标题:VPN架设速成手册
小王是北京一家公司的信息部经理,负责公司内信息系统管理工作,原本一切好好的小王现在却碰到一个大问题,正在犯愁呢。
随着公司的发展壮大,老板先后在上海和广州开办了分公司来进一步发展业务,但各地分公司和总部进行信息沟通时,不能访问公司总部的信息资源的情况时有发生。再则数据万一被黑客截阻、盗走了怎么办?
一些大型跨国公司解决这个问题的方法,就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题,但是费用昂贵,对于小王这样一家小公司来说是无法负担的,能有效解决这个问题的办法当然有——VPN技术。
VPN技术可以利用现有的公用网络(例如Internet)在不同的地域间建立一条虚拟的网络隧道。不同地域的用户使用起来感觉就像在同一个局域网内,而且在这条隧道上传输的数据都可以做高级的加密处理,既方便又安全。
VPN可以被应用到多种场合,像现在很多超市都开始连锁经营,分店遍布全国各大城市,如果使用了VPN,各个分店可以随时和总店进行信息沟通。除了超市外,还有很多连锁经营的药店,它们也同样可以使用VPN,甚至连一些电信运营商的营业点都在使用VPN进行通信,可见VPN的用途有多么广。
二、独树一帜的VPN
VPN的工作原理如图1所示。在不同的设备之间使用VPN技术时,必须有一个统一的标准才能实现互相“理解”,就好像人和人之间沟通时需要有相同的语言一样,所以针对此点也就产生了众多的VPN协议。目前国际上比较流行的VPN协议主要有IPSec、PPTP、L2TP、MPLS、SSL等,这些不同的协议各有它独特的优势和缺陷。国际上众多设备厂商在生产自己的VPN设备时,通常会采用其中一到两种协议来作为该设备所支持的标准,目前使用的最多的当数IPSec和PPTP两种协议。
三、搭建VPN系统
如果用户要组建自己的VPN系统,通常有两种方法可以选择:软件方式或硬件方式。目前较为流行的方式是使用专门的VPN硬件设备,因为使用硬件设备比软件能提供更好的性能,而且现在硬件设备的价格也不贵。但建议最好将组建工作交给厂家负责,因为个人如果没有一定的技术经验往往会架设失败。
小王最终选择了中怡数宽DWnet的SAFEcon50。并请厂商技术人员进行了硬件安装。图2即为小王事例的VPN技术应用拓扑图,图中的虚线部分代表他公司通过Internet建立的VPN隧道。
SAFEcon50属于同类产品中非常典型的一款VPN设备。它集成了路由器和具有VPN功能的防火墙设备,此外SAFEcon50还内置了VPN服务器,它可以和远端网络建立多达70条的IPSec VPN隧道,而且同时可支持10个远端用户使用PPTP VPN协议拨入本地网络。考虑到兼容性等问题,小王决定在分公司等分支机构都使用中怡数宽品牌的VPN设备。
四、VPN典型应用方案
案例一:各分公司之间局域网实现互连
这里仍然以文章开头的案例为例,来详细描述如何在小王所在的总公司与分公司之间建立VPN网络。小王所在的公司最终选用了中怡数宽的VPN防火墙产品SAFEcon50。
①首先小王分别给北京和上海分公司采购了这款产品。由于两个地方的公司目前都已经能访问Internet,所以不用再申请宽带接入线路。先用SAFEcon50替换下两个网络中原有的路由器或其它的上网设备,通常这类设备都会被安装在接入设备(例如:Modem、光纤转发器等)和交换机之间,SAFEcon50也同样,然后连接好所有的网络线,硬件连接也就全部完成。
②下面要做的就是SAFEcon50的设置工作。因为SAFEcon50自带了DHCP服务器,用户的计算机可以自动获取IP地址,从而能省去不少的麻烦。SAFEcon50的管理是基于Web界面的管理方式,所以小王就可以直接使用操作系统自带的浏览器登录到路由器上。
③点击界面左上方的“Setup Wizard”按钮,进行和Internet的连接设置。SAFEcon50会提供一个建立和Internet连接的安装向导,用户只需要按照向导的提示一步步操作即可完成。
④现在要进行的是最关键的部分——VPN参数设置。因为小王要实现两个异地之间的网络互连,所以要使用IPSec VPN协议,这个协议最适合建立多个不同网络之间的互连。图3即为SAFEcon50的IPSec VPN参数设置界面,小王根据自己网络的具体情况进行了参数填写(由于参数配置繁多,这里不一一列举,具体设置方法可参看SAFEcon50的安装手册)。
当做好上述全部工作后,小王公司的总部终于能和上海分公司连通了,员工可以像在同一个局域网内一样互相访问数据。而且整个安装和配置过程仅花掉小王几个小时而已。图4为它的网络应用拓扑图,左右两个网络分别代表公司总部和分公司,图中的虚线部分代表VPN隧道。
案例二:外出员工访问公司网络资源
我们仍然以小王所在的公司为例,现在他的公司虽然可以实现各个分公司之间互相访问,但是那些经常出差在外的员工却还是抱怨不能及时与公司网络连接通信。为了解决这个问题,小王决定在IPSec 协议之外再开启PPTP VPN协议,PPTP协议最适合于那些单独的计算机远程拨入公司本地网络所使用。SAFEcon50内置了PPTP服务器,最多支持10个用户同时使用PPTP拨入。
①由于在前面已经安装了SAFEcon50路由器,所以现在小王的工作只需要对它进行软件上的设置。
②下面设置PPTP服务器,小王只需要简单地把PPTP协议配置界面中所有选项都选中,然后点击保存即可完成PPTP服务器部分的设置。
③现在建立授权用户,点击“Clients”按钮,在这个界面上建立几个授权的用户,方法就和在Windows操作系统上建立用户相似,然后点击保存按钮, 就结束了全部的配置工作,PPTP的设置比起IPSec 协议可要简单多了。
④当出差在外的用户需要访问公司的网络时,首先要在Windows操作系统上建立一个PPTP连接,然后填入要访问的路由器的信息(这些配置只用配置一次,以后都可以直接使用),接下来双击这个连接,会看到提示输入用户名和密码,此时用户只需要填入小王提供的信息即可通过认证。
⑤拨入的用户会得到一个SAFEcon50内网的IP地址,从而可以和公司内部的计算机进行交流,这一切对于终端用户都是透明的,用户感觉就像身处在公司的网络内一样。而且所有传输的数据都能经过安全的加密保护,用户不必担心公司的重要资料被黑客所窃取。
⑥图5为小王公司PPTP VPN网络的应用拓扑图,图中的三个移动用户只需要能接入Internet,便可以随时通过VPN访问公司网络资源,三条虚线代表三个用户所建立的VPN隧道。
然而在实际应用环境中用户经常会碰到更加复杂的问题,但用户只要掌握了VPN的工作原理,无论环境千变万化,都能应付自如。