教你如何组建VPN（虚拟专网）网络

***(Virtual Private Network，虚拟专用网络)是专用网络的延伸，它包含了类似 Internet

　的共享或公共网络连接。通过***可以模拟点对点专用连接的方式通过共享或公共网络在两台计算机之间发送数据。它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此广泛地受到网络管理员们的关注。

　一、如何配置***服务器

　1 开始配置：要想让Win2K计算机能接受客户机的***拨入，必须对***服务器进行配置。在左边窗口中选中"SERVER"(服务器名)，在其上单击右键，选"配置并启用路由和远程访问"(图1)。

　2如果以前已经配置过这台服务器，现在需要重新开始，则在

　"SERVER"(服务器名)上单击右键，选"禁用路由和远程访问"，即可停止此服务，以便重新配置。

　3 当进入配置向导之后，在"公共设置"中，点选中"虚拟专用网络(***)服务器"，以便让用户能通过公共网络(比如Internet)来访问此服务器。

　4 一般来说，在"远程客户协议"的对话框中，至少应该已经有了TCP/IP协议，则只需直接点选"是，所有可用的协议都在列表上"，再按"下一步"即可。

　5之后系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)，再按"下一步"。

　6接着在回答"您想如何对远程客户机分配IP地址"的询问时，除非你已在服务器端安装好了DHCP服务器，否则请在此处选"来自一个指定的IP地址范围"(推荐)。

　7然后再根据提示输入你要分配给客户端使用的起始IP地址，"添加"进列表中，比如此处为"192168080～192168090"(请注意，此IP地址范围要同服务器本身的IP地址处在同一个网段中，即前面的"1921680"部分一定要相同！)。

　8 最后再选"不，我现在不想设置此服务器使用RADIUS"即可完成最后的设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口。当它消失之后，打开"管理工具"中的"服务"，即可以看到"Routing and Remote Access"(路由和远程访问)项"自动"处于"已启动"状态了！

　二、如何赋予用户拨入的权限

　1 想要给一个用户赋予拨入到此服务器的权限(默认是任何用户均被拒绝拨入到服务器上)，需打开管理工具中的用户管理器(在"计算机管理"项或"Active

　Directory用户和计算机"中)，选中所需要的用户，在其上单击右键，选"属性"。

　2 在该用户属性窗口中选"拨入"项，然后点击"允许访问"项，再按"确定"即可完成赋予此用户拨入权限的工作。

1 ***服务器的安装与配置策略

基于ISA Server的***服务器部署在网络边缘。即Internet与局域网内部核心层的交汇处。通常采用双网卡的服务器架构，一端连接Internet公网交换机，一端连接 内网核心层交换机。

***服务器的安装和配置主要包括以下几个步骤：

1、构建一个安全稳定的***服务器操作系统平台。 为了确保***运行的安全、稳定和高效，建议采用WindowsServer2003企业版作 为操作系统平台。

配置高性能的多核心CPU处理器．、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性，在线升级和安装全部补丁程序。修复已知的各种漏洞。安装防病毒软件，防止感染计算机病毒、各种木马程序和有害插件等。

关闭默认的硬盘共享属性、禁用不必要的网络服务端。如关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户Administrator改名并设置复杂的密码，强制采用强密码策略，以减小词典攻击的可能性。

取消Microsoft网络的文件和打印机共享，仅保留Internet协议(TCP／IP)等，从整体上降 低网络入侵的风险。

2、安装ISA Server软件并启用***服务器。 由于教职工在家中或者外地访问校园网内部资源主要采取“远程访问的***连接”方式，所以根据网络架构，将连接Internet 公网交换机的网卡标识为WAN。

连接内部核心交换机的网卡标识为LAN，并配置网络参数。其中LAN口网卡不必设置默认网关和 DNS服务器地址，以防发生路由混淆。2块网卡的参数配置。

选用ISA Server2006标准版，按照系统推荐的方式默认安装。指定LAN口网卡 表1 标识ISA内部网络。ISA Server安装完成后，重新启动操作系统。

默认状态下ISA Server的***功能是禁用的，首先启用***服务器并且做相关配置。进入ISA主界面，在“***客户端任务”中，启用“***客户端访问属性。主要设置2个选项，即服务器；“常规”一栏中的“***客户端访问”．设置允许的最大***客户端数量。

如设置200 个***客户的同时连接数。在“协议”一栏中，启用“可用于远程访问连接的隧道协议”，PPTP为远程访问提供一个安全的连接方式， 即“启用TCP/IP协议”。其它两个栏目(组、用户映射)保留默认设置即可。

在虚拟专用网络(***)属性中，点击“远程访问***客户端 连接”，选择客户端可以从中启动到***服务器的连接网络为“外部”。在地址分配中，选择IP静态地址池，用于ISA Server服务器 通过DHCP方式为***拨入用户动态分配IP地址。

由于上述指定了200个***客户同时连接数，同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复。因此设置l0．0．0．1至10．0．0．200的A类IP地址池。

在“身份验证”栏目中，选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕，点击“应用”保存修改的参数。

由于上述指定了200个***客户同时连接数，同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复．因此设置l0．0．0．1至10．0．0．200的A类IP地址池。

在“身份验证”栏目中，选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕，点击“应用”保存修改的参数。

3、 建立防火墙策略与***远程访问规则。 当ISA服务器处理网络数据传输请求时，首先严格检查网络规则和防火墙策略，以判断网络传输的合法性。ISA Server的多网络访问功能可以轻松设置网络间的访问规则，必须仔细规划防火墙策略与***远程访问规则，才能实现安全的***访问功能。

win7 *** 的 PPTP与IKEv2，设置方法：

1证书安装好后，开始配置ikev2的连接方式，具体步骤与pptp的连接试差不多，只是在选择协议时要选择ikev2。打开“控制面板”->“网络和Internet”->“网络和共享中心”，在出现的面板点击“设置新的连接或网络”。

2选择“连接到工作区”后，并点击“下一步”。

3 选择“否，创建新连接”，并点击下一步。

4 选择“使用我的Internet连接(***)”并点击。

5 在Internet地址中输入支持IKEV2协议的IP地址，需要用户登陆海盗船***官网会员中心，查看线路列表中所显示的IP地址(必须要能支持ikev2的哟)，并勾选“现在不连接，仅进行设置以便稍后连接”，点击”下一步“。

6 此处输入在官网注册的用户名和密码，并勾选“记住此密码”，点击“创建”按钮。

7 直接点击“关闭”，不要点击“立即连接”，因为还没有配置好。

8 回到“网络与共享中心”，点击“更改适配器设置”。

9鼠标右键选择刚刚创建好的连接，点击“属性”。

10 在“安全”选项中，***类型选择“IKEv2”，数据加密选择“需要加密(如服务器拒绝将断开连接)”，身份验证选择“使用可扩展的身份验证协议”和“Microsoft 安全密码(EAP-MSCHAP v2)(启用加密)”，点击“确定”，就可双击连接，可正常连接，显示成功时表示连接见效。

11然后到电脑桌面右下角连接刚创建好的IKEV2连接。

　　这是一个简短的教程，目的是为了快速搭建一个可用的***，本文并不涉及有关***的正常使用内容。本简短教程基于以下硬件条件：

　　一台安装了Debian GNU/Linux 50的VPS。

　　当然理论上所有可以安装pptpd包的nix系统都可以作为主机，教程中安装方式是基于Debian的apt-get命令，其他发行版请自行对照使用。

　　这台VPS的物理位置是Fremont， CA。

　　物理位置作为***这个应用本身并不重要，在这里提出只是多此一举。

　　安装服务器端软件

　　# apt-get install pptpd

　　Debian的包管理是所有发行版里最好的，所以这条命令打完就安装完毕了我们的pptp服务器端程序。

　　配置IP地址范围

　　编辑/etc/pptpdconf，在最后添加如下地址：

　　localip 19216801remoteip 1921680234-238,1921680245

　　这两句设置了当外部计算机通过pptp联接到***后所能拿到的ip地址范围和服务器的ip地址设置。

　　增加一个用户

　　编辑/etc/ppp/chap-secrets，在下面增加类似的条目：

　　username pptpd password

　　上面内容很好理解，最后那个星号是说允许从任何IP地址联接，如果你想单独设定IP地址也可以。

　　重启pptpd服务

　　# /etc/initd/pptpd restar

　　理论上到这里一个***就已经搭建完毕了。无论你用的是Windows还是OSX，或者是iPhone OS，都可以通过建立一个pptp链接来联入这个***。不过你并不能通过这个来上Internet，因为所有的数据都作用于那台pptpd的服务器上，而不会传入拨入的计算机设备上。要上Internet还需要这么干：

　　dns解析支持

　　编辑：/etc/ppp/options，在里面找一下“ms-dns”项目：

　　ms-dns 20867222222 ms-dns 20867220220

　　我填写的是OpenDNS的地址，当然你也可以填写电信的DNS。

　　允许转发

　　编辑/etc/sysctlconf，看一下netipv4ip_forward参数是不是1。

　　netipv4ip_forward=1

　　最后的最后，运行一下这条命令来打开iptables的转发支持：

　　/sbin/iptables -t nat -A POSTROUTING -s 19216800/24 -o eth0 -j MASQUERADE

　　注意：来自@LEMONed的消息，只有Xen的VPS可以搭建pptp，OpenVZ的不行。

　　引用来自@LEMONed的话：

　　因为openvz下只有venet0，没有eth0，而绝大多数的vps都是openvz的，然后绝大多数的openvz vps都没有masqurade，只能搭建open***并且要自签证书什么的，根本不能用pptpd。我为了给iphone搭个***曾经把这个研究透彻了

你要设置本地连接2启用连接共享才行，实际上就是将你的服务器变成了路由器，本地连接2相当于wan口，你需要指定本地连接1做lan口。有可能设置完本地连接1的IP会改成19216801，你再改回原来的就可以。简单的nat上网这样就可以。如果你要做静态nat映射，***等，你可以启用路由与远程访问，通过设置也可以。

首先单击开始-所有程序-管理工具-internet信息服务iis管理器。

出现了如下图对话框在单击网站。

在右击默认网站，在单击新建-网站。

这里在单击下一步。

这里在输入网站名，输入之后在单击下一步。

在选择网站ip地址，在单击下一步。

单击下一步之后在单击yu在单击确定。

确定之后在选择路径，在单击下一步。

这里在选择运行脚本，在单击下一步。

下一步之后可以看到如下图完成了。

如下图可以看到了网站2。如果网站是没有启用，右击启用，如果启用不了，在设置端口号为81就可以了。