VPN專線組網方案

隨著網絡科技的飛速發展，網絡的安全性備受網絡運維人員的關注，但是在保證網絡相對安全的前提下，如何提高網絡的便利性呢？這就是今天我們來探討的話題，接下來就結合一個網絡開通案例來詳細的介紹一下VPN專線的實施過程。

根據現有業務開展和合作的需要，近日需要將某商業集團的管理系統接入至筆者單位，從技術以及安全通訊的角度綜合來考慮，有兩個方案可供選擇。方案一，將該管理系統按照專線性質接入至數據核心機房，然后依托現有光纜資源作為專線業務直接傳輸至各分部。方案二，將該管理系統使用專線接入至廣電核心數據機房，然后以VPN的方式傳輸至各分部。

上面我們將管理系統接入的兩種方案進行了簡單的敘述，接下來就對兩種的方案的可行性和優缺點進行分析和比較。首先兩個方案的共同點是使用專線性質將管理系統接入至核心數據機房，不同的是數據到達核心數據機房后，使用那種方式傳輸至縣市分公司分部。方案一采用的方法是劃分VLAN，使用專線的方式進行傳輸。該方案的優點是業務獨立，開通簡單，利于網絡維護和搭建，在開通時間上存在快捷的優點。而缺點是該業務獨立成網，在經濟上開支較大，而且為實現管理系統在分部落地，必須使用專門的PC機進行操作，這樣在一定程度上又會引發一筆投資。方案二，使用VPN的方式將管理系統傳輸至縣市區分部，VPN即虛擬專用網，通常是在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式，主要是按協議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現。方案二中使用的VPN方式是通過軟件來實現，簡單設想下，在分部的辦公區任意一臺辦公電腦，如果能實現訪問管理系統的目的，這樣不但可以方便辦公，還可以提高工作效率，同時在一定程度上也避免了硬件PC機的投入。通過對現有兩種方案利弊的權衡，并綜合考慮到VPN技術的成熟和穩定性，我們決定采用方案二來解決此次網絡組網。

這里提到網絡組網，必不可少的要介紹一下網絡拓撲結構。在該商業集團部署一臺企業級路由器，用于地址的轉換，同時也能起到防火墻的作用，這樣有效提高了網絡部署的安全性和規范性。然后通過路由器使用裸光纖將數據連接至我方數據核心機房。為部署VPN業務，將裸光纖數據連接至VPN服務器上，服務器的另外一個網卡連接至辦公網中（可以訪問Internet）。具體的網絡拓撲結構如圖1所示。

圖1 網絡組網拓撲示意圖

通過圖1可以清晰地看到網絡的整個拓撲結構，接下來開始配置VPN服務器，上面講到VPN服務器的一個網卡接入辦公網交換機，設置IP地址10.66.66.148/21,網關設置為10.66.64.1，這樣該服務器就完成了辦公網的接入，意思也就是打通了該服務器至各分部辦公用戶的通道，簡單講各分部的辦公用戶只要能ping通10.66.66.148這臺服務器，就可以進行VPN連接，這也是為后面的VPN撥號鏈接做準備。服務器的另外一個網卡通過光模塊介質連接企業級路由器，設置IP地 址172.16.10.2/24,即路由器LAN口的IP地址。這次使用的是Window 2008系統服務器，一臺設備兩個網卡，只能設置一個網關，那么172.16.10.2/24網卡的網關，需要使用DOS命令進行寫入，即“route add 172.16.10.0 mask 255.255.255.0 172.16.10.1”，這樣就完成了服務器網卡IP地址的設置，接下來開始配置VPN軟件服務器端。

圖2 網橋設置示意圖

這次使用到的VPN軟件名稱是“SoftEther”，該軟件可以在互聯網上進行下載，接下來就簡要的介紹一下該軟件服務器端設置的方法。

該軟件服務器端首次安裝完畢后需要設置管理員密碼，然后創建一個虛擬的HUB，不妨給這個HUB命名為“VPN”，然后可在該 HUB下設置客戶端登錄的用戶名和密碼，為實現VPN數據通訊，需要在該服務器端設置網橋，實現兩個網卡數據的通信，這也是該服務器軟件調試的核心。具體操作是，首先開啟兩個網卡的VLAN透明設置，然后再將連接企業級路由器的網卡設置成網橋目標網絡適配器，如圖2。

完成本地網橋的操作后，修改下VPN撥號后獲取的地址池，保證該地址池IP和網卡172.16.10.2在同一網段。這樣就完成服務器端的設置。客戶端設置就相對來說比較簡單，安裝完畢后，設置下客戶端的主機名即10.66.66.148，然后輸入用戶名和密碼直接撥號即可。撥號成功后，經過驗證可以訪問管理系統，同時在撥號后，互聯網自動斷開，這樣在一定程度上也保證了網絡的安全性，鑒于該系統使用的頻次少的問題，可以安裝在辦公電腦上，根據工作需要使用VPN客戶端進行連接，真正實現了一個網線接入兩張網絡。

上面我們通過對網絡需求的知悉，然后根據現有網絡結構以及其他方面的考慮，對組網的兩種方案的優缺點進行比較和分析。在保證網絡安全的前提下，從方便工作，同時兼顧經濟效益的角度出發，決定采用VPN的方式進行組網。后面我們通過配置網卡IP地址，配置VPN服務器端和客戶端，最終實現了網絡需求。

此次網絡的調試，VPN軟件的使用是一個全新的課題，從部署服務器到網絡的調試，經歷了坎坎坷坷，一路走來，感覺網絡的調試也要勇于嘗試，要富有挑戰意識，只有這樣才能不斷豐富自我的網絡閱歷，提高網絡調試和開通的水平，從而保證網絡的安全和諧。