VPN(VirtualPrivateNetwork)是虚拟专用网络的缩写，属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。上述介绍的VPN应用属于VPN用户的单点拨入，VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN，在中小企业网络构建这一系列中，我们只会介绍如何创建单点拨入的VPN，至于站点到站点的VPN架设后期会在恰当的专题中介绍。VPN服务的实现有很多种方式，如现在的一些网络操作系统本身可以实现VPN，也可以购买专门的VPN设备，ISAServer防火墙也可以实现VPN。所以最终使用哪一种，完全可以根据实际情况来进行选择，在此我们出于成本和安全性方面的考虑，准备在ISA2006上启用VPN功能。

　　下面，咱们就通过实例来看一下，如何通过ISA2006实现单点的拨入VPN，以实现员工在外网也能连接到企业内网，以实现在家办公、远程打印等需求。

　　同为微软的产品，因此ISA2006非常巧妙地调用了Win2003中的路由和远程访问组件来实现VPN功能，但用户并不需要事先服务器上的路由和远程访问进行配置，ISA2006会自动实现对路由和远程访问的调用。

　　在开始配置之前，有两点要说明的地方：

　　1、用户：

　　方案一：内网和ISAServer服务器同在域的内，推荐做法，好处是不需要RADIUS服务器，降低了网络的复杂性。

　　方案二：工作组，这样的话，可以使用RADIUS验证或是镜像帐号，

　　2、VPN服务器支持协议

　　PPTP：PPTP是用于在中间网络上传输点对点协议(PPP)帧的一种隧道机制。PPTP只考虑了对VPN用户的身份验证，不支持对计算机身份进行验证。

　　L2TP/IPSEC：L2TP/IPSEC从字面上理解是在IPSEC上运行L2TP，IPSEC负责数据的封装加密，L2TP的作用和PPTP类似，负责在IP网络上做出VPN隧道。从理论上分析L2TP协议应该比PPTP更安全一些，因为L2TP不但能在用户级别实现PPP验证，还能实现计算机级别的身份验证。

　　至于用户，网络管理员可以根据实际情况进行相应的选择，一般来说，如果在集中管理的中，也就是说已经有域的话，推荐使用方案一，这样的好处是在用户身份验证方面就简单多了，如果没有域的话，可以考虑使用RADIUS技术(RADIUS技术以后有机会再做介绍)。但不推荐使用镜像帐户。至于协议方面，如果安全性要求不是很高的情况下可以使用PPTP，好处是简单方便，如果对安全性方面有很高的要求的情况下，可以考虑结合PKI机制使用L2TP。

　　在此案例中，我们就在域下使用PPTP协议实现单点拨入VPN。

　　准备：

　　域的搭建：

　　1、创建DC

　　我们准备在内网192.168.1.10上安装AD，使其成为一台DC，方法是运行：Dcpromo。如下图所示：

　　然后会要求指定数据库文件、日志文件以及Sysvol的存放文件夹，在此例中，我就直接默认了，紧接着会弹出DNS诊断的提示，如果已经安装有DNS，可以选择第一项，如果没有的话，则选择第二项，系统自动安装并配置DNS，如下图所示：

　　在“我的电脑”---属性中----选择域：jimi.com，然后输入DC上管理员的用户名和密码，并重新启动计算机，即可加入到域中。

　　下面咱们就可以看一下VPN的具体设置了，关于PPTP的配置还是很简单的：

　　（责编：sunnie）

　　声明：凡注明CIO时代网（）原创之作品（文字、图片、图表），转载请务必注明出处，违者本网将依法追究责任。