随着Windows 2000系统的普及和应用，大家对Windows 2000系统中的软件VPN方案已比较清楚，但是对于其早期的版本--Windows NT Server 4.0系统中，大家只知道能作为客户端VPN向外发起VPN连接请求（其实有许多网络工程师都只停留在这一认识上），其实在Windows NT Server 4.0系统中，同样可以配置VPN服务器，同样可以实现Windows 2000系统中的"路由器到路由器VPN"连接。只不过它需要先在Windows NT Server 4.0系统安装RRAS（路由和远程访问服务）补丁，并且Windows NT Server 4.0也要求安装了SP3以上补丁，安装了以上两个补丁后， Windows NT Server 4.0同样可同时应用于VPN客户端和VPN服务器端。

　　以上系统版本方面的要求，其实还需要满足以下两方面的条件才能在Windows NT Server 4.0系统中实现VPN通信，那就安装有"RRAS"（路由和远程访问服务）和"PPTP"（点对点通道通讯协议）协议。当然如果仅是用于VPN客户端连接，也可不安装"RRAS"补丁，而直接使用系统自带的RAS（远程访问服务）进行。

　　现先来介绍利用Windows NT Server 4.0系统中自带的RAS服务来创建VPN客户端连接的过程（安装RRAS补丁后客户端VPN连接的创建过程是一样的，不同的是如果原来使用的是中文版本，则安装RRAS补丁后则这一服务项是纯英文的，因暂未发现中文版的RRAS）。

一、VPN客户端连接的建立

　　在Windows NT Server 4.0系统中安装、配置好RAS服务及PPTP协议后即可以直接利用"拨号网络"创建VPN客户端连接（相信RAS服务及PPTP协议的安装不需要我重复了吧）。具体方法如下：

　　第1步，在"附件"程序组中单击"拨号网络"程序项，如果原来没有配置任何电话薄，则会弹出如图1所示提示框，单击"确定"按钮即可继续进行，出现如图2所示的新电话薄项向导首页。在这个对话框中输入所要创建的电话薄（其实是网络连接项）取一个方便记忆和区别的名字。
#$[*6776.jpg*#a*#0*#0*#center*]$#

图1

#$[*6777.jpg*#a*#0*#0*#center*]$#

图2

　　第2步，单击"下一步"按钮，出现如图3所示对话框。在这个对话框中要求选择与服务器相连时所需检查的项目。可以不选择任何一个复选项。

#$[*6778.jpg*#a*#0*#0*#center*]$#

图3

　　第3步，单击"下一步"按钮，出现如图4所示对话框。在这个对话框中可以选择使用所创建的VPN连接项所需的设备，这时如果在"远程访问服务"中添加了VPN设备，并且允许拨出权限，则会在此对话框中显示所添加的VPN设备，这时就得选择一个VPN设备作为连接设备。

#$[*6779.jpg*#a*#0*#0*#center*]$#

图4

　　第4步，单击"下一步"按钮，出现如图5所示对话框。在这个对话框中要注意不要输入所要连接的VPN服务器电话号码，而是要输入VPN服务器的因特网IP地址或域名（这要求VPN服务器已取得了佥的因特网IP地址）。

#$[*6782.jpg*#a*#0*#0*#center*]$#

图5

　　第5步，单击"下一步"按钮，出现如图6所示对话框。这是一个向导完成提示对话框。提示用户VPN客户端连接已创建完毕，单击"完成"按钮即完成创建过程。连接项创建好后出现如图7所示的拨号网络主界面对话框。

#$[*6783.jpg*#a*#0*#0*#center*]$#

图6

#$[*6784.jpg*#a*#0*#0*#center*]$#

图7

　　第6步，如果本计算机与VPN服务器都已与因特网永久连接，则在如图7所示拨号网络对话框中可以直接选择相应的VPN客户端连接项，单击"拨号"按钮进行VPN连接。如果本计算机是通过拨号方式与因特网非永久连接，则需选择创建一个与当地ISP连接的因特网连接，然后再使用此VPN客户端连接与远程VPN服务器进行VPN连接。

　　为了方便起见通常为所创建的VPN连接项创建一个快捷方式，放在桌面，以便使用，方法只需在如图3.59所示对话框中单击"其他"下拉菜单，选择"创建项快捷方式"菜单项，如图8所示。

#$[*6786.jpg*#a*#0*#0*#center*]$#

图8

　　第7步，还可以对所创建的VPN连接项进行配置，方法是在如图8所示对话框中选择"编辑项和调制解调器属性"菜单项，出现如图9所示对话框。因为这其中的5个标签项对话框与拨号网络连接属性配置对话框一致，配置方法比较简单，在此不再赘述。

#$[*6787.jpg*#a*#0*#0*#center*]$#

图9

二、 Windows NT Server 4.0 VPN服务器的配置

　　在Windows NT Server 4.0系统中除了可以创建VPN客户端外，还可作为VPN服务器来配置，接受外部VPN连接请求。但条件是必须在安装有SP3以上补丁和RRAS（路由和远程访问服务）程序项后才可。当然PPTP协议也必须事先安装好。下面具体介绍RRAS的安装、配置方法及VPN服务器的配置方法。

1.  Windows NT RRAS服务的安装及配置

　　要使Windows NT Server 4.0系统支持VPN网络技术，首先要求系统安装有SP3以上补丁，最好能安装SP6补丁，并且从微软的官方网站上下载专为Windows NT Server
4.0系统开发的RRAS管理工具（可以在微软件的下载中心通过搜索的方式得到）。并且还需要为VPN网络安装PPTP协议。因所下载RRAS程序项是英文版本，所以如果原来服务器所使用的中文Windows NT Server 4.0系统，则可能出现此管理工具项为纯英文或显示不完全的现象。

　　（1）RRAS服务的安装

　　RRAS的安装方法如下：

　　第1步，双击下载后得到的RRAS压缩包后即自动解压缩，解压进程对话框如图10所示。

#$[*7333.jpg*#a*#0*#0*#center*]$#

图10

　　第2步，解压完后即弹出一个对话框，询问程序项安装的路径，如图11所示。选择好程序项安装路径后单击"OK"按钮完成RRAS程序的安装。

#$[*7335.jpg*#a*#0*#0*#center*]$#

图11

　　第3步，程序项安装后，系统弹出一个对话框询问是否现在立即安装RRAS服务项，要这个提示RRAS的系统要求为带有SP3以上补丁的Windows NT Server 4.0系统。如图12所示。当然也可以不立即安装RRAS服务项，如果这样需单击"否（N）"按钮，退出继续安装，可以在将来需要安装时运行保留在硬盘上的"mprsetup.exe"程序安装。

#$[*7336.jpg*#a*#0*#0*#center*]$#

图12

　　第4步，单击"是（Y）"按钮立即安装RRAS程序，如果在以前已安装了RAS程序项，则会弹出如图13所示的系统提示框，要求先删除原来系统中的RAS程序组件，并且提示删除后系统会提示要求重新启动系统，重新启动计算机后继续进行程序安装。

#$[*7337.jpg*#a*#0*#0*#center*]$#

图13

　　第5步，单击"是（Y）"按钮删除原来安装的RAS程序组件，当然如果以前没有安装RAS组件，则不会出现如图3.65所示提示框，也就不需要删除RAS程序组件了。删除后出现如图14所示提示框，要求重新启动计算机系统，启动后再次出现如图12所示提示框。

#$[*7338.jpg*#a*#0*#0*#center*]$#

图14

　　第6步，单击如图12所示提示框中的"是（Y）"按钮后即开始安装RRAS服务项。安装进程对话框如图15所示。

　　第7步，RRAS服务项安装过程中会弹出一个RRAS组件选项安装选择对话框，如图16所示。在这个对话框中可以选择所安装的组件，这些组件决定了安装RRAS服务后服务器所能提供的服务。

　　·Remote access service：远程访问服务。如果选择这一复选项，即此计算机可以提示远程访问服务，把服务器配置成远程访问服务器，允许接受远程客户的远程访问。

　　·LAN routing：局域网路由。如果选择这一复选项，则服务器允许为局域网提供路由服务，担当局域网路由器作用。

　　·Demand dial routing：请求拨号路由。如果选择这一复选项，则允许服务器为请求拨号用户提供路由服务，应用于广域网中，如在Internet上提供路由服务，担当广域网路由器作用。

　　为了把Windows NT Server 4.0系统配置成全面的VPN服务器，最好全选以上三项服务。

#$[*7339.jpg*#a*#0*#0*#center*]$#

图15

#$[*7342.jpg*#a*#0*#0*#center*]$#

图16

　　第8步，单击"OK"按钮出现如图17所示对话框，在这个对话框中要求添加RAS设备。如果已安装了诸如Modem之类的拨号设备，即会自动在下拉列表中显示出来。

#$[*7341.jpg*#a*#0*#0*#center*]$#

图17

　　第9步，选择一个RAS（远程访问服务）设备后（如果没有安装任何设备，系统会要求安装Modem，然后才能继续），单击"OK"按钮回到如图18 所示对话框。单击"Continue"按钮出现各已安装协议配置对话框，这部分内容将在后面继续介绍，在此仅需单击相应对话框中的"确定"按钮完成配置返回即可。当完成最后一个协议配置后出现如图19所示对话框，在这个对话框中提示用户RRAS服务已成功安装好了，单击"确定"按钮后系统提示要求重新启动，重新启动系统后所安装的RRAS服务开始生效。

#$[*7343.jpg*#a*#0*#0*#center*]$#

图18

#$[*7359.jpg*#a*#0*#0*#center*]$#

图19

　　（2）. 配置RRAS服务

　　在安装RRAS服务项后还需要进一步全面配置这一服务项，以更符合用户需求。配置RRAS的方法如下：

　　第1步，在网络属性对话框中"服务"标签项对话框选择"Router And Remote Access Service"选项，然后单击"属性"按钮，出现如图18所示对话框。

　　第2步，添加用于VPN通信的PPTP端口，单击如图18所示对话框中的"Add"按钮，打开如图20所示对话框。在这个对话框中显示了当前系统已有但未添加的所有可用端口。因为在前面的PPTP协议安装中已经配置了当前系统中可用的最大PPTP端口数10个，所以在对话框下拉列表中显示了可用的10个PPTP端口。

#$[*7360.jpg*#a*#0*#0*#center*]$#

图20

　　第3步，选择需要配置的PPTP端口，然后单击"OK"按钮，即可把所选的端口添加到RRAS服务中。如图21所示。如果要添加多个端口，则可重复上述步骤进行。

#$[*7361.jpg*#a*#0*#0*#center*]$#

图21

　　第4步，添加PPTP端口后就可以全面配置这个端口下的RRAS服务。选择要配置的PPTP VPN端口，然后单击如图21所示对话框中的"Configure"按钮，打开如图22所示对话框。这个对话框是用来配置端口拨入/拨出的权限。

#$[*7362.jpg*#a*#0*#0*#center*]$#

图22

　　·如果选择"Dial out as a RAS client"复选项，则允许在此端口上作为远程访问客户端向外呼叫，可以创建VPN客户端连接。

　　·如果选择"Receive calls as a RAS server"复选项，则允许在此端口上作为远程访问服务服务器接受外部的远程访问请求，可以接受外部VPN连接的请求，担当VPN服务器功能。

　　·如果选择"Dial out and receive calls as a demand dial router"复选项，则允许在此端口上作为拨入/拨出服务的请求拨号路由器，担当路由器功能。
以上3项根据实际需求配置，最好是全选，这样在需要时可以灵活应用。选择好后单击"OK"按钮返回。

　　第5步，除了对端口进行配置外，还可对此服务器上的网络通信协议进行配置。单击如图21所示对话框中的"NetWork"按钮，打开如图23所示对话框。

#$[*7363.jpg*#a*#0*#0*#center*]$#

图23

#$[*7364.jpg*#a*#0*#0*#center*]$#

图24

　　在"Dial out Protocols"区域是用来选择在服务器上向外拨号进行远程访问时所需通信协议。"TCP/IP"协议通常是需要选取的；如果此服务器要与Windows 9x远程访问服务器端进行远程访问时，则需要选择"NetBEUI"协议；而如果要与NetWare系统的远程访问服务器端进行远程访问通信时，则需要选择取"IPX"协议，否则不需要。

　　第6步，在"Server Settings"区域中也可选择需要为接受外部远程访问请求时配置的通信协议，选取原则同上，"Mutilink"项是用来选择是否需要配置多点链接协议，这是为了提高通信带宽而采取一项措施，如果配置有我外Modem，并且对带宽有更高需求时要以让多个Modem同时为一个通信提供支持，同时要注意，如果一方选择了支持这一多点链接协议，则另一方也应支持。通常不选择，因为解决带宽的方式目前有许多种，主要不是通过多个Modem并行支持来解决，而是采用带宽更高的通信方式，如现在的ADSL、Cable Modem、以太网宽带等。除了选取相应的通信协议还可对各协议进行详细配置。单击"NetBEUI"复选项后的"Configure"按钮打开如图24所示对话框。

　　第7步，单击如图23所示对话框"Server Settings"区域中"TCP/IP"后的"Configure"按钮，打开如图25所示对话框。"Allow remote TCP/IP clients to access"区域是用来选择TCP/IP协议客户端可以访问的网络范围。如果选择"Entire network"单选项，则表示允许访问整个网络，如果选择"This computer only"单选项，则CTP/IP客户端仅可访问此服务器本身。

#$[*7365.jpg*#a*#0*#0*#center*]$#

图25

#$[*7366.jpg*#a*#0*#0*#center*]$#

图26

　　如果选择"Use DHCP to assign remote TCP/IP client address"单选项，则远程TCP/IP客户端的IP地址由服务器的DHCP服务自动分配提供。

　　如果选择"Use static address poot"单选项，则远程TCP/IP客户端的IP地址由下面所配置的IP地址池分配所得。

　　如果选择"Allow remote clients to request a predetermined IP address"复选项是允许客户端自己请求IP地址，为了便于管理，通常不要选择这一复选项。

　　第8步，单击如图23所示对话框"Server Settings"区域中"IPX"后的"Configure"按钮，打开如图26所示对话框。这是专为接受NetWare客户端远程访问而配置的，因配置方法与配置TCP/IP协议的方法类似，并且目前来说IPX协议也不多用，所以在此不一详细介绍。

　　第9步，在如图23所示对话框中的"Authentication and Encryption Settings"区域中各选项是用来配置远程访问及VPN连接的身份验证和数据加密方法的。

　　·如果选择"Allow all Authentication include clear text"单选项，则允许所有身份验证方法，包括纯文本方式。

　　·如果选择"Require encrypted authentication"单选项，则要求采用加密的身份验证方法，非加密的身份验证将拒绝通过。

　　·如果选择"Require Microsoft encrypted authenticatin"单选项，则采用微软的加密身份验证方法。并在下面提供两上复选项，如果选择"Require data encryption"复选项，则表示在通信时数据需要加密，未经加密的数据将拒绝传输。如果选择"Require strong data encryption"复选项，则采用强加密方式（56位）。

　　第10步，在如图23所示对话框最下方有一个"Authentication Provider"区域，它是用来选择提供身份验证的供应商。有两种选择，一种是采用微软在Windows NT Server 4.0系统中自带的身份验证方法，此时需要选择"Windows NT"单选项。另一种是通过RADIUS（远程访问拨入用户服务）服务提供商来提供，此时需选择"RADIUS"单选项。如果选择这一单选项，还可通过单击其后的"Configure"按钮打开如图27所示对话框对RADIUS服务器进行配置。如果要添加RADIUS服务器，则单击对话框中的"Add"按钮打开如图28所示对话框中进行。

#$[*7367.jpg*#a*#0*#0*#center*]$#

图27

#$[*7355.jpg*#a*#0*#0*#center*]$#

图28

　　在"Server Name"文本框中输入RADIUS服务器的名称，如果需要在RADIUS客户端和服务器配置共享机密信息，则可在"Secret"文本框中输入，在"Intial Score"中选择一个相适应的初始值，这个值的大小可以提高或者降低服务器的响应速度，当然这个值勤也要根据服务器具体配置来确定，通常取默认值即可。

　　在RADIUS服务中提供了两种子服务，一种是用于身份验证，另一种是用于计帐，如果允许RADIUS服务器进行身份验证，则需选择"Enable Authentication"复选项，然后在下面的"Port"选项中输入一个提供此服务的端口号，通常取系统默认值，不要随便更改。如果要RADIUS服务器提供计帐服务，则需选择对话框中的"Enable Accounting"复选项，同样需要配置端口号，当然也只需取默认值即可。如果选择"Send Accounting on/off Messages"复选项，则当开始和退出远程访问时由RADIUS服务器向此服务器发送相应的帐号信息，如果不选，则此类信息将不发送。

【注意】如果选择了"Require Microsoft encrypted authenticatin"单选项，就不能选择"RADIUS"身份验证单选项。

　　配置了以上各选项后单击如图23所示对话框中的"OK"按钮返回到如图21所示对话框，再单击"Continue"按钮完成配置对话框。

2. Windows NT Server 4.0 请求拨号接口的创建

　　在Windows NT Server 4.0系统中除了可以创建远程访问VPN客户端连接外，还可以配置路由器到由路由器VPN服务器，构建LAN-LAN VPN网络连接。方法是通过创建"请求拨号接口"、为请求拨号接口配置静态路由来实现的。请求拨号接口的创建方法如下：

　　第1步，在安装了RRAS服务项后在程序项中多了一个"Administrative Tools"的管理工具项，在这个选项中仅包括一个"Routing And RAS Admin"工具选项，如图29所示。

#$[*7356.jpg*#a*#0*#0*#center*]$#

图29

　　第2步，单击"Routing And RAS Admin"工具选项，打开如图30所示对话框。这是RRAS服务主界面对话框。在创建接口前首先要确定RRAS服务已经启动成功，查看服务器RRAS服务是否已启动成功，只要查看对话框"Server"菜单下的"Start Router"菜单项是否呈激活状态，如是则表明RRAS服务并没有启动成功。还可通过查看工具栏上的" #$[*7747.jpg*#a*#0*#0*#0*]$#"按钮是否呈绿色来判断。如果没有启动成功，则不能创建请求拨号接口。

#$[*7748.jpg*#a*#0*#0*#center*]$#

图30

　　第3步，要启动RRAS服务，须在"服务"对话框中进行。

　　在"控制面板"中双击"服务"选项，在打开的对话框中找到"Routing And Remote Accesss Service"服务项，可以看出这一服务项目前并没有自动启动，如图31所示。

　　"Routing And Remote Access Service"服务项不能直接通过单击"开始"按钮来启动它，它与原来的"Remote Access Server"服务项是一样的，也必须依靠其相关的服务项"Remote Access Connection Manager"的启动而启动。启动这项服务的方法是一样的，在选中服务项后单击"开始"按钮就可启动。启动"Remote Access Connection Manager"服务项后再启动"Routing And Remote Access Service"服务项。

#$[*7750.jpg*#a*#0*#0*#center*]$#

图31

【说明】因为作为远程访问或VPN服务器通常是在系统启动时这些服务项能自动启动，所以最好把这些服务项都设置成自动启动类型，与"Routing And Remote Access Service"相关的服务项主要有如下几个：

　　·Remote Autodial Manager

　　·Remote Access Connection Mananger

　　·Remote Procedure Call(RPC) Locator

　　·Remote Procedure Call(RPC) Service

　　但系统中原有的"Remote Access Server"服务项就不能让它启动，最好禁止它，否则它会与"Routing And Remote Access Service"服务项相冲突，造成"Routing And Remote Access Service"服务项不能启动成功。

　　第4步，"Routing And Remote Access Service"服务项启动后，这时如图32所示对话框"Server"菜单下的"Start router"菜单项就不呈激活状态，而"Stop router"菜单项呈激活状态，表示路由和远程访问服务已启动成功。当然原来那个呈激活状态的按钮也不再呈绿色，而是呈灰色。
 
#$[*7751.jpg*#a*#0*#0*#center*]$#

图32

　　第5步，在如图32所示对话框中选中"LAN and Demand Dial Interface"选项上单击鼠标右键，在出现的快捷菜单中选择"Add Interface"选项，出现如图33所示对话框。

　　在这个对话框中只需输入相应请求拨号接口的名称即可。如果想通过修改已有的请求拨号接口来创建新的接口，则可以选择"I know all about demand-dial interfaces and would rather edit properties directory"复选项。这样对话框中的"下一步"按钮将变成"完成"按钮，单击它即完成整个请求拨号接口创建过程。在此为了向读者介绍全面的创建过程，不选此复选项。

　　第6步，单击"下一步"按钮，出现如图34所示对话框。在这个对话框中要求选择此连接的所有应用选项，如果选择"Route IP packets on this interface"复选项，则在此接口连接中允许IP数据包传输，是系统默认的选项。如果选择"Route IPX pxckets on this interface"，则允许在此接口上传输IPX数据包，这主要因为对方操作系统为NetWare，也为系统的默认选项。

　　如果此接口允许接收外部路由器拨入，则可以选择"Add a user account so a remote router can dial in"复选项来创建一个用于外部路由器用户拨入的用户帐号。因为选择此复选项后，在后面的配置对话框中有些不一样，为了全面介绍，在此选择这一复选项。
    
#$[*7752.jpg*#a*#0*#0*#center*]$#

图33

#$[*7753.jpg*#a*#0*#0*#center*]$#

图34

　　如果此接口是连接双方的唯一连接方式，可以选择"Send a plain-text password if that is the only way to connect"，仅可以一个简单的密码进行身份验证。

　　如果所呼叫的是非Windows NT路由器，或者已经知道对方路由器IP地址，可以选择"The non-Windows NT roter that I am calling expects me to type login information after connecting , or to know TCP/IP addressing before dialing"复选项。

　　第7步，单击"下一步"按钮，出现如图35所示对话框。在这个对话框中可选择一个用于请求拨号的设备，可以是原来安装的拨号设备，也可以是所添加的VPN适配器。因为现在所要创建的请求拨号接口是用于路由器到路由器VPN连接，所以在此要选择已安装的VPN设备。
 
#$[*7754.jpg*#a*#0*#0*#center*]$#

图35

　　第8步，单击"下一步"按钮，出现如图36所示对话框。因为在此是创建用于VPN呼叫的请求拨号接口，所以在此需要输入对方路由器的因特网IP地址（或域名）。
  
#$[*7755.jpg*#a*#0*#0*#center*]$#

图36

#$[*7756.jpg*#a*#0*#0*#center*]$#

图37

　　第9步，如果在如图34所示对话框中选择了"The non-Windows NT roter that I am calling expects me to type login information after connecting , or to know TCP/IP addressing before dialing"复选项，则单击如图36所示对话框中的"下一步"按钮，出现如图37所示对话框。在这个对话框中您可以为此接口分配一个合法的IP地址，但注意不要与其它网卡IP地址一样（如果是通过像因特网一样的公用进行VPN连接，则此处的IP地址需要是合法的因特网IP地址）。通常保留为"0.0.0.0"，由远程服务器端分配。

　　第10步，单击"下一步"按钮，出现如图38所示对话框。在这个对话框中要求输入远程路由器的DNS及WINS服务器IP地址，如果知道则填上，如果不知道则保留为"0.0.0.0"，由远程路由器端IP地址提供商分配。
  
#$[*7757.jpg*#a*#0*#0*#center*]$#

图38

#$[*7758.jpg*#a*#0*#0*#center*]$#

图39

　　第11步，以上两步是在第6步中选择了"The non-Windows NT roter that I am calling expects me to type login information after connecting , or to know TCP/IP addressing before dialing"复选项才出现的，如果没有选择，则在单击如图34所示对话框中"下一步"按钮后直接出现如图39所示对话框。在这个对话框中要求输入"拨出凭据"，这是用于远程路由器对拨入用户进行身份验证用的。所输入的用户帐户必须在远程路由器中创建配置好，否则此拨出凭据无效，远程路由器无法接受此连接的拨入请求。

　　第12步，单击"下一步"按钮，如果在第6步，选择了"Add a user account so a remote router can dial in"复选项，则出现如图40所示对话框。在这个对话框中要求输入此请求拨号接口的"拨入凭据"，如果在第6步没有选择此复选项，则不会出现这一对话框。注意在此输入了拨入凭据，则须在路由器中创建一个对应的用户帐户，不要搞混，远程路由器要通过此接口拨入时也须用这样一个帐户来登录。
 
#$[*7763.jpg*#a*#0*#0*#center*]$#

图40

第13步，单击"下一步"按钮，出现如图41所示对话框。这是一个向导完成对话框，提示用户整个请求拨号接口的创建过程即将完成。创建后即在RRAS主界面中的"LAN And Demand Interfaces"选项中添加所创建的请求拨号接口。

#$[*7764.jpg*#a*#0*#0*#center*]$#

图40

第14步，单击"完成"按钮完成整个接口创建过程，出现如图41所示的接口配置对话框。在这个对话框中前面各项可以按系统默认取值(要选中"Enable IP router manager on this interface"（允许在此接口上使用路由管理服务）复选项)，只需对输入/输出筛选器进行配置。要创建输入筛选器，只需单击对话框中的"Input Filters"按钮，打开如图42所示对话框。
   
#$[*7765.jpg*#a*#0*#0*#center*]$#

图40

#$[*7766.jpg*#a*#0*#0*#center*]$#

图41

　　第15步，单击"Add"按钮打开如图42所示对话框添加新的筛选器，在这个对话框中选择"Source network"复选项，然后在分别在"IP Address"和"Subnet mark"输入源网络的IP地址及子网掩码。

　　如果在服务器中安装有"IPX/SPX"协议，则在单击"OK"按钮后即出现如图43所示对话框，要求为请求拨号接口配置IPX数据包，同样可以取系统默认设置即可（选中"Enable IPX On this Interface"（允许在此接口上的IPX数据包传输）复选项），如果对方路由器或者客户是使用Windows NT操作系统，则选择"IPX CP"单选项，如果使用的是Novell，则选择"IPX WAN"单选项。输入/输出筛选器的配置方法与IP数据包筛选器的配置方法类似，在此不再赘述。
   
#$[*7767.jpg*#a*#0*#0*#center*]$#

图42

#$[*7768.jpg*#a*#0*#0*#center*]$#

图43

　　第16步，如果在服务器中安装有"NetBIOS"或者"NetBEUI"协议，则在单击如图43所示对话框中的"确定"按钮后会出现如图44所示对话框。这个对话框是对NetBIOS广播数据包进行配置。如果允许接口接收广播数据包，则选需中"Accept Broadcasts"复选项。在"Deliver Bradcasts"区域中可以设定此接口是否可以传递广播数据包，如果选中"Always"单选项，则此接口总是传递广播数据包；如果选中"Never"单选项，则此接口永不传递广播数据包；如果选中"Only for statically seeded"，则只当具有静态配置的广播数据包才传递；如果选中"Only When Interface Is"单选项，则只有当此接口呈激活状态才传递广播数据包。
  
#$[*7769.jpg*#a*#0*#0*#center*]$#

图44

#$[*7770.jpg*#a*#0*#0*#center*]$#

图45

　　第17步，单击"确定"按钮后，出现如图45所示对话框。这是IPX数据包所使用的默认路由协议（RIP）配置对话框。按系统默认即可，如果选中"Enable RIP On This Interface"，由允许在此接口上使用RIP路由协议；如果选中"Adertise Route"，则在此接口上允许路由广告；如果选中"Accept Route Adertisement"，则在此接口上允许接收路由广告。在"Update Mode"区域中可以选择RIP路由协议升级模式。还可为RIP路由协议配置输入/输出筛选器，方法与前面介绍的类似，不再赘述。

　　第18步，配置好后单击"确定"按钮，出现如图46所示对话框。这也是为IPX数据包路由协议SAP进行配置的对话框。因为它与RIP路由协议的配置方法类似，参照即可，在此不再赘述。配置好后单击"确定"按钮即完成请求拨号接口全部创建过程，并且在如图47所示RRAS对话框中显示刚才所创建的请求拨号接口。
  
#$[*7772.jpg*#a*#0*#0*#center*]$#

图46

#$[*7773.jpg*#a*#0*#0*#center*]$#

图47

3． Windows NT Server 4.0请求拨号接口的配置

　　请求拨号接口创建后还可进行更加详尽地配置，配置方法如下：

　第1步，在如图47所示对话框中选中"LAN and Demand Dial Interface"项，在详细列表框中选中前面所创建的请求拨号接口，然后单击鼠标右键，在出现的快捷菜单中选择"Configure Interface"选项，如图48所示。随后弹出如图49所示请求拨号接口配置对话框。
   
#$[*7790.jpg*#a*#0*#0*#center*]$#

图48

#$[*7791.jpg*#a*#0*#0*#center*]$#

图49

　　第2步，如图49所示对话框中可以在"Phone number or address of remote router"文本框中配置此请求拨号接口所用来连接的目标远程路由器IP地址，在"Connect using"可以选择此接口进行网络连接所使用的设备。

　　第3步，单击"Protocols"标签项，出现如图50所示对话框。这个对话框是用来设置利用此接口发起VN请求拨号连接所使用的通信协议。这主要是根据与之相连的远程VPN服务器所使用的操作系统而定，通常只需要选择"TCP/IP"单选项即可，如果对方是使用Novell操作系统，则还需要选择"IPX/SPX conpatible"（IPX/SPX兼容协议）单选项。如果不选择这一协议，则此接口不会在RRAS对话框"IPX Routing"中出现，也就不允许传输IPX数据包。
单击对话框中的"TCP/IP Settings"按钮，打开如图51所示对话框，在这个对话框中可以为此接口上的TCP/IP通信协议进行配置。
  
#$[*7792.jpg*#a*#0*#0*#center*]$#

图50

#$[*7793.jpg*#a*#0*#0*#center*]$#

图51

　　·Use IP address assigned by remote route：如果选中这一单选项，则此接口上的IP地址由远程路由器分配。
　　·Use this address：如果选中此单选项，则可以人工指定此接口上的IP地址。
　　·Use dafault name server addresses：如果选择此单选项，则通信时使用系统默认的服务名和地址。
　　·Use no name addresses：如果选中此单选项，则使用没有名称和地址的服务器。
　　·Use these name server addresses：如果选择此单选项，则可在下面详细配置远程VPN服务器的DNS、WINS服务器地址。

　　在如图50所示对话框中，如果选中"Enable software compression"，则在VPN通信过程中允许使用软件方式压缩数据包。如果选中"Enable PPP LCP extensions"，则允许使用PPP扩展属性，通常不要选择这一复选项，因为当与比较旧式的客户端通信时容易发生故障。

　　第4步，因为VPN通信通常不使用脚本，所以"Script"标签项通常不需要配置，当然如果所使用的拨号连接，则可以使用拨号脚本，可以进行配置。单击如图50所示对话框中的"Security"标签项，出现如图52所示对话框。
  
#$[*7794.jpg*#a*#0*#0*#center*]$#

图52

#$[*7795.jpg*#a*#0*#0*#center*]$#

图53

　　这个对话框是用来设置此请求拨号接口上的通信安全选项的，如数据加密和身份验证方法。

　　·Accept any authentication including clear text：如果选中此单选项，则接受任何身份验证方法，包括纯文本密码方式。
　　·Accept only encrypted authentication：如果选中此单选项，则只接受加密的身份验证方法，未经加密的的身份验证方法不予接受。
　　·Accept only Microsoft encrypted authentication：如果选中此单选项，则在此接口上只接受经过加密的软件身份验证方法，其他第三方加密方法不予接受。如果选中此单选项，则下面的"Require data encryptio"呈激活状态，选中后VPN通信中数据需要经过加密，未经加密的数据不予传输，连接中断。选中此复选项后，"Require stong data encryption"复选项也才可选，选中后则VPN通信中需要对通信数据采用强密方式加密。
　　·Use two-way authentiaiton：如果选中此复选项，则通信双方都需要采用身份验证，远程路由器对此接口在创建时所配置的"拨出凭据"用户身份信息进行验证，而本机也可采用类似方法对远程路由器接收VPN连接请求所使用的用户帐户信息进行验证，不过这也需要先在本机域管理器中配置好相应的用户帐户信息，通常不要选择这一复选项，进行单方面身份验证即可。

第5步，因为现在使用X.25网络的比较少，所以对这一方面的配置也就不再专门介绍。最后仅介绍在VPN连接中的一些配置选项。单击如图52所示对话框中的"Dialing"标签项，对话框如图53所示。

　　·Number redial attempts：用来设置重拨次数。
　　·Seconds between redial attempts ：用来设置重拨之间的间隔。
　　·Demand dial connection：在这个选项下的"Idle Seconds before hanging up"是用来设置连接空闲等待时间，到了这个时间连接就挂断。
　　·Persistent connection：如果选中此单选项，则持续连接一直到人为挂断为止。
　　因为不是采用拨号连接，所以不需要设置回拨（Callback）项。

　　通过以上各步设置，请求拨号接口的配置就全部完成了。

4． 静态路由的配置及路由器到路由器VPN的连接

　　请求拨号路由接口的配置完成后还可以对请求拨号接口配置静态路由，并且利用请求拨号接口向外发出VPN连接呼叫。方法如下：

　　第1步，在RRAS主界面对话框中选择"IP Routing"项，在详细列表中选择"Static Routes"选项，单击鼠标右键，在出现的快捷菜单中选择"Add Static route"选项，如图54所示。
 
#$[*7796.jpg*#a*#0*#0*#center*]$#

图54

　　第2步，单击"Add static route"快捷菜单项后出现如图55所示对话框。在对话框"Destination"文本框中输入目标路由网络的IP地址；在"Network mask"文本框中输入子网掩码；在"Gateway"文本框中输入网关IP地址；在"Metic"中输入路由器跃点数，通常为"1"；在"Interface"下拉列表中选择静态路由接口。
 
#$[*7797.jpg*#a*#0*#0*#center*]$#

图55

　　第3步，通常系统会自动为各接口配置许多特殊路由，当然包括按第2步方法人工添加的静态路由，如果要查看当前服务器中所有接口的路由，只需在如图54所示对话框中选择"View IP roting table"选项，即出现如图56所示路由列表对话框。
 
#$[*7799.jpg*#a*#0*#0*#center*]$#

图56

　　第4步，请求拨号接口创建、配置好后，即可利用它在需要时向远程VPN服务器发起呼叫（当然先要求在创建请求拨号接口时配置好了"拨出凭据"），方法是在相应的接口上单击鼠标右键，在出现的快捷菜单中选择"Connet"选项，如图57所示。
 
#$[*7801.jpg*#a*#0*#0*#center*]$#

图57

　　当然具有接收远程用户拨入权限的接口还可接收来自外部路由器的VPN连接呼叫。而且如果请求拨号接口允许使用IPX协议数据包，则还可为相应请求拨号接口配置IPX静态路由。

＜＜完＞＞