VPN專線組網(wǎng)方案

隨著網(wǎng)絡(luò)科技的飛速發(fā)展，網(wǎng)絡(luò)的安全性備受網(wǎng)絡(luò)運(yùn)維人員的關(guān)注，但是在保證網(wǎng)絡(luò)相對安全的前提下，如何提高網(wǎng)絡(luò)的便利性呢？這就是今天我們來探討的話題，接下來就結(jié)合一個網(wǎng)絡(luò)開通案例來詳細(xì)的介紹一下VPN專線的實施過程。

根據(jù)現(xiàn)有業(yè)務(wù)開展和合作的需要，近日需要將某商業(yè)集團(tuán)的管理系統(tǒng)接入至筆者單位，從技術(shù)以及安全通訊的角度綜合來考慮，有兩個方案可供選擇。方案一，將該管理系統(tǒng)按照專線性質(zhì)接入至數(shù)據(jù)核心機(jī)房，然后依托現(xiàn)有光纜資源作為專線業(yè)務(wù)直接傳輸至各分部。方案二，將該管理系統(tǒng)使用專線接入至廣電核心數(shù)據(jù)機(jī)房，然后以VPN的方式傳輸至各分部。

上面我們將管理系統(tǒng)接入的兩種方案進(jìn)行了簡單的敘述，接下來就對兩種的方案的可行性和優(yōu)缺點(diǎn)進(jìn)行分析和比較。首先兩個方案的共同點(diǎn)是使用專線性質(zhì)將管理系統(tǒng)接入至核心數(shù)據(jù)機(jī)房，不同的是數(shù)據(jù)到達(dá)核心數(shù)據(jù)機(jī)房后，使用那種方式傳輸至縣市分公司分部。方案一采用的方法是劃分VLAN，使用專線的方式進(jìn)行傳輸。該方案的優(yōu)點(diǎn)是業(yè)務(wù)獨(dú)立，開通簡單，利于網(wǎng)絡(luò)維護(hù)和搭建，在開通時間上存在快捷的優(yōu)點(diǎn)。而缺點(diǎn)是該業(yè)務(wù)獨(dú)立成網(wǎng)，在經(jīng)濟(jì)上開支較大，而且為實現(xiàn)管理系統(tǒng)在分部落地，必須使用專門的PC機(jī)進(jìn)行操作，這樣在一定程度上又會引發(fā)一筆投資。方案二，使用VPN的方式將管理系統(tǒng)傳輸至縣市區(qū)分部，VPN即虛擬專用網(wǎng)，通常是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠(yuǎn)程訪問。VPN有多種分類方式，主要是按協(xié)議進(jìn)行分類。VPN可通過服務(wù)器、硬件、軟件等多種方式實現(xiàn)。方案二中使用的VPN方式是通過軟件來實現(xiàn)，簡單設(shè)想下，在分部的辦公區(qū)任意一臺辦公電腦，如果能實現(xiàn)訪問管理系統(tǒng)的目的，這樣不但可以方便辦公，還可以提高工作效率，同時在一定程度上也避免了硬件PC機(jī)的投入。通過對現(xiàn)有兩種方案利弊的權(quán)衡，并綜合考慮到VPN技術(shù)的成熟和穩(wěn)定性，我們決定采用方案二來解決此次網(wǎng)絡(luò)組網(wǎng)。

這里提到網(wǎng)絡(luò)組網(wǎng)，必不可少的要介紹一下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在該商業(yè)集團(tuán)部署一臺企業(yè)級路由器，用于地址的轉(zhuǎn)換，同時也能起到防火墻的作用，這樣有效提高了網(wǎng)絡(luò)部署的安全性和規(guī)范性。然后通過路由器使用裸光纖將數(shù)據(jù)連接至我方數(shù)據(jù)核心機(jī)房。為部署VPN業(yè)務(wù)，將裸光纖數(shù)據(jù)連接至VPN服務(wù)器上，服務(wù)器的另外一個網(wǎng)卡連接至辦公網(wǎng)中（可以訪問Internet）。具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)組網(wǎng)拓?fù)涫疽鈭D

通過圖1可以清晰地看到網(wǎng)絡(luò)的整個拓?fù)浣Y(jié)構(gòu)，接下來開始配置VPN服務(wù)器，上面講到VPN服務(wù)器的一個網(wǎng)卡接入辦公網(wǎng)交換機(jī)，設(shè)置IP地址10.66.66.148/21,網(wǎng)關(guān)設(shè)置為10.66.64.1，這樣該服務(wù)器就完成了辦公網(wǎng)的接入，意思也就是打通了該服務(wù)器至各分部辦公用戶的通道，簡單講各分部的辦公用戶只要能ping通10.66.66.148這臺服務(wù)器，就可以進(jìn)行VPN連接，這也是為后面的VPN撥號鏈接做準(zhǔn)備。服務(wù)器的另外一個網(wǎng)卡通過光模塊介質(zhì)連接企業(yè)級路由器，設(shè)置IP地 址172.16.10.2/24,即路由器LAN口的IP地址。這次使用的是Window 2008系統(tǒng)服務(wù)器，一臺設(shè)備兩個網(wǎng)卡，只能設(shè)置一個網(wǎng)關(guān)，那么172.16.10.2/24網(wǎng)卡的網(wǎng)關(guān)，需要使用DOS命令進(jìn)行寫入，即“route add 172.16.10.0 mask 255.255.255.0 172.16.10.1”，這樣就完成了服務(wù)器網(wǎng)卡IP地址的設(shè)置，接下來開始配置VPN軟件服務(wù)器端。

圖2 網(wǎng)橋設(shè)置示意圖

這次使用到的VPN軟件名稱是“SoftEther”，該軟件可以在互聯(lián)網(wǎng)上進(jìn)行下載，接下來就簡要的介紹一下該軟件服務(wù)器端設(shè)置的方法。

該軟件服務(wù)器端首次安裝完畢后需要設(shè)置管理員密碼，然后創(chuàng)建一個虛擬的HUB，不妨給這個HUB命名為“VPN”，然后可在該 HUB下設(shè)置客戶端登錄的用戶名和密碼，為實現(xiàn)VPN數(shù)據(jù)通訊，需要在該服務(wù)器端設(shè)置網(wǎng)橋，實現(xiàn)兩個網(wǎng)卡數(shù)據(jù)的通信，這也是該服務(wù)器軟件調(diào)試的核心。具體操作是，首先開啟兩個網(wǎng)卡的VLAN透明設(shè)置，然后再將連接企業(yè)級路由器的網(wǎng)卡設(shè)置成網(wǎng)橋目標(biāo)網(wǎng)絡(luò)適配器，如圖2。

完成本地網(wǎng)橋的操作后，修改下VPN撥號后獲取的地址池，保證該地址池IP和網(wǎng)卡172.16.10.2在同一網(wǎng)段。這樣就完成服務(wù)器端的設(shè)置?？蛻舳嗽O(shè)置就相對來說比較簡單，安裝完畢后，設(shè)置下客戶端的主機(jī)名即10.66.66.148，然后輸入用戶名和密碼直接撥號即可。撥號成功后，經(jīng)過驗證可以訪問管理系統(tǒng)，同時在撥號后，互聯(lián)網(wǎng)自動斷開，這樣在一定程度上也保證了網(wǎng)絡(luò)的安全性，鑒于該系統(tǒng)使用的頻次少的問題，可以安裝在辦公電腦上，根據(jù)工作需要使用VPN客戶端進(jìn)行連接，真正實現(xiàn)了一個網(wǎng)線接入兩張網(wǎng)絡(luò)。

上面我們通過對網(wǎng)絡(luò)需求的知悉，然后根據(jù)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)以及其他方面的考慮，對組網(wǎng)的兩種方案的優(yōu)缺點(diǎn)進(jìn)行比較和分析。在保證網(wǎng)絡(luò)安全的前提下，從方便工作，同時兼顧經(jīng)濟(jì)效益的角度出發(fā)，決定采用VPN的方式進(jìn)行組網(wǎng)。后面我們通過配置網(wǎng)卡IP地址，配置VPN服務(wù)器端和客戶端，最終實現(xiàn)了網(wǎng)絡(luò)需求。

此次網(wǎng)絡(luò)的調(diào)試，VPN軟件的使用是一個全新的課題，從部署服務(wù)器到網(wǎng)絡(luò)的調(diào)試，經(jīng)歷了坎坎坷坷，一路走來，感覺網(wǎng)絡(luò)的調(diào)試也要勇于嘗試，要富有挑戰(zhàn)意識，只有這樣才能不斷豐富自我的網(wǎng)絡(luò)閱歷，提高網(wǎng)絡(luò)調(diào)試和開通的水平，從而保證網(wǎng)絡(luò)的安全和諧。