山东证券有限责任公司是一家经营山东省证券业务的公司,总部在济南市,在全省各个地市有十几处营业部,另外在上海和北京设有两处营业部。日常各部之间的联系极为紧密,尤其是各地市分部与总部的联系更是如此。鉴于证券行业的特点,为了把各地市分部的网络连成一体,而又降低投资和管理费用,同时并加强通信的安全性,我们采用了目前微软的基于WINDOWS NT 的VPN技术来建设山东证券网络。
具体的连接方式是各地市营业部采用64K DDN专线通过169公网与总部VPN服务器建立VPN通道连接。同时,为了保证整个VPN网络的连续运行,设立青岛接点做为VPN备份服务器,一旦济南中心点出现故障,各地市的连接就转移到青岛接点上。另外在济南中心接点,配置一MODEM 池,以便在紧急情况下,做为各地市的拨入设备使用。
山东证券VPN网络的IP地址规划:济南中心接点的局域网IP为100.100.0.1,子网掩码为255.255.255.0,即100.100.0.0网络段,其它地市营业部的网络段地址分别为100.100.1.0到100.100.18.0,各地市营业部的VPN验证服务器IP地址分别为100.100.1.1到100.100.18.1,掩码都是255.255.255.0。因此这种划分足以满足该公司现在与以后的要求。
各地市VPN验证服务器配置过程:
1.在WINDOWS NT 服务器上安装PPTP协议,并把VPN私有网络通道数设置为2,这两个通道用来与中心点服务器连接访问。
2.安装VPN 路由及RAS管理软件(mpri386.exe),当安装完成之后,Routing and RAS Admin项就自动地出现在NT的程序项中。
3.在拨号网络里添加VPN拨号接口,并进行用户名、口令、运行的协议以及安全认证等的配置。
4. 进行路由选项的配置,我们选用了静态路由进行配置,其中VPN路由的目的IP地址都是100.100.0.0(掩码为255.255.0.0)即到中心接点的路由。在这里中心点验证服务器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的网关都是中心点VPN PPTP POOL 地址池中IP的第一个IP地址即100.100.100.1。接口是添加的VPN拨号接口。到169公网的路由0.0.0.0(掩码为0.0.0.0),网关是各地营业部路由器的以太口地址, 接口是机器的网卡。在验证服务器是NT 域中创建用于拨号的用户。
下面以一个地市(青岛)的VPN服务器配置为例。
(1)首先在windows NT 4.0的网络中添加PPTP协议
(2)添加好PPTP点对点协议后再设置两个VPN私人网络通道。用来与中心点验证服务器连接及中心点验证服务器与本地连接作路由功能用。
(3)安装VPN RAS And Routing Admin(mpri386.exe)软件。
(4)在安装过程中要重新启动计算机3次,才能完成Routing And RAS 的安装。安装成功后会在程序项中增加Routing And RAS Admin程序项,接下来要配置VPN拨号及路由。
(5)添加VPN拨号适配器及拨号IP地址,设置VPN验证用户名、口令和域。
添加完成后,可以设置VPN按需拨号路由,及VPN验证加密方式。
(6)接下来要设置VPN路由,可以用静态路由也可以用RIP路由,这里我们用静态路由,要添加两个路由。一个是走VPN通道的路由(VPN_qd Interface)、另一个是走Internet网络的路由(3Com EhterIII卡)。在这里中心点验证服务器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的网关都是中心点VPN PPTP POOL 地址池中IP的第一个IP地址即100.100.100.1。本地Internet网关IP地址应是各地市营业所路由器以太口IP地址如10.86.0.4。则Static Routes(静态路由表)为下表:
(7)在NT的域用户管理器中添加VPN拨号用户,并允许拨入。
在这里我们以青岛为例,添加VPN_QD用户,设置VPN拨号口令,并给予拨入权限。
设置完成后,可以从本地的工作站Ping中心点的局域网中的工作站,如ping 100.100.0.1或ping 100.100.0.11如果能Ping通,则建立VPN路由正确。如果Ping不通中心点上的工作站,但能ping通中心点的VPN验证服务器,可能是本地VPN路由不正确。
另外在本地VPN服务器是可以Ping通Internet上的其他计算机的,如果Ping不通,可能是默认静态路由设置有误。如果一切正常那么在Routing And RAS Admin管理中的Vpn_qd 和3Com EhterIII Line的Connection State(LAN And Demand Dial Interface)状态应该都是Connected在连接上,本地VPN服务器应该与路由器及连接局域网的集线器相连接。局域网上的工作站IP地址应设置为虚拟IP地址,VPN验证服务器或者是两块网卡(一块连接路由器、另一块设置虚拟IP地址连接局域网),或者是一块网卡(捆绑两个IP地址)。
中心接点VPN验证服务器的配置过程:
其配置过程基本上与各地市的验证服务器配置过程一样,就是所添加的VPN私有网络通道数是各营业部所添加的和。要创建到各营业部的VPN接口,并且对每一借口进行静态路由的配置。还要在WINDOWS NT 的域用户管理器上创建每一个VPN用户。
当中心点验证服务器和营业部验证服务器的配置都结束之后,就可以进行VPN的连接。另外应注意的是,各地市营业部网络段上的客户端机器的IP地址应配置为该营业部VPN的规划地址,而不是169IP地址或其它。只有这样,才能使客户端机器通过本地验证服务器连接到中心接点进行资源的访问。
