隨著網(wǎng)絡(luò)科技的飛速發(fā)展，網(wǎng)絡(luò)的安全性備受網(wǎng)絡(luò)運(yùn)維人員的關(guān)注，但是在保證網(wǎng)絡(luò)相對(duì)安全的前提下，如何提高網(wǎng)絡(luò)的便利性呢？這就是今天我們來(lái)探討的話題，接下來(lái)就結(jié)合一個(gè)網(wǎng)絡(luò)開通案例來(lái)詳細(xì)的介紹一下VPN專線的實(shí)施過(guò)程。

根據(jù)現(xiàn)有業(yè)務(wù)開展和合作的需要，近日需要將某商業(yè)集團(tuán)的管理系統(tǒng)接入至筆者單位，從技術(shù)以及安全通訊的角度綜合來(lái)考慮，有兩個(gè)方案可供選擇。方案一，將該管理系統(tǒng)按照專線性質(zhì)接入至數(shù)據(jù)核心機(jī)房，然后依托現(xiàn)有光纜資源作為專線業(yè)務(wù)直接傳輸至各分部。方案二，將該管理系統(tǒng)使用專線接入至廣電核心數(shù)據(jù)機(jī)房，然后以VPN的方式傳輸至各分部。

上面我們將管理系統(tǒng)接入的兩種方案進(jìn)行了簡(jiǎn)單的敘述，接下來(lái)就對(duì)兩種的方案的可行性和優(yōu)缺點(diǎn)進(jìn)行分析和比較。首先兩個(gè)方案的共同點(diǎn)是使用專線性質(zhì)將管理系統(tǒng)接入至核心數(shù)據(jù)機(jī)房，不同的是數(shù)據(jù)到達(dá)核心數(shù)據(jù)機(jī)房后，使用那種方式傳輸至縣市分公司分部。方案一采用的方法是劃分VLAN，使用專線的方式進(jìn)行傳輸。該方案的優(yōu)點(diǎn)是業(yè)務(wù)獨(dú)立，開通簡(jiǎn)單，利于網(wǎng)絡(luò)維護(hù)和搭建，在開通時(shí)間上存在快捷的優(yōu)點(diǎn)。而缺點(diǎn)是該業(yè)務(wù)獨(dú)立成網(wǎng)，在經(jīng)濟(jì)上開支較大，而且為實(shí)現(xiàn)管理系統(tǒng)在分部落地，必須使用專門的PC機(jī)進(jìn)行操作，這樣在一定程度上又會(huì)引發(fā)一筆投資。方案二，使用VPN的方式將管理系統(tǒng)傳輸至縣市區(qū)分部，VPN即虛擬專用網(wǎng)，通常是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問。VPN有多種分類方式，主要是按協(xié)議進(jìn)行分類。VPN可通過(guò)服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)。方案二中使用的VPN方式是通過(guò)軟件來(lái)實(shí)現(xiàn)，簡(jiǎn)單設(shè)想下，在分部的辦公區(qū)任意一臺(tái)辦公電腦，如果能實(shí)現(xiàn)訪問管理系統(tǒng)的目的，這樣不但可以方便辦公，還可以提高工作效率，同時(shí)在一定程度上也避免了硬件PC機(jī)的投入。通過(guò)對(duì)現(xiàn)有兩種方案利弊的權(quán)衡，并綜合考慮到VPN技術(shù)的成熟和穩(wěn)定性，我們決定采用方案二來(lái)解決此次網(wǎng)絡(luò)組網(wǎng)。

這里提到網(wǎng)絡(luò)組網(wǎng)，必不可少的要介紹一下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在該商業(yè)集團(tuán)部署一臺(tái)企業(yè)級(jí)路由器，用于地址的轉(zhuǎn)換，同時(shí)也能起到防火墻的作用，這樣有效提高了網(wǎng)絡(luò)部署的安全性和規(guī)范性。然后通過(guò)路由器使用裸光纖將數(shù)據(jù)連接至我方數(shù)據(jù)核心機(jī)房。為部署VPN業(yè)務(wù)，將裸光纖數(shù)據(jù)連接至VPN服務(wù)器上，服務(wù)器的另外一個(gè)網(wǎng)卡連接至辦公網(wǎng)中（可以訪問Internet）。具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)組網(wǎng)拓?fù)涫疽鈭D

通過(guò)圖1可以清晰地看到網(wǎng)絡(luò)的整個(gè)拓?fù)浣Y(jié)構(gòu)，接下來(lái)開始配置VPN服務(wù)器，上面講到VPN服務(wù)器的一個(gè)網(wǎng)卡接入辦公網(wǎng)交換機(jī)，設(shè)置IP地址10.66.66.148/21,網(wǎng)關(guān)設(shè)置為10.66.64.1，這樣該服務(wù)器就完成了辦公網(wǎng)的接入，意思也就是打通了該服務(wù)器至各分部辦公用戶的通道，簡(jiǎn)單講各分部的辦公用戶只要能ping通10.66.66.148這臺(tái)服務(wù)器，就可以進(jìn)行VPN連接，這也是為后面的VPN撥號(hào)鏈接做準(zhǔn)備。服務(wù)器的另外一個(gè)網(wǎng)卡通過(guò)光模塊介質(zhì)連接企業(yè)級(jí)路由器，設(shè)置IP地 址172.16.10.2/24,即路由器LAN口的IP地址。這次使用的是Window 2008系統(tǒng)服務(wù)器，一臺(tái)設(shè)備兩個(gè)網(wǎng)卡，只能設(shè)置一個(gè)網(wǎng)關(guān)，那么172.16.10.2/24網(wǎng)卡的網(wǎng)關(guān)，需要使用DOS命令進(jìn)行寫入，即“route add 172.16.10.0 mask 255.255.255.0 172.16.10.1”，這樣就完成了服務(wù)器網(wǎng)卡IP地址的設(shè)置，接下來(lái)開始配置VPN軟件服務(wù)器端。

圖2 網(wǎng)橋設(shè)置示意圖

這次使用到的VPN軟件名稱是“SoftEther”，該軟件可以在互聯(lián)網(wǎng)上進(jìn)行下載，接下來(lái)就簡(jiǎn)要的介紹一下該軟件服務(wù)器端設(shè)置的方法。

該軟件服務(wù)器端首次安裝完畢后需要設(shè)置管理員密碼，然后創(chuàng)建一個(gè)虛擬的HUB，不妨給這個(gè)HUB命名為“VPN”，然后可在該 HUB下設(shè)置客戶端登錄的用戶名和密碼，為實(shí)現(xiàn)VPN數(shù)據(jù)通訊，需要在該服務(wù)器端設(shè)置網(wǎng)橋，實(shí)現(xiàn)兩個(gè)網(wǎng)卡數(shù)據(jù)的通信，這也是該服務(wù)器軟件調(diào)試的核心。具體操作是，首先開啟兩個(gè)網(wǎng)卡的VLAN透明設(shè)置，然后再將連接企業(yè)級(jí)路由器的網(wǎng)卡設(shè)置成網(wǎng)橋目標(biāo)網(wǎng)絡(luò)適配器，如圖2。

完成本地網(wǎng)橋的操作后，修改下VPN撥號(hào)后獲取的地址池，保證該地址池IP和網(wǎng)卡172.16.10.2在同一網(wǎng)段。這樣就完成服務(wù)器端的設(shè)置?？蛻舳嗽O(shè)置就相對(duì)來(lái)說(shuō)比較簡(jiǎn)單，安裝完畢后，設(shè)置下客戶端的主機(jī)名即10.66.66.148，然后輸入用戶名和密碼直接撥號(hào)即可。撥號(hào)成功后，經(jīng)過(guò)驗(yàn)證可以訪問管理系統(tǒng)，同時(shí)在撥號(hào)后，互聯(lián)網(wǎng)自動(dòng)斷開，這樣在一定程度上也保證了網(wǎng)絡(luò)的安全性，鑒于該系統(tǒng)使用的頻次少的問題，可以安裝在辦公電腦上，根據(jù)工作需要使用VPN客戶端進(jìn)行連接，真正實(shí)現(xiàn)了一個(gè)網(wǎng)線接入兩張網(wǎng)絡(luò)。

上面我們通過(guò)對(duì)網(wǎng)絡(luò)需求的知悉，然后根據(jù)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)以及其他方面的考慮，對(duì)組網(wǎng)的兩種方案的優(yōu)缺點(diǎn)進(jìn)行比較和分析。在保證網(wǎng)絡(luò)安全的前提下，從方便工作，同時(shí)兼顧經(jīng)濟(jì)效益的角度出發(fā)，決定采用VPN的方式進(jìn)行組網(wǎng)。后面我們通過(guò)配置網(wǎng)卡IP地址，配置VPN服務(wù)器端和客戶端，最終實(shí)現(xiàn)了網(wǎng)絡(luò)需求。

此次網(wǎng)絡(luò)的調(diào)試，VPN軟件的使用是一個(gè)全新的課題，從部署服務(wù)器到網(wǎng)絡(luò)的調(diào)試，經(jīng)歷了坎坎坷坷，一路走來(lái)，感覺網(wǎng)絡(luò)的調(diào)試也要勇于嘗試，要富有挑戰(zhàn)意識(shí)，只有這樣才能不斷豐富自我的網(wǎng)絡(luò)閱歷，提高網(wǎng)絡(luò)調(diào)試和開通的水平，從而保證網(wǎng)絡(luò)的安全和諧。