专家讲堂：如何创建WindowsVPN服务器

关于VPN客户端的一个常见的错觉是，它们是连接到VPN网络上的企业网络的工作站。这种工作站肯定是VPN客户端，但不是唯一的。VPN可以是计算机或路由器。您的网络需要使用什么类型的VPN客户端实际上取决于您公司的具体需求。

举个例子，如果你刚好有一个与公司办公室缺乏直接连接的分公司，那么你用路由器作为VPN客户端可能是个不错的选择。这样，您就可以通过一个连接将整个分支机构与公司办公室连接起来。没有必要为每台PC单独建立连接。

另一方面，如果您有一些经常出差的员工，并且这些员工需要在旅途中访问公司的网络，那么将这些员工的笔记本电脑设置为VPN客户端可能对您有利。

从技术上讲，任何操作系统都可以用作VPN客户端，只要它支持PPTP、L2TP或IPSec协议。就微软而言，这意味着你可以使用Windows NT 4.0、9X、ME、2000和XP操作系统。虽然所有这些操作系统在技术上都可以用作客户端，但我建议您坚持使用Windows 2000或Windows XP，因为这些操作系统可以支持L2TP和PSec协议。

VPN服务器

VPN服务器可以用作VPN客户端的连接点。从技术上来说，可以使用Windows NT Server 4.0、Windows 2000 Server或Windows Server 2003作为VPN服务器。但是，为了保证安全，我认为你应该使用Windows Server 2003操作系统。

关于VPN服务器的一个误区就是认为VPN服务器的所有工作都是自己完成的。朋友无数次跟我说想买个VPN服务器。他们没有意识到VPN服务器只是必要的组件之一。

VPN服务器本身非常简单。VPN服务器只是一个增强的“Windows 2003 Server”服务器，它执行路由和远程访问服务任务。一旦进入VPN网络的请求被批准，VPN服务器就简单地充当路由器，为VPN客户端提供对专用网络的访问。

互联网安全和加速

VPN服务器的附加要求之一是您应该有一个RADIUS(远程认证拨入用户服务)服务器。身份验证拨入用户服务是Internet服务提供商在用户尝试建立Internet连接时识别用户的一种机制。

之所以需要使用RADIUS服务器，是因为需要某种识别机制来识别通过VPN连接进入你的网络的用户。您的域名控制器无法完成此任务。即使你的域名控制者能够胜任这项任务，也不应该对外公开。

现在的问题是你从哪里得到这个RADIUS服务器？微软有自己版本的RADIUS，叫做“互联网身份服务”，缩写是IAS。Windows Server 2003操作系统包含IAS功能。这是好消息。坏消息是，出于安全原因，ISA不能作为路由和远程访问服务(RRAS)在同一台计算机上运行。即使你能做到这一点，我也不确定在虚拟服务器设置之外是否可能。

防火墙

你的VPN需要的其他组件是一个好的防火墙。确实如此。您的VPN服务器接受来自外界的连接，但这并不意味着外界需要一个具有完全访问权限的VPN服务器。您必须使用防火墙来阻止任何未使用的端口。

建立VPN连接的基本要求是VPN服务器的IP地址必须可以通过互联网访问，VPN通信必须能够通过你的防火墙进入VPN服务器。但是，还有一个可选组件。您可以使用该组件使您的VPN服务器更加安全。

如果您非常重视安全问题(并且您有预算)，您可以在ISA服务器和您周围的防火墙和VPN服务器之间放置一个ISA服务器。其思想是，您可以设置一个防火墙，将所有与VPN相关的通信指向该ISA服务器，而不是指向VPN服务器。ISA服务器将充当VPN代理服务器。客户端和VPN服务器只与ISA服务器通信。他们从不直接交流。这意味着ISA服务器正在保护VPN服务器，不允许直接访问VPN服务器，从而为VPN服务器增加了一个保护层。