郭建伟

对于很多本本用户来说，经常携带本本在外出差。当需要从远程访问单位内网时，一般都使用VPN方式进行连接。VPN（即Virtual Private Network）具有安全可靠、机制灵活、费用低廉、易于实现等优点。实际上，不同的企业搭建的VPN环境是存在差异的，包括PPTP VPN、L2TP/IPSec VPN、SSTP VPN以及IKE v2VPN等类型。对于本本用户来说，需要根据不同的情况，使用不同的VPN连接方式。至于如何搭建各种VPN服务器，对于本本用户来说无须加以太多关注。

使用PPTP VPN方式进行连接

在企业网中配置好了PPTP VPN服务器，之后需要设置客户端连接项目。在本本上打开网络和共享中心窗口，点击“设置新的连接或网络”连接，选择“连接到工作区”项，选择“使用我的Internet连接（VPN）”项，在打开窗口中输入VPN服务器的域名或者IP地址以及目标名称（图1），在下一步窗口中输入用于VPN拨入的账户名和密码，在“域”栏中输入域名，之后关闭配置窗口。

在网络和共享中心窗口中点击“连接到网络”项，在弹出面板中显示所有的连接项目，在上述VPN连接项目的右键菜单上点击“属性”项，在其属性中的“安全”面板（图2）中的“VPN类型”列表中选择“点对点隧道协议（PPTP）”项，点击“确定”按钮保存配置信息。之后点击该VPN连接项目，执行连接操作。当连接成功后，在该连接属性窗口中点击“详细信息”按钮，可以查看其客户端IP、DNS服务器以及WINS服务器等信息。当连接建立之后，就可以访问内网资源了。

如果本本连接到VPN服务器后，出现可以访问内网，但是无法访问Internet的情况，其原因可能是本本上默认选择了在远程网络上使用默认网关的情况。为此，可以在VPN连接项目的属性窗口中打开“网络”面板，在其中打开Internet协议版本4（TCP/IPv4）设置界面，在其中点击高级按钮。在弹出窗口（图3）中取消“在远程网络上使用默认网关”项，即可解决该问题。此外，如果在配置VPN服务器时，手工为其指定静态IP范围的话，也可能出现VPN客户端无法访问Internet的情况。

其中的主要原因是VPN服务器的网络标识符可能和内网的网络标识符不同，例如内网的网段为192.168.3.0，而手工设定的VPN服务器静态IP为192.168.4.0等。解决方法是先取消“在远程网络上使用默认网关”项，之后在VPN客户端上新建通往内网的路径，例如在CMD窗口中执行“route add 192.168.3.0 mask 255.255.255.0 192.168.4.1”，其中的192.168.4.1為VPN服务器地址，这样，就可以解决上述问题。不过这同样存在一定的安全隐患，因此，为了安全起见，最好选择“在远程网络上使用默认网关”项，只允许VPN客户端访问内网，禁止其访问Internet，避免不必要的安全问题。

使用L2TP/IPSec VPN方式进行连接

同PPTP VPN相比，L2TP/IPSec VPN的安全性要更高一些，其支持IPSec预共享密钥和计算机证书两种身份验证方法。当VPN客户端身份验证完成后，VPN服务器和客户端之间发送的数据会利用IPSec ESP的3DES或者AES加密方法进行安全传输。对于L2TP/IPSec来说，一般使用预共享密钥和证书两种验证方式，这里以前者为例进行说明。在本本上打开网络和共享中心窗口，点击“连接到网络”项，在弹出面板中显示所有的连接项目，在上述VPN连接项目的右键菜单上点击“属性”项，在其属性中的“安全”面板中的“VPN类型”列表中选择“使用IPSec的第二层隧道协议（L2TP /IPSec）”项，点击“高级设置”按钮，在弹出窗口中选择“使用预共享密钥作为身份验证”项，输入与上述相同的密码。这样，客户端就可与域VPN服务器建立连接了，在客户端的连接详细信息窗口中就可以看到设备名为“WAN Miniport（L2TP）”。

实际上，支持IPSec的预共享密钥方法常作用测试用途，在正常状态下，建议使用安全性较高的证书验证方法。这就需要在内网环境中添加CA证书服务器，便于发布和安装证书，CA服务器的配置这里就不介绍了。为了便于本本使用证书，需要在VPN服务器上运行“mmc”命令，点击菜单“文件”→“添加/删除管理单元”项，选择证书项目。在弹出窗口中选择“计算机账户”项，完成操作后，在控制台窗口左侧选择“证书”→“个人”项，选择目标证书项目，在其右键菜单上点击“所有与任务”-“导出”项，将VPN服务器的证书导出，得到后缀为“.pfx”的文件。选择“受信任的根证书颁发机构”-“证书”项，按照同样方法将企业CA证书导出，保存为后缀为“.cer”的文件。

之后在本本上按照同样的方法，打开证书管理控制台界面，选择“证书”→“个人”项，在其右键菜单上点击“所有任务”→“导入”项，导入上述个人证书（图4）。再选择“证书”→“受信任的根证书颁发机构”项，在其右键菜单上点击“所有任务”→“导入”项，导入上述根证书。在本本上安装了证书后，打开在网络和共享中心窗口，点击“连接到网络”项，在弹出面板中显示所有的连接项目，在上述VPN连接项目的右键菜单上点击“属性”项，在其属性中的“安全”面板中的“VPN类型”列表中选择“使用IPSec的第二层隧道协议（L2TP /IPSec）”项，点击“高级设置”按钮，在弹出窗口（图5）中选择“将证书用于身份验证”项，点击“确定”按钮，保存配置信息。之后双击该VPN连接项目，就可以和VPN服务器建立连接了。

使用SSTP VPN方式进行连接

SSTP（即Secure Socket Tunneling Protocol，安全套接字隧道协议）是安全性较高的协议，其使用RC4或者AES加密数据。SSTP采用HTTPS协议创建安全通道，利用SSL加密技术保证数据传输的安全性。同PPTP和L2TP/IPSec使用复杂的端口相比，HTTPS协议仅仅使用443端口，因此无须在防火墙执行复杂的配置。利用SSTP VPN服务器，可以很好地保证本本客户端的安全连接。

和L2TP/IPSec VPN类似，使用SSTP VPN连接同样需要使用到证书。可以按照上述方法，为本本安装所需的证书。当本本客户端连接VPN服务器时，需要连接到SSTP VPN服务器的证书名称上，假设SSTP VPN的计算机证书名称为“vpn.xxx.com”，因此需要將该名称解析到VPN服务器的外网卡地址上，假设其外网地址为“x.x.x.x.”。当VPN客户端连接VPN服务器时，还必须从CRL发布点下载证书吊销列表，否则连接无法进行。

CRL发布点实际上位于CA服务器的DNS域名中，假设为“yuk.xxx.com”。当本本连接VPN服务器时，VPN服务器会将这些信息发送给本本，便于其通过此DNS域名连接CRL发布点。当然，这需要通过NAT转发来实现，即需要将内网CA服务器的网址解析到VPN服务器的外网卡地址上。为了简单起见，可以在本本上使用记事本打开“C：＼Windows＼System32＼drivers＼etc”下的“hosts”文件，在其中分别输入“192.168.3.1  vps.xxx.com”和“x.x.x.x  yuk.xxx.com”两行映射关系项目，来实现简单的域名和IP的解析操作。

其中的“192.168.3.1”为VPN服务器的内网地址，“vps.xxx.com”为VPN服务器名称。在本本上打开在网络和共享中心窗口中点击“连接到网络”项，在弹出面板中显示所有的连接项目，在上述VPN连接项目的右键菜单上点击“属性”项，在其属性中的“常规”面板（图6）中的“目的地主机名或IP地址”栏中输入VPN服务器的DNS域名，即vps.xxx.com。在“安全”面板中的“VPN类型”列表中选择“安全套接字隧道协议（SSTP）”项，点击“确定”按钮保存配置信息。之后双击该VPN连接项目，就可以和VPN服务器建立连接。在VPN连接项目的属性窗口中打开“详细信息”面板，在“设备名”栏中显示“WAN Miniport（SSTP）”。如果VPN客户端没有配置VPN主机名，无法下载证书吊销列表，没有安装CA证书的话，VPN客户端就无法顺利连接VPN服务器。

使用IKE v2VPN方式进行连接

IKEv2协议采用的是IPSec信道模式，其使用UDP 500端口，Windows7支持该协议，其使用3DES或者AES加密数据。其利用IKE v2 MOBIKE（即Mobility and Multihoming Protocol）协议提供的功能，允许移动客户通过VPN连接内网。Windows7通过使用VPN Reconnect功能，来支持IKEv2协议。上述几个VPN协议都存在一个问题，当由于网络中断等原因，导致VPN客户端失去和VPN服务器的连接后，即使网络连接恢复正常，客户端用户必须手工重新建立VPN连接通道。即用户必须重新拨号进行连接。

而借助于VPN Reconnect功能，当网络连接中断后，即使经过一段时间，当网络连接恢复后，VPN连接通道仍会自动恢复运行，无须用户手工重新建立VPN连接，这对于移动用户来说是很有利的。例如，当用户使用本本移动上网，在不同的环境中切换不同的无线连接后，VPN通道照样保持连接状态。对于内网中IKEv2 VPN服务器来说，是需要安装和配置证书的，这样可以充分保证连接的安全性。

使用IKEv2 VPN连接的本本客户端虽然不需要安装证书，但是需要信任CA发放的证书。可以按照上述方法，从VPN服务器上导出CA证书，并在本本上进行导入。为了顺利连接VPN服务器，需要将VPN服务器的外网卡地址解析到VPN的网址上，例如，可以在本本上使用记事本打开“C：＼Windows＼System32＼drivers＼etc”下的“hosts”文件，在其中分别输入“192.168.3.1  vps.xxx.com”之类的映射关系项目，来实现简单的域名和IP的解析操作。

在本本上打开网络和共享中心窗口，点击“连接到网络”项，在弹出面板中显示所有的连接项目，在选定的VPN连接项目的右键菜单上点击“属性”项，在其属性中的“常规”面板（图7）中的“目的地主机名或IP地址”栏中输入VPN服务器的DNS域名，例如“vps.xxx.com”;在“安全”面板（图8）中的“VPN类型”列表中选择“IKEv2”项，点击“高级设置”按钮，在弹出窗口（图9）中的选择“移动性”项;在“网络中断时间”列表中选择具体的时间，默认为30分钟，范围从5分钟到8小时，只要网络中断的时间不超过该值，就会自动恢复VPN连接。

点击“确定”按钮保存配置，之后双击该VPN连接项目，就可以和VPN服务器建立连接了。当连接成功后，在VPN连接项目的属性窗口中打开“详细信息”面板，在“设备名”栏中显示“WAN Miniport（IKEv2）”。如果VPN客户端没有配置VPN主机名，没有安装CA证书的话，VPN客户端就无法顺利连接VPN服务器。