有關VPN客戶機的一個常見的錯覺是認為它們是在VPN上連接到企業網絡的工作站。這種工作站肯定是一種VPN客戶機，但是，它并不是惟一的一種 VPN客戶機。VPN客戶機可以是一臺計算機，還可以是一臺。你的網絡需要使用什么類型的VPN客戶機確實取決于你的公司的具體需求。

　　例如，如果你碰巧有一個缺少與公司辦公室直接連接的一個分支辦公室，使用一臺路由器作為VPN客戶機對你來說可能是一個很好的選擇。通過這樣做，你可以利用一個單個的連接把整個分支辦公室與公司辦公室連接起來。不需要每一臺PC都單獨建立一個連接。

　　另一方面，如果你擁有一些經常出差的雇員，這些雇員需要在旅行中訪問公司的網絡，你把這些雇員的電腦設置為VPN的客戶機可能會有好處。

　　從技術上說，只要支持PPTP、L2TP或者IPSec協議，任何操作系統都可以作為一臺VPN客戶機。就微軟而言，這意味著你可以使用 Windows NT 4.0、9X、ME、2000和XP操作系統。雖然所有這些操作系統從技術上說都可以作為客戶機，我建議你堅持使用Windows 2000或者Windows XP操作系統，因為這些操作系統能夠支持L2TP和PSec協議。

　　VPN服務器

　　VPN服務器可以當作VPN客戶機的一個連接點。從技術上說，你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系統作為一臺VPN服務器。不過，為了保證安全，我認為你應該使用Windows Server 2003操作系統。

　　有關VPN服務器的******的誤解之一是VPN服務器所有的工作都是自己完成的。我的朋友無數次地對我說，他們要購買一臺VPN服務器。他們沒有認識到VPN服務器只是必要的組件之一。

　　VPN服務器本身是非常簡單的。VPN服務器不過是執行路由和遠程訪問服務任務的一個增強的‘Windows 2003 Server’服務器。一旦一個進入VPN網絡的請求被批準，這個VPN服務器就簡單地充當一臺路由器向這個VPN客戶機提供專用網絡的接入。

　　ISA服務器

　　VPN服務器的額外要求之一是你要有一臺RADIUS(遠程認證撥入用戶服務)服務器。遠程認證撥入用戶服務是互聯網服務提供商在用戶試圖建立互聯網連接的時候對用戶進行身份識別的一種機制。

　　你需要使用RADIUS服務器的原因是你需要一些身份識別機制對通過VPN連接進入你的網絡的用戶進行身份識別。你的域名控制器不能完成這個任務。即使你的域名控制器能夠勝任這個任務，把域名控制器暴露給外部******也不是一個好主意。

　　現在的問題是你從什么地方獲得這個RADIUS服務器?微軟有自己版本的RADIUS，名為“互聯網身份識別服務”，英文縮寫字是IAS。 Windows Server 2003操作系統包含IAS功能。這是一個好消息。壞消息是由于安全的原因不能在同一臺計算機中把ISA當作路由和遠程訪問服務(RRAS)來運行。即使可以這樣做，我也不能肯定在虛擬服務魃柚彌饈欠裼姓飧隹贍堋?

　　防火墻

　　你的VPN需要的其它組件是一個良好的防火墻。的確。你的VPN服務器接受來自外部******的連接，但是，這并不意味著外部世界需要完全訪問的VPN服務器。你必須使用防火墻封鎖任何沒有使用的端口。

　　建立VPN連接的基本要求是，VPN服務器的IP地址必須能過通過互聯網訪問，VPN通信必須能夠通過你的防火墻進入VPN服務器。然而，還有一項可選擇的組件。你可以使用這個組件讓你的VPN服務器更安全。

　　如果你非常重視安全問題(而且你有這筆預算)，你可以在ISA服務器和你的周邊防火墻和VPN服務器之間放置一個ISA服務器。這個想法是，你可以設置防火墻把所有的與VPN有關的通信都指向那個ISA服務器，而不是指向VPN服務器。然后，ISA服務器將充當一個VPN***************。

　　VPN客戶機和VPN服務器僅與ISA服務器進行通信。它們相互之間從來不直接通信。這就意味著ISA服務器在保護VPN服務器，不允許直接訪問VPN服務器，從而為VPN服務器增加了一個保護層。