在本系列的最后一部分中，我们介绍了只要您在同一网络上，您就可以从任何地方管理和使用Windows计算机。但如果你不是呢？

请务必查看Windows 7上本极客学校系列的前几篇文章：

• 介绍如何去极客学校
• 升级和迁移
• 配置设备
• 管理磁盘
• 管理应用程序
• 管理Internet Explorer
• IP寻址基础
• 网络
• 无线网络
• 防火墙
• 远程管理

本周请继续关注本系列的其余部分。

网络访问保护

网络访问保护（networkaccessprotection）是微软试图根据试图连接到网络资源的客户端的健康状况来控制对网络资源的访问。例如，在您是笔记本电脑用户的情况下，可能有好几个月您在路上，并且没有将您的笔记本电脑连接到公司网络。在此期间，无法保证您的笔记本电脑不会感染病毒或恶意软件，甚至无法保证您收到反病毒定义更新。

在这种情况下，当您回到办公室并将计算机连接到网络时，NAP将根据您在其中一个NAP服务器上设置的策略自动确定计算机的运行状况。如果连接到网络的设备未通过健康检查，它将自动移动到网络的超级限制区域（称为修正区域）。在修正区域中时，修正服务器将自动尝试修正计算机的问题。例如：

• 如果防火墙被禁用并且策略要求启用，则修正服务器将为您启用防火墙。
• 如果您的运行状况策略声明需要最新的Windows更新，而您不需要，则可以在更新区域中安装一个WSUS服务器，该服务器将在您的客户端上安装最新的更新。

如果NAP服务器认为您的计算机正常，则它将被移回公司网络。有四种不同的方法可以强制NAP，每种方法都有自己的优点：

• VPN–在公司中，使用VPN强制方法非常有用，因为在公司中，远程工作者可以在家中使用自己的计算机远程工作。你永远无法确定某人可能会在你无法控制的PC上安装什么恶意软件。使用此方法时，每次启动VPN连接时都会检查客户端的健康状况。
• DHCP–当您使用DHCP强制方法时，在NAP基础结构认为客户端正常之前，不会从DHCP服务器向客户端提供有效的网络地址。
• IPsec–IPsec是一种使用证书加密网络流量的方法。虽然不是很常见，但也可以使用IPsec来强制NAP。
• 802.1x–802.1x有时也称为基于端口的身份验证，是在交换机级别对客户端进行身份验证的一种方法。使用802.1x来实施NAP策略是当今世界的标准做法。

拨号连接

由于某种原因，在当今这个时代，微软仍然希望您了解这些原始的拨号连接。拨号连接使用模拟电话网络，也称为POTS（普通旧电话服务），将信息从一台计算机传送到另一台计算机。他们使用调制解调器来实现这一点，调制解调器是单词modulate和demodulate的组合。调制解调器通常使用RJ11电缆连接到您的电脑，并将电脑中的数字信息流调制成可通过电话线传输的模拟信号。当信号到达目的地时，它被另一个调制解调器解调，并转换回计算机可以理解的数字信号。要创建拨号连接，请右键单击网络状态图标并打开网络和共享中心。

然后单击设置新连接或网络超链接。

现在选择设置拨号连接并单击下一步。

从这里你可以填写所有需要的信息。

注意：如果你在考试中遇到需要设置拨号连接的问题，他们会提供相关的详细信息。

虚拟专用网络

虚拟专用网络是您可以在公共网络（如internet）上建立的专用隧道，以便您可以安全地连接到另一个网络。

例如，您可以建立从家庭网络上的PC到公司网络的VPN连接。这样一来，你的家庭网络上的PC就好像真的是你公司网络的一部分。事实上，你甚至可以连接到网络共享，例如，如果你把你的电脑和物理**你的工作网络与以太网线。唯一的区别当然是速度：你不会得到千兆以太网的速度，如果你在办公室里，你会受到你的宽带连接速度的限制。

你可能想知道这些“私人隧道”有多安全，因为它们是通过互联网“隧道”的。每个人都能看到你的数据吗？不，他们不能，这是因为我们加密通过VPN连接发送的数据，因此被称为虚拟“专用”网络。用于封装和加密通过网络发送的数据的协议由您决定，Windows 7支持以下功能：

注：不幸的是，这些定义你将需要知道的心考试。

• Point-to-Point Tunneling Protocol (PPTP) – The Point to Point Tunneling Protocol allows network traffic to be encapsulated into an IP header and sent across an IP network, such as the Internet.
  • 封装：PPP帧被封装在IP数据报中，使用GRE的修改版本。
  • 加密：使用Microsoft点对点加密（MPPE）对PPP帧进行加密。在使用Microsoft质询握手身份验证协议版本2（MS-CHAP v2）或可扩展身份验证协议传输层安全性（EAP-TLS）协议的身份验证期间生成加密密钥。
• Layer 2 Tunneling Protocol (L2TP) – L2TP is a secure tunneling protocol used for transporting PPP frames using the Internet Protocol, it is partially based on PPTP. Unlike PPTP, the Microsoft implementation of L2TP does not use MPPE to encrypt PPP frames. Instead L2TP uses IPsec in Transport Mode for encryption services. The combination of L2TP and IPsec is known as L2TP/IPsec.
  • 封装：PPP帧首先用L2TP报头包装，然后用UDP报头包装。然后使用IPSec封装结果。
  • 加密：L2TP消息使用AES或3DES加密，使用IKE协商过程生成的密钥进行加密。
• Secure Socket Tunneling Protocol (SSTP) – SSTP is a tunneling protocol that uses HTTPS. Since TCP Port 443 is open on most corporate Firewalls, this is a great choice for those countries that don’t allow traditional VPN connecti***. It is also very secure since it uses SSL certificates for encryption.
  • 封装：PPP帧被封装在IP数据报中。
  • 加密：SSTP消息使用SSL加密。
• Internet Key Exchange (IKEv2) – IKEv2 is a tunneling protocol that uses the IPsec Tunnel Mode protocol over UDP port 500.
  • 封装：IKEv2使用IPSec ESP或AH头来封装数据报。
  • 加密：使用IKEv2协商过程生成的密钥对消息进行AES或3DES加密。

服务器要求

注意：很明显，您可以将其他操作系统设置为VPN服务器。但是，这些是运行WindowsVPN服务器的要求。

为了允许用户创建到您网络的VPN连接，您需要有一台运行Windows server的服务器，并安装以下角色：

• 路由和远程访问（RRAS）
• 网络策略服务器（NPS）

您还需要设置DHCP或分配通过VPN连接的计算机可以使用的静态IP池。

创建vpn连接

要连接到VPN服务器，请右键单击网络状态图标并打开网络和共享中心。

然后单击设置新连接或网络超链接。

现在选择连接到工作区并单击next。

然后选择使用现有的宽带连接。

P

现在，您需要输入要连接到的网络上VPN服务器的IP或DNS名称。然后单击“下一步”。

然后输入用户名和密码，然后单击连接。

连接后，您可以通过单击网络状态图标查看是否已连接到VPN。

作业

• 请阅读TechNet上的以下文章，它将指导您规划VPN的安全性。

注意：今天的作业有点超出了70-680考试的范围，但它会让你对从Windows7连接到VPN时幕后发生的事情有一个坚实的了解。

如果你有任何问题，可以发推特给我@taybgibb，或者只留下评论。