山東證券有限責任公司是一家經營山東省證券業務的公司，總部在濟南市，在全省各個地市有十幾處營業部，另外在上海和北京設有兩處營業部。日常各部之間的聯系極為緊密，尤其是各地市分部與總部的聯系更是如此。鑒于證券行業的特點，為了把各地市分部的網絡連成一體，而又降低投資和管理費用，同時并加強通信的安全性，我們采用了目前微軟的基于WINDOWS NT 的VPN技術來建設山東證券網絡。
　　
　　具體的連接方式是各地市營業部采用64K DDN專線通過169公網與總部VPN服務器建立VPN通道連接。同時，為了保證整個VPN網絡的連續運行，設立青島接點做為VPN備份服務器，一旦濟南中心點出現故障，各地市的連接就轉移到青島接點上。另外在濟南中心接點，配置一MODEM 池，以便在緊急情況下，做為各地市的撥入設備使用。
　　
　　山東證券VPN網絡的IP地址規劃：濟南中心接點的局域網IP為100.100.0.1，子網掩碼為255.255.255.0，即100.100.0.0網絡段，其它地市營業部的網絡段地址分別為100.100.1.0到100.100.18.0，各地市營業部的VPN驗證服務器IP地址分別為100.100.1.1到100.100.18.1，掩碼都是255.255.255.0。因此這種劃分足以滿足該公司現在與以后的要求。
　　
　　各地市VPN驗證服務器配置過程:
　　
　　1.在WINDOWS NT 服務器上安裝PPTP協議，并把VPN私有網絡通道數設置為2，這兩個通道用來與中心點服務器連接訪問。
　　
　　2.安裝VPN 路由及RAS管理軟件(mpri386.exe)，當安裝完成之后，Routing and RAS Admin項就自動地出現在NT的程序項中。
　　
　　3.在撥號網絡里添加VPN撥號接口，并進行用戶名、口令、運行的協議以及安全認證等的配置。
　　
　　4. 進行路由選項的配置，我們選用了靜態路由進行配置，其中VPN路由的目的IP地址都是100.100.0.0（掩碼為255.255.0.0）即到中心接點的路由。在這里中心點驗證服務器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的網關都是中心點VPN PPTP POOL 地址池中IP的第一個IP地址即100.100.100.1。接口是添加的VPN撥號接口。到169公網的路由0.0.0.0（掩碼為0.0.0.0），網關是各地營業部路由器的以太口地址， 接口是機器的網卡。在驗證服務器是NT 域中創建用于撥號的用戶。
　　
　　下面以一個地市(青島)的VPN服務器配置為例。
　　
　　(1)首先在windows NT 4.0的網絡中添加PPTP協議
　　
　　(2)添加好PPTP點對點協議后再設置兩個VPN私人網絡通道。用來與中心點驗證服務器連接及中心點驗證服務器與本地連接作路由功能用。
　　
　　(3)安裝VPN RAS And Routing Admin(mpri386.exe)軟件。
　　
　　(4)在安裝過程中要重新啟動計算機3次，才能完成Routing And RAS 的安裝。安裝成功后會在程序項中增加Routing And RAS Admin程序項，接下來要配置VPN撥號及路由。
　　
　　(5)添加VPN撥號適配器及撥號IP地址，設置VPN驗證用戶名、口令和域。
　　
　　添加完成后，可以設置VPN按需撥號路由，及VPN驗證加密方式。
　　
　　　
　　
　　(6)接下來要設置VPN路由，可以用靜態路由也可以用RIP路由，這里我們用靜態路由，要添加兩個路由。一個是走VPN通道的路由(VPN_qd Interface)、另一個是走Internet網絡的路由(3Com EhterIII卡)。在這里中心點驗證服務器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的網關都是中心點VPN PPTP POOL 地址池中IP的第一個IP地址即100.100.100.1。本地Internet網關IP地址應是各地市營業所路由器以太口IP地址如10.86.0.4。則Static Routes(靜態路由表)為下表：
　　
　　（7）在NT的域用戶管理器中添加VPN撥號用戶，并允許撥入。
　　
　　在這里我們以青島為例，添加VPN_QD用戶，設置VPN撥號口令，并給予撥入權限。
　　
　　設置完成后，可以從本地的工作站Ping中心點的局域網中的工作站，如ping 100.100.0.1或ping 100.100.0.11如果能Ping通，則建立VPN路由正確。如果Ping不通中心點上的工作站，但能ping通中心點的VPN驗證服務器，可能是本地VPN路由不正確。
　　
　　另外在本地VPN服務器是可以Ping通Internet上的其他計算機的，如果Ping不通，可能是默認靜態路由設置有誤。如果一切正常那么在Routing And RAS Admin管理中的Vpn_qd 和3Com EhterIII Line的Connection State(LAN And Demand Dial Interface)狀態應該都是Connected在連接上，本地VPN服務器應該與路由器及連接局域網的集線器相連接。局域網上的工作站IP地址應設置為虛擬IP地址，VPN驗證服務器或者是兩塊網卡(一塊連接路由器、另一塊設置虛擬IP地址連接局域網)，或者是一塊網卡(捆綁兩個IP地址)。
　　
　　中心接點VPN驗證服務器的配置過程：
　　
　　其配置過程基本上與各地市的驗證服務器配置過程一樣，就是所添加的VPN私有網絡通道數是各營業部所添加的和。要創建到各營業部的VPN接口，并且對每一借口進行靜態路由的配置。還要在WINDOWS NT 的域用戶管理器上創建每一個VPN用戶。
　　
　　當中心點驗證服務器和營業部驗證服務器的配置都結束之后，就可以進行VPN的連接。另外應注意的是，各地市營業部網絡段上的客戶端機器的IP地址應配置為該營業部VPN的規劃地址，而不是169IP地址或其它。只有這樣，才能使客戶端機器通過本地驗證服務器連接到中心接點進行資源的訪問。