我院位于成都西门，新近业务拓展，在市中区新开了一家门诊部，鉴于我院是社保定点医院，所以在该门诊部也必须要实现社保划卡功能，该功能的实现必须要登录到医院的内部网上才可以使用。一般来说，应该通过路由器和光纤联接到本院服务器，较新的还有通过无线网络方式等等，然而，对我们这个小医院来说，其费用无疑是一笔天文数字，既要花钱少，又要效果好，怎么办？由于去年由医院资助本人参加了MCSE的培训并拿到了证书，院领导决定把这个任务史无前例的交给本网管来完成， 为报答领导的厚爱，并借此证明自己并非Paper MCSE， 笔者对此作了详细的实施，现将实施步骤叙述如下，请同道不吝斧正。

　　实施远程接入，无非有如下办法：上面提到的方法虽安全、稳定、速度快，但前后期费用不菲，另外的方式如通过直接拨号连接到医院服务器，不是很麻烦，但速度慢，不稳定，不安全，受线路及其它不可预测因素影响较大，而且连接时无法拨打电话却产生大量电话费，显然也是不能接受的，那么剩下的也就只有VPN这种方式了，VPN全称虚拟专用网络，分为硬件和软件的两种，如著名的思科就提供优质的ＶＰＮ硬件设备，以下要解析的就是微软在WINDOWS2000中为我们提供的一种软VPN功能，其实，对于安全性要求不是很高的中小企业和个人，这无疑是一个低廉的利用公网使内网实现全球互联的解决方案。

      通过VPN，我们可以轻松的从任何一个可以上网的地方登录到公司的内部网络，并且微软为我们提供了多种加密、认证方式，可以保证安全，并且成本相当低廉。

　　一、环境考察：

　　本院局域网有一基于Ｗ2K server的域控制器，并且我院已经通过ADSL联接到了互联网，这两点是建立VPN的基本前提条件。

      还有一个前提条件,那就是在这台远程访问服务器上必须安装双网卡,一个连接互联网,一个连接局域网。作用下述。

      首先，我们要在这台域服务器上面建立VPN服务器。顺便说一句，建立这个服务器，本质上是建立了一个远程访问服务器（RAS），如果条件允许的话，最好还是单独在一台服务器上实现，以尽可能的避免各种未知问题。

通过开始→程序→管理工具→路由和远程访问，出现下面的对话框（图1）：

                     图  1

服务器上有一个红色的箭头,表示在该服务器上尚未建立路由和远程访问服务,右击该图标,在右键菜单中选择第一个选项:配置并启用路由和远程访问,进入配置向导,点击下一步,出现选项列表(图2):

                    图    2

自然是选第三项，虚拟专用网络（VPN）服务器，点击下一步，选择客户协议，只要你的系统有TCP/IP协议，一般就不用再添加了，下一步，指定服务器使用的internet联接，这时你必须要选择接入互联网的那块网卡，它才能和你的远程客户端连接。

    下一步，指定客户端的地址，一般来说，可以直接用默认的自动，如果你安装了ＤＨＣＰ服务器，那么服务器就自动分配地址，如果没有安装也没有关系，因为路由和远程访问包含了一个简单的DHCP功能，照样可以为拨入的用户提供一个动态的地址。

我院网络较小，所以对每台主机都设定了固定的IP地址，那么就选择第二项，来自一个指定的地址范围，下一步后提示你指定所需的地址范围，点新建后加入新的地址范围：如图3所示。我们设了20 个地址。

             图     3

　　点确定，再下一步，问你是否想把这个远程访问服务器纳入一个现有的远程身份验证拨号用户服务（RADIUS），意思是说，是否想用RADIUS来管理这个远程访问服务器，RADIUS是在微软W2K操作统下，为了让用户更好的管理网内多个远程访问服务器而建立的一种集中的安全管理认证机制，我们这种小网络尚没有建立这种服务的必要，所以采用默认的值，不使用RADIUS。

到这里，我们已经完成了VPN服务端的配置，点“完成”后系统开始配置路由和远程访问，进行VPN服务初始化，安装好后可以看到如图4所示的界面。

                图  4

大家可以看到，那个红色的小箭头已变成了绿色，表明我们的VPN已配置成功。

    如果你的企业在安全及性能上还有更细致的要求，那么就进行进一步的设置。鼠标右键点击服务器名称，选择属性，弹出服务器的属性窗口，一般有常规，安全，IP，PPP，事件日志等选项，我们可以根据我们的需要详细设置。

    在常规选项卡下，我们不用再作修改，这台机器现在就扮演着路由器和远程访问服务器的角色，说它是路由器，因为它本身是双网卡，可以将内网机子发出的网页请求转发到相应的ISP规定的DNS上去，这通常有NAT和PROXY两种方式来实现，由于不属本文讨论范畴，这里不再赘述；说它是远程访问服务器，是因为它已经具备了接受远程用户拨入的能力，理论上说，它的功能和我们拨号到电信局上网的那台DNS服务器是完全一样的了,只是没有通过电话。

在安全选项卡下，由于我们在前面没有设置通过RADIAS来管理这台RAS，所以这里的验证方式就是系统本身默认的WINDOWS验证方式，这是提高安全性能的关键！点身份验证方法，弹出对话框（图5）。

               图   5

默认选择MS-CHAP V2和MS-CHAP两项，为了安全起见，强烈建议不选用“不加密的密码”和“允许远程系统不经过身份验证而连接！”，到此，VPN的服务器端设置完成。

     VPN的安全方便就体现在这些设置中，为加深理解，这里简单解释一下相关的概念：

     PPP：点到点协议，是一种用户级身份验证的方法，包括：可扩充身份验证协议（EAP）、密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 、 MS-CHAP第二版 MS-CHAP  V2和可选的可扩展身份验证协议 (EAP)；并且采用微软点对点加密算法（MPPE）和网络协议安全（IPSec）机制对数据进行加密。

      大家在通过拨号上网时，在命令行下输入WINIPCFG（W98）或IPCONFIG（W2K）就可以发现上网的验证协议是PPP。

      但VPN使用的协议并不是PPP，而是比它更强的PPTP和L2TP。

      EAP：可扩充身份验证协议，这是在所有需要刷卡的地方才用到的协议，我们不必管它。

      CHAP：质询握手身份验证协议，通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式，用这种方法，可以向服务器证明客户机知道密码，而不必实际传送该密码。

      MS-CHAP：同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行加强的身份验证。

     MS-CHAP v2：MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

    以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有在域内拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。

    另外，VPN数据在传输时是用以上协议加密的，所以Internet上的用户只能看到公用的IP地址，而不可能看到数据包内包含的专有网络地址以及数据。

    其它的选项大家一般都看得懂，就不多说了。

    下面再来进行VPN客户端的设置。

    在位于市中心的门诊部微机上，首先通过中国电信建立了一个ADSL互联网连接，然后开始建立VPN客户端连接，以便拨入医院VPN SERVER。具体如下：

右击网上邻居→属性→双击新建连接，选择网络连接类型，自然是选择通过INTERNET连接到专用网络。

    以下的工作就简单多了。

    然后写上你要拨入的服务器主机名或IP地址。

    下一步，根据需要选择相应的连接方式，是所有用户还是只有我才能用，完全看你所在企业的情况，原则是安全第一！

    最后要为这个连接创建一个好记的名字，直接点完成就好了，完成后弹出一个连接窗口，写上密码就可以连接到远程服务器了！

    要真正成功的连接，还有一些细节：

    1、要保证你可以拨入到VPN服务器，首先必须在你的域控制器上要有一个合法的帐号。并且该帐号必须有拨入的权限，否则即使是administrator也无法拨入到网络，可以右击我的电脑→管理→计算机管理→本地用户和组，右键选择属性后在拨入标签下选择允许访问。

     如果想对客户端进行设置，可以双击建立的VPN连接，在属性中修改，可供选择的有常规、选项、安全、网络、共享，操作方法同上面大同小异，读者可根据需要设置。

实际上还有一个特别重要的问题必须提出来：理论上来说，不论通过硬或软的方式VPN接入，其服务器端都应该有一个固定的公网地址，而众所周知，通过ADSL上网获得的IP虽然是公网IP，但它是临时的，怎么办呢？实际上很简单，看到图6了吗？

           图     6

我们这台服务器连续在线是136天，也就是将近半年没有关机了，对于一个小型网络而言，只需配一台性能较好、品牌实力都还过得去的服务器就行了，我们这台是...(对不住各位，不敢打广告，呵呵)。那总有关机的时候吧？也没有关系，再次开机后，通过IPCONFIG查到本机公网地址，再通知对方客户端，在VPN连接属性中修改相应的IP就OK了！应该不是很麻烦。顺便说一句，这种临时IP其实是很少变化的，如果你关机后再开机，你会发现IP还是那个IP，不信吗？我看到《网管员世界》上有过一篇这样的文章，记不得是那一期了，大家找找看吧。

     至此，VPN的工作全部完成，最后来盘点一下我们的工作效益：

     根据医院本身的规划，找当地ISP光纤专线接入，需要工程费起码一万元以上，购路由器至少一万元，购置客户端一台上网服务器五千元，今后月租费每月八百元，施工加上开通使用的时间至少两个月，工程可谓浩大，而通过本方案，按成都目前当前的行情，ADSL包年为1440元，免一切费用，最慢一周内就可以开通，也就是说，采用本案，全部费用只有每月120元！而且已经交了一年了。

    怎么样，值得说一句“知识就是力量”吧？有这样的能力，还愁不能提职加薪吗？

    再次请各位同道斧正。