用VPN远程接入NT网 罗振宇 2000年 第11期   通过对Win98进行简单地设置,以拨号方式远程接入NT局域网,可以在同一城市里,比如家中,随时方便地共享办公室的计算机资源。而有关的设置,相信大家已经十分熟悉。不过,这种远程拨号接入方式,有两个致命的弱点,一是安全性很差,二是与NT局域网不在同一城市时,需要拨打长途。而我们只要利用NT中现成的VPN(虚拟专用网络)软件功能,不需要增加任何投资,就可以实现安全地远程拨号接入NT局域网。   VPN是一门网络新技术,它无需专用的长途线路,通过Internet网或其它公网,即可在异地的两台计算机或局域网之间建立一个安全的隧道连接,达到安全访问NT局域网的目的。移动用户也可拨入Internet网,再通过VPN安全地访问自己的内部NT局域网。   微软公司引入了点对点通道协议(Point-to-Point Tunneling Protocol PPTP)支持VPN。PPTP在NT环境下利用RAS和PPP来实现VPN。PPTP允许远程用户拨号到本地的ISP,然后通过一个安全的隧道来访问远程的企业内部网络。PPTP为NT的远程访问服务(RAS)连接进行协议封装和数据加密,以提高安全性。另外PPTP允许VPN服务器对于接入的客户进行身份验证。PPTP可以支持多种协议,如IP、IPX、NetBEUI。微软公司的网络操作系统Windows NT Server 4.0支持基于PPTP的VPN,其主流桌面操作系统Win98和Windows NT Workstation 4.0内置了PPTP客户端软件,Win95通过升级也可支持此客户端软件。   NT下的VPN由PPTP客户机和PPTP服务器构成。在NT局域网中,PPTP服务器是一台运行Windows NT Server的网络服务器,作为VPN的网关,接收来自因特网的PPTP封装报文,解析出相应内部网络上的机器名和地址,并转发给指定的内部网客户。一个异地的PPTP客户机首先通过PPP协议拨入当地的ISP,建立与因特网的连接,然后再通过PPTP方式呼叫远程已接入因特网的企业网络的PPTP服务器,通过安全性验证后即建立起VPN隧道连接。   NT下的VPN配置需在NT局域网的PPTP服务器和远程的PPTP用户计算机两方进行配置。首先必须安装和配置NT Server 4.0下的PPTP服务器。其过程如下:   NT局域网中用于PPTP的服务器,必须已经安装NT Server 4.0,正确配置TCP/IP网络协议,并有Internet上的一个合法IP地址,而且可以正确连入Internet。然后可以按顺序安装点对点通道协议(PPTP)并配置VPN用户。 #1  1.安装点对点通道协议(PPTP)。   按以下步骤在一台运行Windows NT Server 4.0的服务器上安装PPTP协议:   1)“开始”→“设置”→“控制面板”,双击“网络”,出现“网络属性”对话框,单击“协议”,再单击“添加”出现“选定网络协议”对话框,选择“点对点通道通信协议”,单击“确定”出现“PPTP设置”对话框;   2)选择需要服务器同时支持的VPN数目,单击“确定”,出现“安装远程访问”对话框;   3)单击“添加”,出现“添加RAS设备”对话框,选择可用的RAS设备,单击“确定”,返回“安装远程访问”对话框;   4)选择一个VPN设备,单击“配置”,出现“配置端口用法”对话框,确保“只能接收”被选中,单击“确定”,返回“安装远程访问”对话框;   5)选择一个VPN设备,单击“网络”,出现“网络配置”对话框,在“允许远程客户运行”选项中只保留“TCP/IP”被选中;单击“TCP/IP”选择框旁边的“配置”,出现“RAS服务器TCP/IP配置”对话框,在此可进行一些TCP/IP方面的配置,如可允许TCP/IP客户访问“整个网络”或“仅限于本地计算机”,对于客户地址分配,可用DHCP或静态地址集等;进行必要的设置后单击“确定”,返回“网络配置”对话框;“加密设置”选项中确保选中“Microsoft加密”,并选中“请求数据加密”,这使所有连接到PPTP服务器的远程客户机将进行基于NT的身份验证;单击“确定”,返回“安装远程访问”对话框;   6)单击“继续”,完成安装,然后重启NT。 #1  2.配置VPN用户   本过程添加要通过VPN访问NT局域网的用户,并给予用户拨入的权限。   1)单击“开始”→“程序”→“管理工具”→“域用户管理器”,出现“域用户管理器”窗口;   2)单击选单项“用户”→“新用户”,出现“新用户”对话框,设置用户名、密码及所属的组,然后单击“拨入”出现“拨入信息”对话框,选中“给予用户拨入的权限”,单击“确定”,返回“新用户”对话框,最后单击“添加”,从而添加一个新用户。重复上述步骤添加所有将要通过VPN访问NT局域网的用户。   至此,PPTP服务器方的配置完成。   而普通拨号用户,只要对用户自己的Win98安装和配置PPTP协议,就可以通过VPN方式安全可靠地远程拨号接入NT局域网了。而且异地接入也不需要拨打长途了。在Win98下的PPTP客户机需要正确安装TCP/IP协议和拨号网络,并能通过拨号连入Internet,然后可以安装MS虚拟专用网络适配器。   首先,单击“开始”→“设置”→“控制面板”,双击“网络”,出现“网络”对话框,单击“添加”出现“选择网络组件类型”对话框,选中“适配器”,然后单击“添加”,出现“选择网络适配器”对话框,选中“Microsoft虚拟专用网络适配器”后,单击“确定”,返回“网络”对话框,单击“确定”以完成安装,然后重启计算机。   在重新启计算机后,可以开始创建到ISP和VPN的拨号连接。而要配置Win98下的PPTP客户机,必须建立两个拨号网络连接。一个用于连接ISP,另一个用于连接远程NT局域网的PPTP服务器。   1)建立到ISP的拨号网络连接。由于比较简单,就不再介绍了。   2)建立到NT局域网的拨号网络连接。   双击“我的电脑”,双击“拨号网络”,然后单击“创建新的连接”。在“选择设备”中,单击“Microsoft VPN Adapter”,然后单击“下一步”。在“主机名或IP地址”中,键入待连接网络的PPTP服务器的名称或IP地址。单击“下一步”,然后单击“完成”。   当以上工作都完成后,就可以安全地通过拨号连接访问远程的NT局域网了。首先双击“我的电脑”,然后双击“拨号网络”。双击到ISP的连接,键入ISP分配的用户名和密码,然后单击“连接”。成功登录到Internet账号后,单击指向NT局域网的连接,键入在域名管理器中设置的用户名和密码,然后单击“连接”,即可连入远程的NT局域网。   为了安全,应使PPTP服务器位于NT局域网的防火墙之后,使发往PPTP服务器数据能通过防火墙加以过滤,避免服务器受到黑客的直接攻击。另外应启用服务器上的TCP端口过滤和PPTP过滤功能以增强安全性。