后出现的窗口中，输入必要的网络地址，然后单击下一步完成整个配置过程（如图所示）。



现在，用户就可以检测VPN网络的设置是否正确。首先，象平时一样连接本地ISP。在获取网络接入之后，使用新的适配器连接远程VPN服务器。如果远端的RAS服务器采用了安全机制，用户将会被提示输入网络登录名称和口令。经过正确验证之后，用户就可以通过VPN与远端的局域网建立连接，从而访问整个网络资源。

使用局限

关于使用VPN实现远程办公有一点需要说明。如果远程局域网使用防火墙或代理服务器限制Internet访问的话，客户端的计算机在VPN网络连接过程中无法访问互联网。这是因为用户的计算机把自己视做所连接远程局域网的一部分，与远程网络设备一样，受到相同网络规则的制约。用户面临两种选择，要么修改客户端计算机的设置以便可以在防火墙之后正常工作，要么在需要连接远程局域网时只使用VPN网络。

上述两种选择方式各有其不足之处。其中，第一种方式将会迫使用户拨入远程局域网以获得Internet接入。同时，该方式还会使整个网络性能受到严重的影响。因为每一个数据包在被传送到用户客户端之前，都必须经过加密操作，从而降低了可用带宽。另一种方式则要求用户在Internet浏览和远程办公两者之间只能取一。当用户在远程访问局域网的过程中需要接入互联网时，必须首先关闭VPN连接。


网络安全

为了保证VPN网络的安全性，业界厂商制定了各种不同的安全防范措施。所有通过VPN连接传送的数据都经过加密，以防止被第三方意外获取。此外，早期PPTP协议的一些潜在问题都逐步得到了解决和改善，从而使数据的破解过程更加复杂。

在我们前文介绍的网络配置对话框中有一个RequireDataEncryption选择框。选中该选项将会在VPN加密之前，对每一个数据包进行加密，从而使数据信息拥有两层加密保护。如果用户使用高位数密钥进行数据加密的话，破解过程将会更加复杂。默认情况下，WindowsNT和Windows98操作系统都使用56位密钥进行数据加密