VPN技術的高級應用

摘 要：計算機網絡技術飛速發展，VPN技術在各個企業網中廣泛地應用，但學生對于在不同網絡環境下建立VPN的方法不是很清楚，本文通過兩個典型案例來介紹常見VPN的應用及VPN的建立方法，希望對計算機網絡專業的學生有一定的指導作用。

關鍵詞：計算機網絡；VPN技術；VPN服務器

中圖分類號：TP393.0 文獻標識碼：A 文章編號：2096-4706（2018）12-0176-06

Advanced Application of VPN Technology

JIANG Yuehua

（Hefei Industrial School，Hefei 230011，China）

Abstract：With the rapid development of computer network technology，VPN technology is widely used in various enterprise networks，but students are not very clear about the method of establishing VPN in different network environment. This paper introduces the application of common VPN and the method of establishing VPN through two typical cases，hoping to provide some guidance for students majoring in computer network.

Keywords：computer network；VPN technology；VPN server

1 應用環境簡介

VPN（Virtual Private Network，虛擬專用網）是利用開放的Internet網絡，建立安全專用數據傳輸通道，將遠程的分支機構和移動辦公人員等連接起來。

VPN常應用于下列環境，有三種解決方案，用戶可以根據自己的情況進行選擇。這三種解決方案分別是：遠程訪問虛擬網（AccessVPN）、企業內部虛擬網（IntranetVPN）和企業擴展虛擬網（ExtranetVPN）。

1.1 AccessVPN

AccessVPN是企業員工或企業的小分支機構通過公網遠程訪問企業內部的方式。遠程用戶一般是一臺計算機，而不是網絡，是一種主機到網絡的拓樸結構。AccessVPN能使用戶隨時隨地以其所需的方式訪問企業資源。

AccessVPN最適用于公司內部經常有流動人員遠程辦公的情況。出差員工利用當地ISP提供的VPN服務就可以與公司的VPN網關建立私有的隧道連接。RADIUS服務器可對員工進行驗證和授權，保證連接的安全性。

1.2 IntranetVPN

如果要進行企業內部各分支機構的互聯，使用Intranet VPN是很好的方式。

越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司和研究所等，利用VPN特性可以在Internet上組建世界范圍內的IntranetVPN。利用Internet的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。

1.3 ExtranetVPN

ExtranetVPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業內部網。利用VPN技術可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身內部網絡的安全。

現在有一些專用VPN設備，本文就全國計算機職業大賽的出現的環境要求，模擬兩種情形以供參考。

2 AccessVPN的應用

2.1 應用案例

某公司為方便在外出差人員能隨時了解公司內部的各種動態，要求采用某種技術手段，實現所有在外人員都能通過Internet安全、可靠地訪問公司內部網絡，并能共享內部服務器上的各種業務數據。公司決定使用一臺路由器作為公司局域網網關，并配置成PPTP協議的VPN服務端，提供VPDN拔入服務。出差人員使用一臺Windows7的計算機作為VPDN遠程客戶端，通過Internet創建到公司局域網網關的PPTP隧道，并訪問公司局域網內的服務器。網絡拓樸如圖1所示。

內部網絡使用的IP地址段為192.168.0.1～192.168. 4.254，局域網端口ethernet0/0的IP地址為192.168.0. 1，子網掩碼為255.255.255.0（設備采用銳捷的RSR20和S3760）。

2.2 案例分析

該案例要求很清楚，只需在路由器上建VPDN，使遠程用戶通過隧道方式連接到內網，獲取一個內部IP即可訪問局域網內的服務器。服務器和部分接口采用內網址192.168.0.1～192.168.0.254，其他計算機則采用內部網址192.168.1.1～192.168.4.254。

配置清單如下所述（只給出VPN部分的配置）。

2.3 路由器A上PPTP服務器端配置

（1）配置RA上的網絡接口；

RA（config）#interface fastEthernet 0/0

RA（config-if）#ip address 192.168.0.1 255.255.255.0

RA（config）#interface S4/0

RA（config-if）#ip address 218.22.6.1 255.255.255.248

（2）配置地址池PPTP；

RA（config）#ip local pool pptp 192.168.0.100 192.168..254

（3）設置客戶端撥號的用戶名pc和密碼1111；

RA（config）#username pc password 0 1111

（4）配置虛接口1，配置認證方式為PAP，并且使用接口F0/0的地址為網關作為虛接口地址，并配置撥入虛接口獲取地址的方式是通過地址池PPTP獲得；

RA （config）#interface Virtual-Template 1

RA （config-if）#ppp authentication pap

RA config-if）#ip unnumbered F0/0

RA config-if）#peer default ip address pool pptp

RA config-if）#exit

（5）啟用VPDN，并配置VPDN組PPTP，設置為允許撥入。定義允許撥入的協議為PPTP，匹配的虛接口為虛接口1。

RA （config）#vpdn enable

RA （config）#vpdn-group PPTP

RA （config-vpdn）#accept-dialin

RA config-vpdn-acc-in）#protocol pptp

RA （config-vpdn-acc-in）#virtual-template 1

RA config-vpdn-acc-in）#exit

2.4 Windows7客戶端配置

（1）在“連接網絡”中選“連接到工作區”；

（2）選擇“使用我的Internet連接（VPN）”；

（3）輸入要連接的目標主機IP地址（如圖2所示）；

（5）打開網絡和共享中心，選擇“VPN連接”；

（6）在“連接VPN連接”中，輸入“用戶名和密碼”（如圖4所示），在屬性中選“可選加密（沒有加密也可以連接）”，并在“允許這些協議”中選“不加密的密碼（PAP）”（如圖5所示），點擊圖4中“連接”；

（7）完成連接。

3 IntranetVPN的應用

3.1 應用案例

某集團公司在全國有兩家公司，北京總公司和合肥分公司。北京總公司和合肥分公司通過穿越Internet建立VPN隧道來進行內部訪問。同時北京總公司和合肥分公司的員工都可以訪問互聯網。北京總公司內部含有兩臺Web和FTP服務器，需要對外提供服務。

已知北京總公司有三大部門，每個部門中有50臺主機，要求創建VLAN10、VLAN20、VLAN30分屬三個部門。同時要求創建VLAN80，放入服務器。上級領導只給了192.168.1.0/24的網段，劃分四個子網192.168.1. 0/26、192.168.1.64/26、192.168.1.128/26、192.168.1. 192/26。

合肥分公司的員工自動獲取192.168.2.0/25、192.168. 2.128/25這兩個子網的IP地址來進行通訊。

網絡拓樸結構如圖6所示，請給出配置（設備采用銳捷的RSR20和S3760）。

3.2 案例分析

該案例的關鍵是北京到合肥這樣遠的距離在沒有專線的情況下，要有一條安全、穩定的數據傳輸通道，確保總公司和分公司的數據安全傳輸，在北京總公司路由器和合肥分公司路由器之間建立VPN隧道正好能達到目的。

配置清單：

以上我們通過兩個案例給出了兩種環境下VPN的應用與建立方法及有關配置，希望對大家有所幫助。

參考文獻：

[1] 鮑蓉.網絡工程教程 [M].北京：中國電力出版社，2008.

[2] 程慶梅.創建高級交換型互聯網 [M].北京：機械工業出版社，2010.

作者簡介：蔣月華（1961.11-），漢族，安徽蕪湖人，高級講師，安徽中職計算機網絡專業帶頭人，安徽計算機網絡名師工作坊領銜名師，本科，學士。研究方向：計算機網絡技術，合肥工業學校工作。