中小企业VPN组网设置(图)
不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。现在中小企业通过ADSL宽带网络连接互联网并建立自己的局域网比较常见,而VPN的使用范围也已经越来越广了。
笔者就认识不少把自己家的电脑和单位的局域网通过VPN连接起来的朋友。笔者通过调查发现现在通常有两种方法实现局域网的VPN连接:一种是在局域网中的客户机上可以进行单个VPN连接,通过计算机的VPN功能或客户端软件建立PPTP或IPSEC的VPN连接;另一种是在ADSL路由器上建立B2B(Branch to Branch,网对网的连接)的VPN连接。
这两种方法各有利弊,如果实现单个计算机的VPN连接,好处是局域网中的计算机建立VPN连接的时候不会影响其它计算机连接公网,缺点是同时只能有一台计算机建立连接,适合于企业用户,尤其是当企业计算机比较多的时候。
而建立B2B的VPN连接以后,局域网中的计算机都连接VPN了,所有的连接都是建立在VPN之上的,影响了连接INTERNET的速度,因为VPN连接以后建立隧道,数据是加密的,所有的连接都要通过VPN服务器来转接,适合于经常需要连接外网以及局域网中的计算机比较少的情况。
下面笔者就把自己设置VPN过程写出来和大家分享:
一、局域网组建配置方案
1、局域网方案 笔者单位是通过硬件路由组建的局域网,网络结构如图1所示,包括一台ADSL路由器、一台ADSL接入设备以及HUB。
宽带VPN接入方案(点击看大图) |
由于局域网中计算机没有公有IP地址,ADSL连接的时候从ISP那里得到的是一个动态分配的IP地址,所以局域网中同时只能有一台计算机可以单个连接VPN,但连接是任意的,局域网中的一台计算机连接VPN也不会影响到其它计算机连接公网。
2、局域网配置 通过ADSL路由器组建局域网,理论上最多可以连接253台计算机。路由器从出厂就默认配置Router IP:192.168.1.1,局域网中的其它客户机可以配置IP为192.168.1.*,网关设置为:192.168.1.1,子网掩码为:255.255.255.0,下面笔者以Vigor ADSL路由器为例子说明如何进行配置。
ADSL路由器配置(点击看大图) |
ADSL路由器配置是通过WEB界面来在控制,客户机上通过IE来访问,有关ADSL路由器的详细配置参看有关文档,这里只涉及连接ADSL的配置方法。
选择INTERNET连接方式(点击看大图) |
在图(ADSL路由器配置)中,点击"Internet Access Setup",进入图(选择INTERNET连接方式),Vigor ADSL路由器可以连接ADSL、ISDN以及DDN等网络连接方式,ADSL可以通过PPPOE协议来进行连接,点击"PPPOE"进入对PPPOE的配置。
对PPPOE的配置(点击看大图) |
在上图中,在PPPOE Setup中选择"Enable"启用PPPOE的连接功能,在"ISP Access Setup"中填写有关信息:ISP Name为ISP接入服务提供商,Username为ISP分配给用户的帐号,Password为密码。
这样就实现了局域网中的计算机网络连接,相当于用ADSL路由器来做代理服务器,但是这个服务器是随时可以开通,也是随时关闭的,只要局域网中的计算机启动,ADSL路由器就自动启动服务,进行ADSL的拨号,完成网络连接;当局域网中的计算机都关闭以后,ADSL路由器也自动关闭网络服务。配置好网络连接以后,局域网中的客户机就可以进行单个的VPN连接,但是同时只也许一台计算机进行连接,要实现整个局域网的VPN连接,还要进行配置。
二、局域网VPN接入方案
设置Router上Internet网以后,就可以进行ADSL路由器的VPN拨号连接,实现整个局域网连接VPN。
1、VPN连接配置 回到主页(如图ADSL路由器配置所示),
ADSL路由器配置(点击看大图) |
选择"VPN and Remote Access Setup"(VPN和远程拨号访问配置)进行VPN的设置。
VPN设置(点击看大图) |
在图VPN设置中选择"Remote Access Contorl Setup",进入图VPN远程访问控制协议;
VPN远程访问控制协议(点击看大图) |
在图VPN远程访问控制协议中,启动VPN连接过程当中需要启动的协议,LAN-to-LAN 的VPN连接可以用PPTP、IPSEC以及L2TP等协议,全部选中协议都起用。点击"ok",回到图VPN连接管理中,
VPN连接管理(点击看大图) |
再点击图VPN连接管理中"LAN-to-LAN Dialer Profile Setup",进入图 VPN配置。
VPN配置(点击看大图) |
在图VPN连接管理中,列出了该局域网连接的VPN情况,在ADSL路由器上可以同时进行多个VPN连接,即实现几个局域网互联。点击INDEX下的"1",进入图VPN配置。在图VPN配置中,首先是命名连接,profile name为:ciecc,选中"Enable the profile",由于是局域网连接到外网,而不需要提供别的人进行访问内部局域网,所以在"Call Direction"选项中选择"Dial-Out"。在"Dial-Out Settings"中填写用户名和口令,以及要连接的局域网对外的IP地址。
填入帐号和口令,服务器地址为:*.*.*.250。在"Type of Server I am calling"中选择进行VPN连接所用的协议,这里选择"PPTP"。
VPN配置(点击看大图) |
在上图中,"Dial-in Settings"不用设置,这里是为外面接到企业局域网提供的设置。在"TCP/IP Network Settings"设置远方接入的网络,主要是IP地址、网络掩码等。
2、VPN连接管理 回到图VPN设置,点击"VPN Connection Management",进入图VPN连接管理。
VPN连接管理(点击看大图) |
在"Dial-out Tool"下的下拉框选择刚建立的VPN连接,点击"Dial"进行VPN连接。连接成功以后就会显示建立的连接,如果想要终止VPN的连接,点击"Drop"。
三、配置VPN服务器
下面笔者就VPN服务器端使用Win2000;客户机端使用Win98来设置VPN。
(1)尚未配置:Win2K中的VPN包含在"路由和远程访问服务"中。当Win2K服务器安装好之后,它也就随之自动存在了!不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后,在左边的"树"栏中选中"服务器准状态",即可从右边看到其"状态"正处于"已停止(未配置)"的情况下。
(2)开始配置:要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中"SERVER"(服务器名),在其上单击右键,选"配置并启用路由和远程访问"。
配置并启用路由和远程访问(点击看大图) |
(3)如果以前已经配置过这台服务器,现在需要重新开始,则在"SERVER"(服务器名)上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置!
(4)当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络(VPN)服务器",以便让用户能通过公共网络(比如Internet)来访问此服务器。
虚拟专用网络(VPN)服务器(点击看大图) |
(5)在"远程客户协议"的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选"是,所有可用的协议都在列表上"再"下一步"即可。
(6)之后系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等)再"下一步"。
(7)接着在回答"您想如何对远程客户机分配IP地址"的询问时,除非你已在服务器端安装好了DHCP服务器,否则请在此处选"来自一个指定的IP地址范围"(推荐)。
(8)然后再根据提示输入你要分配给客户端使用的起始IP地址,"添加"进列表中,比如此处为"192.168.1.80~192.168.1.90"。(请注意,此IP地址范围要同服务器本身的IP地址处在同一个网段中,即前面的"192.168.1"部分一定要相同!)
(9)最后再选"不,我现在不想设置此服务器使用RADIUS"即可完成最后的设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口,当它消失之后,打开"管理工具"中的"服务",即可以看到"Routing and Remote Access"(路由和远程访问)项"自动"处于"已启动"状态了!
已启动状态(点击看大图) |
(1)默认的,任何用户均被拒绝拨入到服务器上。
(2)欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器(在"计算机管理"项或"Active Directory用户和计算机"中),选中所需要的用户,在其上单击右键,?quot;属性"。
(3)在该用户属性窗口中选"拨入"项,然后点击"允许访问"项,再"确定"即可完成赋予此用户拨入权限的工作。
用户属性窗口(点击看大图) |
五、通过局域网来进行的VPN连接
(1)进入Win98的计算机,它要想连接到VPN服务器,则需要先安装"虚拟专用网络"服务。在控制面板的"网络"下,进入"通讯"即可找到此项并添加上去;安装完成之后再根据提示重启动计算机。
(2)重新启动之后,在控制面板的"网络"中就有了"Microsoft 虚拟私人网络适配器",即说明VPN服务已安装成功!
Microsoft 虚拟私人网络适配器(点击看大图) |
(3)还需要建立到VPN服务器的连接。首先进入我的电脑?quot;拨号网络"中,双击"建立新连接",然后在"请键入对方计算机的名称"输入连接名,比如为"局域网内的VPN连接",在"选择设备"下一定不要忘了选中"Microsoft VPN Adapter"项!再"下一步"。
Microsoft VPN Adapter(点击看大图) |
(4)接着出现"请输入VPN服务器的名称或IP地址",在其下的文字框中输入Win2K服务器的名字或IP地址,比如此处为"192.168.1.1",再根据提示操作即可建立成功!
输入Win2K服务器的名字或IP地址(点击看大图) |
(5)然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标,再输入相应的用户名(需具有拨入服务器的权限)和密码,再按"连接"按钮。
(6)如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口。
当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络!这个网络是双方专用的,而且具体良好的保密性能。VPN建立成功之后,双方便可以通过IP地址或"网上邻居"来达到互访的目的,当然也就可以使用对方所共享出来的软硬件资源了!
六、推荐产品
Linksys RV082(点击看大图) |
参考价:3500元
Linksys RV082 是一款双广域网(WAN)口企业级VPN路由器,内置的VPN功能允许50个远程用户访问。通过一条VPN隧道联接的用户能够进入你公司的网络-进行文件的安全的存取, 电子邮件,就好像他们在同一个地方办公。你能也使用VPN功能,让办公室网络上允许用户外面联接。
RV082具有8个10/100Mbps 自适应LAN端口和2个10/100Mbps WAN 端口,是为小型网络解决方案而专门设计的,具有先进的共享internet功能。像任何路由器一样, 在你的办公室里,它能让不同的计算机共享因特网连接。这款VPN路由器让你作为备份连结Internet从不掉线 如果同时使用两个WAN端口,能够使路由器平衡最大的带宽来满足你的办公室的要求。
另外这款VPN路由器能作为DHCP服务器, 通过强有力的SPI防火墙可以保护你的PC免于入侵,及时过滤内在用户无效的因特网访问。
点评:作为一款双WAN接口企业级VPN路由器,RV082--VPN路由器的性价比很高,与同类产品相比它有价格,品牌优势,而且内存,FLASH的容量较大,CPU的各项性能都能有优异的表现。同时应用性特别强,即可用于增加带宽,也可用于备份网络连接,更可以一端口连接广域网做连接共享,另一端口专做VPN 实现安全。
HiPER 2231CS
HiPER 2231CS(点击看大图) |
参考价:2800元
HiPER 2231CS 是一款功能丰富的产品,集防火墙、VPN及共享上网功能于一身。可建16条VPN隧道,并发10条隧道,可做SERVER端,也可作CLIENT端。HiPER2231CS采用高度集成设计,集成了1个10MB/100MB宽带以太网WAN接口、内置4端口10/100MB以太网交换机,同时提供一个连接模拟或ISDN调制解调器串行接口作为备份端口使用。
该产品提供了MAC地址过滤、数据包过滤、封包检验、网络隔离和端口重新定向等功能,保证网络安全。基于CBQ算法的IP QoS功能,保证带宽合理分配及语音、视频等多媒体的应用,满足企事业单位、学校等对上网管理的要求作为网络上关键的一环,路由器除了要不断加强功能外,自身的适应能力也要加强,这一点HiPER2231CS做得非常好,它特别优化了电源部分的设计,其独特的宽电压适应设计可以保证系统在90V-240V电压下正常工作。
点评:HiPER2231CS是一款功能强大的VPN接入路由产品,适应性强,是中小企业实现VPN业务的理想选择,能帮助你快速实现VPN网络部署,它在一个紧凑的机箱内集成了IP路由、网络地址翻译NAT、按需拨号和、P地址过滤及VPN等功能,在用户提供丰富的网络功能的同时也提供了更安全的保证,而且出色的兼容性也能保护客户的原有投资。
Vigor2200E(点击看大图) |
参考价:2300元
Vigor2200E台湾居易股份有限公司专为SOHO用户研发生产的路由器,具有汉化界面、使用简便、价格低廉的特点,可轻易建立VPN联机,不管是总公司对分支点,还是分支点对总公司,分支点对分支点间的联机,皆可更快速连接,不需要固定的IP地址,通过DDNS(动态域名解析)可以方便地建立VPN。Vigor2200E不但可以做VPN的拨号端,也可以做VPN的服务器端,最大支持8条vpn通道。
Vigor路由器的基础硬件配置较高,采用50MHz的CPU、1M Flash、4M RAM,使其在高速Internet的接入上具有优异的处理能力。基于中文Web图形界面设置,调试简洁明了,可通过Internet远程维护,能即时监测用户的使用状态,控制用户的使用权限。
其内置防火墙软件和PAP/CHAP认证功能,可防止黑客侵入,为企业接入Internet提供安全保障。用户可随时实现升级,为以后进一步扩展功能提供接口。它兼容Windows95 /98/ME/2000、Mac OS、BeOS、Linux或其他Unix等众多操作系统。Vigor2200E路由器有一个10Base-Tx的WAN接口,支持PPPoE、DHCP Client、PPTP Client等协议,并具有四个10/100 Base-Tx Switch LAN口,支持DHCP Server、NAT网络地址解析、DNS代理等服务。其增强版本Vigor2200X还具有ISDN接口,可为宽带上网作备份。
点评:Vigor2200E路由器较为适用于中小型企业共享上网和远程互连,可通过一条ISDN、ADSL、Cable等数据线路,使整个局域网共享上网。Vigor路由器内置拨号程序,只需点击浏览器即可自动上网,省去各种繁琐的拨号操作。另外,它可用于远程互连,使用其VPN(虚拟网络)技术,可以使分支机构通过Internet实现互连,增加企业内信息传递效率,节省通信费用。
SSR-8104 |
参考价:960元
SSR-8104是一台完全支持标准网络安全通讯的内建硬件式防火墙的路由器,支持VPN功能,可建5条VPN通道,提供IPSec 64/168 位DES,3DES加密,以及自动密钥管理IKE功能,验证演算加密支持MD5,SHA等,与市面上标准的IPSec 设备皆能互通(Support Client / Server mode) ,VPN速度最高可达12M。
SSR-8104使用了最新的ARM-9 144Mhz RISC CPU处理器,最高转换效率可达85Mbps以上(NAT Throughput)。不论是网络教室还是局域网络的NAT安全连接,完全不会感觉是使用了NAT 转换。它内建了DHCP /NAT/NAPT/DDNS 服务器功能,提供DMZ Host(非军事管制区),内建硬件式防火墙。
与其它只有NAT 机制的产品不同,SSR-8104具备全功能路由通讯协议-RIP I, II (动态路由)和 Static Routing (静态路由),是一款真正的路由器。因为NAT只是路由器的其中一项功能而已,真正路由器需要的就是路由通讯协议(Routing Protocol),包含最基本的Static Routing (静态路由),还有较高阶的RIP I, II (动态路由),甚至连OSPF等路由通讯都要内含才可称为“路由器(Router)”,否则只可称为“IP分享器~IP Shareing”。
点评:SSR-8104 宽带防火墙路由器是一款卓越先进的多用途宽带路由器,适应性强,不论是高速双向Cable Modem还是单向的Cable Modem,都可通过内建的即插即用功能轻松分享高速宽频;另外如果使用ADSL 也只需填入ISP给予的帐号密码即可。
SSR-8104以低廉的价格为用户提供VPN加密以及远程档案加密存取功能,具备标准IPSec的网络安全,可同时支持远程2条 VPN Client连接,或具备标准的VPN加密机制功能的VPN Client设备, 能有效地降低VPN建设成本。
目录 返回
首页