使用宽带路由器来实现企业级的远程联网
酷龙
2004-2-6
背景
我司一主要业务部门(约35台电脑,今后可能增加到50-80台)将离开总部大楼到本市郊区办公,拟用已有的TP-LINK的R460路由器给他们建立一个以ADSL为主的网络,并为他们单建WEB、MAIL和FTP服务器(FTP服务器兼DMZ主机)。但因其业务上仍需与总部保持联系,总部的网络为全静态IP,没有DHCP,DNS、WINS、网关等均需人工设置,且总部的子网掩码为不规则的255.255.252.0,如果再买一台TP-LINK的R460路由器根本无法实现与总部的联接,想请教一下如何才能更好地实现?衷心感谢!
案例分析
从这位网友的来信可看出,他最根本的需求是:远程的“业务部门”要“实现与总部的连接”。显然这位网友所在公司并没有打算申请专线,建设分支部门与总部的联网,而是想通过普通的ADSL网络这样的公网进行联网。把公司业务放在公网上运行,能够实现数据的实时传输,这得考虑安全性问题。而目前实现这个需求的就是VPN技术。VPN能做什么呢?公司财务管理,异地ERP,OA,远程培训,VOIP,远程视频会议等,这些应用都是VPN技术能胜任的。VPN技术现今已经广泛地应用在大中型企业中,大有取代DDN专线的趋势(当然在金融等行业的业务网中,不大可能被取代)。随着VPN技术的发展和广泛应用,现在部署VPN的成本已经比较低廉,这体现在网络设备上。本案例中我们将介绍采用高性比的带有VPN技术的宽带路由器来实现VPN。这比起采用传统路由器来实现VPN来说是经济多了。在这里网友所提出的采用TP-LINK460宽带路由器来组建网络,因为这款路由器还没有VPN功能,所以小酷建议您还是考虑采用带有VPN技术的宽带路由器产品,本案例小酷将推荐采用VIGOR系列宽带路由器来实现VPN。
VPN简介
虚拟专网(Virtual Private Network)指的是在公用网络上建立专用网络的技术,之所以称为虚拟专网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需要的端到端的物理链路(专线),而是架构在公用网络服务商所提供的网络之上的逻辑网络,用户数据在逻辑链路中传输。它通过隧道(Tunnelling)或虚电路(VIRTUAL circuit)实现网络互联 ,支持用户安全管理 ,能够进行网络监控、故障诊断。它降低建网投资,节约成本 ,安全性得到保证 ,简化了用户对网络的维护及管理工作。它应用于政府、企事业单位总部与分支机构内部局域网的联网 ,商业合作伙伴之间网络的互联。随着市场经济一体化步伐的加快以及信息技术的深入发展,使得各行各业、各种类型的企业越来越多地利用信息技术来提升企业的管理水平以及进行跨区域业务拓展。IP VPN以其可利用公网资源建立安全、可靠、经济和高速传输的企业专网的特点而倍受企业们的青睐。
网络隧道(Tunnelling)技术是个关键技术。它主要利用网络隧道协议来实现两个网络协议之间的传输。两种类型的隧道协议分别是:二层隧道协议,用于传输二层网络协议;三层隧道协议,用于传输三层网络协议。
在公用网络上构建VPN传输私有数据,网络安全因素是个很重要的问题。在 VPN应用中应用了一系列的网络安全技术,如:防火墙、应用IPSec对隧道上的数据加密、用L2TP进行隧道端的相互验证等,使得在公用网络上传输的私有数据的得到了安全的保证。
VIGOR2200E与 VIGOR2300
一.VIGOR2200E(见图1)
1.硬件配置:CPU 50MHZ;Flash 1M;RAM 4M。
2.端口配置:1个10Base-T固定广域网接口,支持ADSL/Cable/FTTx线路共享上网;4个10/100Base-T/TX固定局域网接口;1个RS-232控制端口。
3.可提供的服务:(1)广域网类:PPPOE(ADSL拨号);DHCP(动态主机解析); VPN Server,VPN Client,使用IPSec/PPTP/L2TP/L2TP加IPSec等VPN技术实现远程访问和局域网互拔,最多可支持8条VPN隧道,使用DES(56位加密)、3DES(128加密)执行IPSec码的交换及认证;ARP,IP,ICMP,TCP,UDP。(2)局域网类:APP,IP,ICMP,TCP, UDP;DHCP服务;NAT网络地址解析服务;DNS代理服务;DDNS(动态域名);DMZ非军事区服务;支持静态或RIP1/RIP2动态路由协议。
4.安全、设置和管理:(1)内置防火墙支持IP数据包过滤;PAP/CHAP认证功能;防入侵程序(2)基于WEB图形设置界面和基于Telnet文本命令行操作;设置使用权限及使用时间;系统的状态监控;诊断工具;内置软件升级协议TFTP,可随时地实现系统软件的升级;可通过拔入或Internet远程维护。
二.VIGOR2300(见图2)
1.硬件配置:CPU为 ARM9 168MHz RISC;Flash 2M;RAM 8M。
2.端口配置:1个10/100Base-T固定广域网接口,支持ADSL/Cable/FTTx线路共享上网;4个10/100Base-T/TX固定局域网接口;1个RS-232控制端口。
3.可提供的服务:基本功能同上述VIGOR2200E,但是它还具有更突出的特色。VPN联机更快速, 除了VPN联机速度外,也增加了NAT地址转换及防火墙封包过滤的速度。内建打印机服务器可以提供网络内每部计算机共同使用一部打印机,节约了成本。最多可支持16条VPN隧道。
4.安全、设置和管理:基本功能同上述VIGOR2200E。
案例实现
使用VIGOR方案来进行VPN组网将能使整个公司全部实现跨地域的无纸化网上办公,各部之间运行OA、ERP等软件,并且还可以实现语音和视频的传输,利用现有的普通ADSL宽带线路,实现本系统整个VPN网络内的电话免费通讯。公司的资料文件及数据库可供所有员工在外远程拨入及各分公司联网共享;通过Web服务器和FTP服务器发布公司主页,供客户下载资料等。
我们为网友的公司设计的网络拓朴图如下(见图3),将采用局域网到局域网(LAN-TO-LAN)的方式,也就是从一个局域网跨越INTERNET到另一个局域网的VPN隧道联网方式。
我们可以看到,在这个方案中,公司总部和分部都分别申请一条普通的1M ADSL线路。而实现VPN联网的关键是VIGOR2300和VIGOR2200E宽带路由器。它们分别扮演VPN Server 和VPN Client的角色。在这里假设除了VPN以外,INTERNET通信及网管部分已经设置完毕,下面对VPN部分作重点介绍。
准备工作:
总部和分部分别设置的网络号(网段)是192.168.0.0和192.168.1.0
·总部vigor2300作为 VPN Server(服务端)。
路由器IP:192.168.0.1(也就是总部局域网的网关), 动态域名:rover.xicp.net。因为现在国情,一般我们申请到是电信部门给我们的动态IP的ADSL,也就是通常说的拨号方式的ADSL,所以这个公网IP动态在改变,这样INTERNET上用户根本没法访问到我们,所以对动态公网IP的用户只能通过第三方的动态域名服务商那申请到自己的动态域名(国内较著名的动态域名服务商有网域科技公司 http://www.oray.net/等)。这里我们就为总部的ADSL线路申请动态域名rover.xicp.net,为的是让分部能经过INTERNET固定的访问总部的资源,当然总部也可以利用这个动态域名来建WEB,FTP,MAIL服务等其他互联网应用。
·分部1 vigor2200系列作为 VPN Client(客户端)。
路由器IP:192.168.1.1(也就是分部局域网的网关)。由于网友在方案需求里也有提要为分部单建WEB,FTP,MAIL等服务,同样另外单独申请动态域名。
设置步骤:
一.总部VIGOR2300 路由器的设置:(见图4)
点击Advanced Setup 》 VPN and Remote Access Setup 》 LAN-to-LAN Profile Setup 》Index 1 (第一用户),在VIGOR2300(VPN SERVER)为分部设置,当然若这个公司还有第2、第3分部,类似的进入Index 2 、Index 3画面同样设置。
A. 打钩表示开启
B. 输入数字表示多长时间不用自动断线,”0”为长期在线
C.输入允许远端分部连接的用户名、密码
D.输入远端分部的网段(总部及各分部网段都不能有冲突)
E.选择“Private IP”方式
二.分部VIGOR2200E 路由器的设置:(见图5)
点击Advanced Setup 》 VPN and Remote Access Setup 》 LAN-to-LAN Profile Setup 》Index 1
A.打钩表示启用
B.打钩表示自动拨接VPN并长期在线
C.选定哪种VPN类型(PPTP或IPSec或L2TP)
D.输入总部为其设定的用户名、密码
E.输入总部的动态域名(如:rover.xicp.net)或固定公网IP地址
F.输入总部网段
G.选择“Private IP”方式
三.测试VPN连通
设置完毕后,点击总部的System management 》PN Connection management,将出现类似如下页面,有几条就表明有几个分部已连通。(见图6)
Vigor企业网络方案特点
高效率、低成本、易扩展 Vigor的企业网方案具有高性能、低成本的特点,企业用户只需要申请一条普通的ADSL宽带线路即可实现。另外,方案还具有很好的扩展性和实用性,为企业的长远发展打下基础,符合目前中小企业建设联网网络的实际情况。