玩转VPN虚拟专用网 给网络架设隧道(1) 

图3

图4

2、VPN客户端的连接

接下来就要设置普通员工计算机的VPN连接了，我们只需要按照传统访问建立一个本地拨号连接即可。当然VPN顺利接入是建立在我们的计算机已经通过ADSL或其他方式连接到internet网的情况下进行的。

打开客户机系统中的本地连接窗口，然后新建一个连接。在新建连接向导中选择“连接到我的工作场所的网络”；接下来的网络连接选择“虚拟专用网络连接”，点“下一步”按钮继续（如图5），再设置一个连接名称，这里笔者输入softer。

图5

图6

至此我们就完成了通过操作系统建立VPN服务器并在客户端顺利接入的工作，员工可以在家中或者在外出差时顺利访问企业内网资源了。

二、路由器配置VPN虚拟专网

不过有的时候企业在不同地方开设了分支机构，而要保证这些分支机构之间有如一个内网一样，这就需要虚拟专网VPN了。不过不同于上面提到的单个客户机和企业内网的VPN连接，分支机构互连是建立在网络和网络直接VPN连接基础上的，仅仅依靠一台windows系统建立的VPN服务器是绝对不能满足应用的，这时就需要在两头的路由交换设备上设置VPN信息进行连接了（如图7）。

图7

crypto isakmp policy 1  

encryption des  

hash sha  

authentication pro-share

group 1

lifetime 28800 

crypto isakmp identity address

crypto isakmp key cisco123 address 10.0.0.2 

crypto ipsec transform-set bjset esp-des esp-md5-hmac 

crypto map bjmap 1 ipsec-isakmp 
（2）设置对端路由信息：

set peer 10.0.0.2

set transform-set bjset

match address 101

int fa0/0

ip address 172.16.1.1 255.255.255.0
（3）设置外网接口及加密图：

int s0/0

ip address 10.0.0.1 255.255.255.0

no ip mroute-cache

no fair-queue

clockrate 64000

crypto map bjmap
（4）应用加密信息：

access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

access-list 101 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
   

2、分支路由器的设置

分支路由器上只需要按照主路由器参数并结合自己网络IP地址等信息即可。具体步骤也是上面的四步，依次为创建ISAKMP策略及添加加密验证信息，设置对端路由信息，设置外网接口及加密图，应用加密信息。设置完毕后两台路由器就完成了连接工作，两地员工可以像访问同一个内网资源一样访问对方服务和资源了。

三、总结

虚拟专网VPN帮助我们更好的应用企业服务，开展企业业务，更关键的是还可以省去大量的不必要网络带宽租用开支。不过在实施VPN方案时一定要根据自己的实际环境决定，尽量采用通过windows服务器建立VPN服务的方法，毕竟路由器的设置比较麻烦，密钥没设置好就无法顺利连接，排查起故障也很棘手。

【相关文章】

• VPN加防火墙 多WAN均衡负载一次达成
  
  

• 硬件VPN太贵 常见VPN软件产品导购
  
  

• 企业虚拟专用网络VPN及应用概要