VPN专线组网方案
2017-11-23
随着网络科技的飞速发展,网络的安全性备受网络运维人员的关注,但是在保证网络相对安全的前提下,如何提高网络的便利性呢?这就是今天我们来探讨的话题,接下来就结合一个网络开通案例来详细的介绍一下VPN专线的实施过程。
根据现有业务开展和合作的需要,近日需要将某商业集团的管理系统接入至笔者单位,从技术以及安全通讯的角度综合来考虑,有两个方案可供选择。方案一,将该管理系统按照专线性质接入至数据核心机房,然后依托现有光缆资源作为专线业务直接传输至各分部。方案二,将该管理系统使用专线接入至广电核心数据机房,然后以VPN的方式传输至各分部。
上面我们将管理系统接入的两种方案进行了简单的叙述,接下来就对两种的方案的可行性和优缺点进行分析和比较。首先两个方案的共同点是使用专线性质将管理系统接入至核心数据机房,不同的是数据到达核心数据机房后,使用那种方式传输至县市分公司分部。方案一采用的方法是划分VLAN,使用专线的方式进行传输。该方案的优点是业务独立,开通简单,利于网络维护和搭建,在开通时间上存在快捷的优点。而缺点是该业务独立成网,在经济上开支较大,而且为实现管理系统在分部落地,必须使用专门的PC机进行操作,这样在一定程度上又会引发一笔投资。方案二,使用VPN的方式将管理系统传输至县市区分部,VPN即虚拟专用网,通常是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。方案二中使用的VPN方式是通过软件来实现,简单设想下,在分部的办公区任意一台办公电脑,如果能实现访问管理系统的目的,这样不但可以方便办公,还可以提高工作效率,同时在一定程度上也避免了硬件PC机的投入。通过对现有两种方案利弊的权衡,并综合考虑到VPN技术的成熟和稳定性,我们决定采用方案二来解决此次网络组网。
这里提到网络组网,必不可少的要介绍一下网络拓扑结构。在该商业集团部署一台企业级路由器,用于地址的转换,同时也能起到防火墙的作用,这样有效提高了网络部署的安全性和规范性。然后通过路由器使用裸光纤将数据连接至我方数据核心机房。为部署VPN业务,将裸光纤数据连接至VPN服务器上,服务器的另外一个网卡连接至办公网中(可以访问Internet)。具体的网络拓扑结构如图1所示。
图1 网络组网拓扑示意图
通过图1可以清晰地看到网络的整个拓扑结构,接下来开始配置VPN服务器,上面讲到VPN服务器的一个网卡接入办公网交换机,设置IP地址10.66.66.148/21,网关设置为10.66.64.1,这样该服务器就完成了办公网的接入,意思也就是打通了该服务器至各分部办公用户的通道,简单讲各分部的办公用户只要能ping通10.66.66.148这台服务器,就可以进行VPN连接,这也是为后面的VPN拨号链接做准备。服务器的另外一个网卡通过光模块介质连接企业级路由器,设置IP地 址172.16.10.2/24,即路由器LAN口的IP地址。这次使用的是Window 2008系统服务器,一台设备两个网卡,只能设置一个网关,那么172.16.10.2/24网卡的网关,需要使用DOS命令进行写入,即“route add 172.16.10.0 mask 255.255.255.0 172.16.10.1”,这样就完成了服务器网卡IP地址的设置,接下来开始配置VPN软件服务器端。
图2 网桥设置示意图
这次使用到的VPN软件名称是“SoftEther”,该软件可以在互联网上进行下载,接下来就简要的介绍一下该软件服务器端设置的方法。
该软件服务器端首次安装完毕后需要设置管理员密码,然后创建一个虚拟的HUB,不妨给这个HUB命名为“VPN”,然后可在该 HUB下设置客户端登录的用户名和密码,为实现VPN数据通讯,需要在该服务器端设置网桥,实现两个网卡数据的通信,这也是该服务器软件调试的核心。具体操作是,首先开启两个网卡的VLAN透明设置,然后再将连接企业级路由器的网卡设置成网桥目标网络适配器,如图2。
完成本地网桥的操作后,修改下VPN拨号后获取的地址池,保证该地址池IP和网卡172.16.10.2在同一网段。这样就完成服务器端的设置。客户端设置就相对来说比较简单,安装完毕后,设置下客户端的主机名即10.66.66.148,然后输入用户名和密码直接拨号即可。拨号成功后,经过验证可以访问管理系统,同时在拨号后,互联网自动断开,这样在一定程度上也保证了网络的安全性,鉴于该系统使用的频次少的问题,可以安装在办公电脑上,根据工作需要使用VPN客户端进行连接,真正实现了一个网线接入两张网络。
上面我们通过对网络需求的知悉,然后根据现有网络结构以及其他方面的考虑,对组网的两种方案的优缺点进行比较和分析。在保证网络安全的前提下,从方便工作,同时兼顾经济效益的角度出发,决定采用VPN的方式进行组网。后面我们通过配置网卡IP地址,配置VPN服务器端和客户端,最终实现了网络需求。
此次网络的调试,VPN软件的使用是一个全新的课题,从部署服务器到网络的调试,经历了坎坎坷坷,一路走来,感觉网络的调试也要勇于尝试,要富有挑战意识,只有这样才能不断丰富自我的网络阅历,提高网络调试和开通的水平,从而保证网络的安全和谐。