VPN架設速成手冊

2019-11-03 08:58:29

字體：大中小

來源：轉載

供稿：網友

　　一、能給我們的工作帶來哪些改變

　　小王是北京一家公司的信息部經理，負責公司內信息系統管理工作，原本一切好好的小王現在卻碰到一個大問題，正在犯愁呢。

　　隨著公司的發展壯大，老板先后在上海和廣州開辦了分公司來進一步發展業務，但各地分公司和總部進行信息溝通時，不能訪問公司總部的信息資源的情況時有發生。再則數據萬一被黑客截阻、盜走了怎么辦？
　　一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題，但是費用昂貴，對于小王這樣一家小公司來說是無法負擔的，能有效解決這個問題的辦法當然有——VPN技術。

　　VPN技術可以利用現有的公用網絡(例如Internet)在不同的地域間建立一條虛擬的網絡隧道。不同地域的用戶使用起來感覺就像在同一個局域網內，而且在這條隧道上傳輸的數據都可以做高級的加密處理，既方便又安全。

　　VPN可以被應用到多種場合，像現在很多超市都開始連鎖經營，分店遍布全國各大城市，如果使用了VPN，各個分店可以隨時和總店進行信息溝通。除了超市外，還有很多連鎖經營的藥店，它們也同樣可以使用VPN，甚至連一些電信運營商的營業點都在使用VPN進行通信，可見VPN的用途有多么廣。

　　二、獨樹一幟的VPN

　　VPN的工作原理如圖1所示。在不同的設備之間使用VPN技術時，必須有一個統一的標準才能實現互相“理解”，就好像人和人之間溝通時需要有相同的語言一樣，所以針對此點也就產生了眾多的VPN協議。目前國際上比較流行的VPN協議主要有ipSec、PPTP、L2TP、MPLS、SSL等，這些不同的協議各有它獨特的優勢和缺陷。國際上眾多設備廠商在生產自己的VPN設備時，通常會采用其中一到兩種協議來作為該設備所支持的標準，目前使用的最多的當數IPSec和PPTP兩種協議。

　　三、搭建VPN系統

　　如果用戶要組建自己的VPN系統，通常有兩種方法可以選擇：軟件方式或硬件方式。目前較為流行的方式是使用專門的VPN硬件設備，因為使用硬件設備比軟件能提供更好的性能，而且現在硬件設備的價格也不貴。但建議最好將組建工作交給廠家負責，因為個人如果沒有一定的技術經驗往往會架設失敗。

　　小王最終選擇了中怡數寬DWnet的SAFEcon50。并請廠商技術人員進行了硬件安裝。圖2即為小王事例的VPN技術應用拓撲圖，圖中的虛線部分代表他公司通過Internet建立的VPN隧道。

　　SAFEcon50屬于同類產品中非常典型的一款VPN設備。它集成了路由器和具有VPN功能的防火墻設備，此外SAFEcon50還內置了VPN服務器，它可以和遠端網絡建立多達70條的IPSec VPN隧道，而且同時可支持10個遠端用戶使用PPTP VPN協議撥入本地網絡。考慮到兼容性等問題，小王決定在分公司等分支機構都使用中怡數寬品牌的VPN設備。

　　四、VPN典型應用方案

　　案例一：各分公司之間局域網實現互連

　　這里仍然以文章開頭的案例為例，來詳細描述如何在小王所在的總公司與分公司之間建立VPN網絡。小王所在的公司最終選用了中怡數寬的VPN防火墻產品SAFEcon50。

　　①首先小王分別給北京和上海分公司采購了這款產品。由于兩個地方的公司目前都已經能訪問Internet，所以不用再申請寬帶接入線路。先用SAFEcon50替換下兩個網絡中原有的路由器或其它的上網設備，通常這類設備都會被安裝在接入設備(例如：Modem、光纖轉發器等)和交換機之間，SAFEcon50也同樣，然后連接好所有的網絡線，硬件連接也就全部完成。

　　②下面要做的就是SAFEcon50的設置工作。因為SAFEcon50自帶了DHCP服務器，用戶的計算機可以自動獲取IP地址，從而能省去不少的麻煩。SAFEcon50的管理是基于Web界面的管理方式，所以小王就可以直接使用操作系統自帶的瀏覽器登錄到路由器上。

　　③點擊界面左上方的“Setup Wizard”按鈕，進行和Internet的連接設置。SAFEcon50會提供一個建立和Internet連接的安裝向導，用戶只需要按照向導的提示一步步操作即可完成。

　　④現在要進行的是最關鍵的部分——VPN參數設置。因為小王要實現兩個異地之間的網絡互連，所以要使用IPSec VPN協議，這個協議最適合建立多個不同網絡之間的互連。圖3即為SAFEcon50的IPSec VPN參數設置界面，小王根據自己網絡的具體情況進行了參數填寫(由于參數配置繁多，這里不一一列舉，具體設置方法可參看SAFEcon50的安裝手冊)。

　　當做好上述全部工作后，小王公司的總部終于能和上海分公司連通了，員工可以像在同一個局域網內一樣互相訪問數據。而且整個安裝和配置過程僅花掉小王幾個小時而已。圖4為它的網絡應用拓撲圖，左右兩個網絡分別代表公司總部和分公司，圖中的虛線部分代表VPN隧道。

　　案例二：外出員工訪問公司網絡資源

　　我們仍然以小王所在的公司為例，現在他的公司雖然可以實現各個分公司之間互相訪問，但是那些經常出差在外的員工卻還是抱怨不能及時與公司網絡連接通信。為了解決這個問題，小王決定在IPSec 協議之外再開啟PPTP VPN協議，PPTP協議最適合于那些單獨的計算機遠程撥入公司本地網絡所使用。SAFEcon50內置了PPTP服務器，最多支持10個用戶同時使用PPTP撥入。

　　①由于在前面已經安裝了SAFEcon50路由器，所以現在小王的工作只需要對它進行軟件上的設置。

　　②下面設置PPTP服務器，小王只需要簡單地把PPTP協議配置界面中所有選項都選中，然后點擊保存即可完成PPTP服務器部分的設置。

　　③現在建立授權用戶，點擊“Clients”按鈕，在這個界面上建立幾個授權的用戶，方法就和在Windows操作系統上建立用戶相似，然后點擊保存按鈕，就結束了全部的配置工作，PPTP的設置比起IPSec 協議可要簡單多了。

　　④當出差在外的用戶需要訪問公司的網絡時，首先要在Windows操作系統上建立一個PPTP連接，然后填入要訪問的路由器的信息(這些配置只用配置一次，以后都可以直接使用)，接下來雙擊這個連接，會看到提示輸入用戶名和密碼，此時用戶只需要填入小王提供的信息即可通過認證。

　　⑤撥入的用戶會得到一個SAFEcon50內網的IP地址，從而可以和公司內部的計算機進行交流，這一切對于終端用戶都是透明的，用戶感覺就像身處在公司的網絡內一樣。而且所有傳輸的數據都能經過安全的加密保護，用戶不必擔心公司的重要資料被黑客所竊取。

　　⑥圖5為小王公司PPTP VPN網絡的應用拓撲圖，圖中的三個移動用戶只需要能接入Internet，便可以隨時通過VPN訪問公司網絡資源，三條虛線代表三個用戶所建立的VPN隧道。