单位虚拟专用网的组建
2007年6月
技术Vol.15No.3
Jun.2007
0引言
笔者所在单位下辖5家子报(均分散于城中各处),并在省内各地州市设有记者站。随着广告业务的拓展和新闻采编量的增加,各分社(站)之间的数据交换频繁,再加之出差人员迫切需要随时随地的访问单位采编网,单位网络的优化升级就提上了议程。综合考虑数据传输的安全性、可靠性及办公成本,决定使用VPN技术来解决以上问题。
1VPN简介
VPN(虚拟专用网)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”,VPN对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接来进行数据的传输。
VPN可分为IntranetVPN、AccessVPN和Ex-tranetVPN3类,分别提供网关到网关及客户端到网关的连接。
隧道技术是实现VPN的关键。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKSv4/v5。其中IPSec被用于提供IP层的数据保护和透明的安全通信。现在流行的趋势是将L2TP和IPSec结合起来,用L2TP作为隧道协议,用IPSec协议保护数据。
2VPN组网条件
根据对用户需求的分析,笔者认为此次VPN方案的实施必须满足以下条件:
(1)各欲访问VPN的部门(移动用户)均可以连接上Internet。
(2)总部有ISP提供的固定IP地址,并提供足够的带宽以保证VPN的访问速度。分支机构可以有固定的IP地址,也可以由ISP动态分配IP地址。
(3)总部及各子报刊社内部有成熟的局域网络互联,以便任意一台合法的PC均可享受总部服务器提供的服务。
(4)总部的中心路由器及各子报刊社的网关均能支持VPN功能。
(5)总部服务器的操作系统支持远程访问功能。3VPN的组建
上述硬件条件满足后,就可以着手组建自己的VPN了。
3.1LANtoLAN子报与总部的VPN连接
单位已获得ISP提供的固定IP地址,采用的是ATIAR-740S型路由器(支持VRRP、IPSec、L2TP、GRE、IP、IPX等多种协议路)。由于它本身就提供对
第15卷第3期2007年6月电脑与信息
ComputerandInformationTechnology
文章编号:1005-1228(2007)03-0064-02
单位虚拟专用网的组建
周为
(湖南日报社,湖南长沙410005)
摘要:文章以单位组建虚拟专用网为实例,简单介绍了VPN的发展及其技术特点,着重讲叙了VPN组网的各个步骤。
通过对VPN网络的实际应用,认为VPN具有节约成本、更安全、易扩充和好管理等方面的优势。
关键词:虚拟专用网技术;IPSec协议;VPN路由器
中图分类号:TP393文献标识码:A
BuildVirtualPrivateNetworkforNewspaperOffice
ZHOUWei
(HunanDailyNewspaperOffice,Changsha,Hunan410005,China)
Abstract:ThisarticlesimpleintroducesVirtualPrivateNetworktechnology’scharacteristicatfirst,andthennarratesallstepsofbuildingVPN.Finally,byusingtheVPN,theauthorconsidersVPNnotonlyhavemanyadvantagesonretrenchingcostbutalsobeingsecurer.
Keywords:virtualprivatenetworktechnology;IPSecprotocol;VPNrouter
收稿日期:2007-06-06
作者简介:周为(1979-),男,助理工程师,研究方向:计算机网络。
第15卷第3期VPN的支持,所以在总部我们无须更换设备和改变网
络的原有结构,而在其他分支机构一般使用普通的
ADSL宽带路由器,考虑到兼容性,笔者建议统一更换
成ATIAR-320Z。
完成硬件连接后,我们还必须依照IP地址表对路由器进行相关的配置,见表1:
要注意的是:各部门的内部网段不能是同一网段。如果相同就必须修改其中之一。
中心路由器RouterA配置:
(1)先配置基本网络IP地址及子网划分;(2)启用安全模式登陆;
(3)设置预共享密匙key1,createencokey=1type=
genval=hnrb
注:val后的值可以为任意,但必须和分支路由器RouterB的值相同
(4)配置防火墙相关策略;(5)配置ISAKMP;
createisakmppolicy=centerkeypeer=anykey=1setisakmppolicy=centerkeysendd=truesetc=true
注:由于RouterB为动态获得IP地址,所以peer参数为any
(6)配置IPSec变换集;
createipsecsas=1key=isakmpprot=espenc=deshasha=sha
createipsecbund=1key=isakmpstring=“1”
安全协议ESP,加密方式DES,认证方式SHA,用
isakmp进行密钥管理
(7)配置IPSec策略,用IPSec加密相关通讯数据;
createipsecpol=“isakmp”int=eth0ac=permitsetipsecpol=“isakmp”lp=500rp=500tra=udpcreateipsecpol=“hnrbvpn”int=eth0ac=ipseckey=isakmpbund=1peer=dynamicsetipsecpol=“hnrbvpn”lad=192.168.18.0
lma=255.255.255.0rad=192.168.20.0rma=255.255.255.0
(8)启用ISAKMP和IPSec;
enableisakmp
enableipsec
RouterB的配置与上述类似,只是要注意Pre-sharedkey必须与RouterA中的值协商一致,并在ISAKMP配置中把对端(RouterA)的IP地址改成实际
的固定IP地址(56.68.187.21)即可。正确配置路由器并顺利通过测试后,总部就能和各级子报社相互连通了,就像处于一个真正的物理局域网内一样。
3.2PCstoLAN移动用户与总部的VPN连接
对于出差在外的员工连接VPN的问题,需要利用Windows操作系统内置的L2tpOverIpsec来实现远程访问。相对Windows2000而言,WindowsXP对L2TPOVERIPSec的支持很完善,IPSec认证对端节
点的方式也可以在Pre-sharedkey和数字证书之间方便地选择,因此不需更改WindowsXP注册表。而且,在创建VPN连接时,已经有L2TPIPSecVPN类型选择,不需再专门配置“IP安全策略”,所有的工作都可以在创建VPN连接时完成,极大地简化了客户端的配置。
首先利用“网络连接向导”创建一个新的“VPN连接”,根据向导提示输入中心路由器的外部静态公网IP地址,在拨号的“
属性”选项里选择“安全”选项卡,点击选择“使用预共享的密匙作身份验证”,这里要注意“预共享的密匙”的值必须和中心路由器中设置的预共享的密匙值相同,否则将不可能通过服务器的认证,最后在“网络”选项卡里将服务类型选择为“L2TPIPSecVPN”
。完成这些简单的步骤后,WindowsXP的VPN网络连接就完成了。但我们仍要对中心路由器进行相关的配置,使其能接收所有合法用户的L2tpOverIPSec连接,配置方法也十分简单,这里就不再赘述。
完成以上工作,移动出差用户就可以随时在任何可连接Internet的地方,用预先约定的密匙、帐号及密码通过拨号的方式接入集团总部的服务器,而且所传输的数据都能经过安全的加密保护,不必担心自己的重要资料被窃取。
4结束语
通过借助于公共网络服务平台来组建VPN,不但
解决了物理地域分散的各分支机构信息交换问题,还在有限的网络投入和管理工具条件下,提供了较高的网络性能,同时还可以通过各种安全技术的引入来保证通信的安全性。
参考文献:
[1]中国IT认证实验室.VPN专题[EB/OL].http://www.chinaitlab.com/
www/special/vpn.asp,2006.
[2]博兰普拉格德肯哈利德韦恩纳.IPSecVPN设计[M].袁国忠译.北京:人民邮电出版社,2006.
[3]高海英,薛元星,辛阳.VPN技术[M].北京:机械工业出版社,2004.[4]
王达.虚拟专用网精解/网络工程师系列丛书[M].北京:清华大学出版社,2004.
表1
路由器的IP地址分配
LAN
VLAN1:192.168.18.1/24VLAN1:192.168.20.1/24
WAN
ETH0:56.68.187.21ETH0:ISP动态分配IP地址
路由器
RouterA(中心路由器AR740S)RouterB(分支路由器AR320)周为:单位虚拟专用网的组建?65?