广州网泰VPN产品演示方案

2004-10-11　发布方：广州网泰　网友评论 0 条　点击进入论坛

【专稿】本文在这里向大家提供两个方案的整体设计及设备配置过程。一个是BV-611与BV-601的VPN连接方案，一个是BV－601与NS-1000的VPN连接方案。
第一个方案是两款防火墙的VPN连接，适合于大中型企业用户，这些企业的电脑数目一般都在一百台以上，需要同时接入的电脑数也比较多，各分支机构和总部之间的数据流量也比较大，这样对于VPN设备的性能要求比较高，这个方案可满足该类企业用户的需求。

第二个方案是防火墙与路由器的VPN连接，适合于中小型企业用户，这些企业的电脑数目一般都在50到100台之间，需要同时接入的电脑数不是很多，各分支机构和总部之间的数据流量也不是很大，因此对VPN设备的性能要求就比较低了，这个方案可满足该类企业用户的需求。

一、下面我先介绍一下这几款设备的资料及其性能特点。

首先是BV-611：
它是一款VPN防火墙，是VTINFO公司专为小型企业与分支机构架设虚拟私有网络而设计的产品。此产品具有优越的性能价格比。是当今VPN服务器中让您值得信赖的一款产品。
作为一款简单易用的产品，它具有一下几个特点：
第一：易于安装。
它有一个嵌入式系统（Embedded System），省却了安装软体时所带来的繁杂步聚，所有管理项目均可由浏览器的软体进行设定，因此您的电脑不需要安装任何软件。

第二：易于管理。
它具有群组的概念，可以将您公司不同部门的电脑IP地址定义成不同的组，通过此产品强大的管制条例功能将该组所能使用的服务组合起来，比如不允许财务部上互联网等。它也可以通过时间排程让您设定您定期要做的工作，比如下班后不能上互联网等。它还提供监控记录和流量统计功能，使您可以详细了解公司内部的网络使用情况。此外，它还支持静态路由设定和动态IP分配功能。

第三，具有高度的安全性。
它使用一种状态封包检查（Stateful Inspection）的技术，来过滤穿过防火墙到内部局域网的封包，内定只允许由安全的内部局域网使用者所主动建立的连线资料可由Internet进来，其他封包将会被阻挡。

    具备网路攻击DoS（Denial of Service）的侦测与阻挡，例如：Ping of Death，SYN Flood，ICMP/UDP Flood，Land Attack，IP Spoofing等等。
    提供追踪警示功能，它会记录与安全相关的事件，您可以透过浏览器，利用它提供的管理介面来观看这些记录。另外，这些记录也可以透过E-Mail送给您，管理者也可以设定BV－611立刻将紧急事件以E-Mail通知您，例如服务器正遭受DoS攻击。
    具有DMZ（De-Militarized Zone），允许Internet使用者透过防火墙存取您开放的服务器，如Web或FTP服务器。DMZ与内部局域网是完全独立的两个区域，可避免将开放的服务器置于内部局域网所需冒的风险。
    NAT（Network Address Translation）将许多内部私人网路的IP地址透过一正式的Internet IP传送到Internet。如此更增加了安全性，因为内部IP不会传到Internet，在Internet上未经授权的使用者无法经由Internet进入内部局域网。除此之外，透过NAT可以使用成本较低的Internet连线方式，例如：xDSL或Cable Modem，仅需向ISP申请一个帐号。
    易于设定的网路存取规则（Policy），可以制定规则限制特定服务或应用方式，如ICQ不能由内部局域网传到Internet，亦可制定规则允许Internet上的使用者存取内部局域网或DMZ的公开网站。

第四：标准的IPSec虚拟私人网路VPN（Virtual Private Network）
    它采用的IPSec VPN模组以168Bits IPSec VPN标准的高效能加密传输技术，提供安全的网路防护，可以让您的分公司与您的内部局域网透过Internet建立一个虚拟企业网路，取代传统的以拨接或专线高成本连线方式。无论远端是BV－611或是较小型的Office Gateway或是其他任何与IPSec相容的VPN设备，BV－611都可以让您的总公司与分公司的网路间透VPN来互相存取资料。所有的通讯资料都经过加密并且验证过，BV－611支援IKE动态交换加解密的金钥匙（Key）。
    VPN建立安全的远端用户存取（Remote Access）功能。越来越多的企业用户使用Internet与外地分公司，海外工厂，供应商，事业伙伴或全球外勤人员传送重要业务资料，建立私密通道的加密网路功能也更显重要，BV－611的IPSec VPN模组可以让您透过支援IPSec标准的VPN Client软件，提供拨接或远端的使用者透过VPN来存取内部局域网上的资料。而连线过程都经过加密处理。
    提供PPTP的隧道协议，可以让您公司的出差的用户通过单机拨入进来。

BV-611的硬件规格

其次是BV-601
它是一款VPN/FIREWALL架构的防火墙。由于其功能特点与BV-611相差不大，因此具体就不作介绍了，各位可以看上面的介绍，那它们之间的区别是什么呢？大家可以从下表中了解到：

因此，如果您公司的规模比较大的话，我还是建议您使用BV－611。

最后是NS-1000
它是一款VPN/ROUTER架构的路由器，它提供五条VPN通道，适合于做VPN的客户端。
该路由器与目前市面上的路由器最大热点在于使用了最新款的ARM9- 166Mhz RISC CPU处理器，其超高效能表现超越了所有的目前其他的宽频网络设备。配合内嵌式系统支持平台，整合了4 Port 10/100Mbps 高速以太网络自动侦测交换器，每一端口都具备MDI/X 自动判别跳线与非跳接网络线连结能力，值得一提的是NAT转换效能最高可达95Mbps以上（备注：NAT转换效能测试视测试封包大小以及档案传输与计算机间的存取能力而定，此测试数据(95Mbps)，这个是使用Smartbit封包测试仪器所得数据，若为FTP双向测试转换效率约为50~60Mbps以上）。

作为一款高效能的VPN路由器，它的主要特点如下：

第一：易于管理，可通过WEB界面登陆到路由器进行设置，简化了设置的步骤，而且它还提供远程管理功能，从而就算身在外地，同样也能管理此路由器。

第二：提供防火墙功能，支持封包过滤、阻断服务 (Denial of Service， DoS)，SYN Ack，状态封包检查 (Stateful Packet Inspection-SPI)，阻断Cookies, Java, Java script, ActiveX等恶意封包等，以保障网络内所有服务器与计算机的安全。

第三：俱备标准IPSec协议的VPN功能，提供五条VPN通道，支持DES、3DES加密协议以及MD5/AH ESP/SHA等认证方式，可确保资料传输的安全。

第四，内建DHCP /NAT/NAPT/DDNS 服务器功能，支持DMZ（非军事区），可将防火墙内的主机或计算机置于防火墙外，让Internet上的节点可存取此部主机或PC。

NS-1000的硬件规格

二、两个方案的设备价格
目前市场上这几款产品的报价为：
BV-611是9600元，BV-601是7200元，NS-1000是1880元。如此以一个总部和一个分支机构来算的话，第一套方案的价格是16800元，而第二套方案的价格是9080元。至于选择何种方案，我建议根据自己公司的需求而定，还要考虑到以后的可扩充性，而不要看重价格而选择了不适合的方案，毕竟这个是关乎整个VPN的连接速度及稳定性的。

三、应用演示
这三款产品都支持多种接入方式，由于大多数公司都是通过ADSL宽带接入互联网的，因此本演示以ADSL拨号接入为主，假如是其他接入方式可根据产品说明书设定。

第一套方案，总部为BV-611，分支机构为BV-601。
1．总部
动态域名：head.ddns.ms (广域网接口)
    网段：192.168.1.0
    子网掩码：255.255.255.0
    局域网接口:192.168.1.1
2．分部
    网段：192.168.2.0
    子网掩码：255.255.255.0
    局域网接口:192.168.2.1
VTINFO方案（BV-611——BV-601）的VPN网络结构图如下（见图1）

图1

(一).BV-611的设置：
1．登录BV-611，BV-611缺省的局域网地址是：http://192.168.1.1，用户名：admin，密码：admin。只要在任一浏览器上输入这个地址就可以进入到它的设置画面。例中以简体中文版为例，具体设置可点击“系统管理”下的“语言版本”。

2．点击“系统组态”下的“介面位址”进行内部网络和ADSL的设置（见图4）。由于总部的内部网段规定为1段，所以“内部网络介面位址”按其默认值不变。而“外部网络介面位址”下有三个选项，只把“PPPoE设定（ADSL拨接使用者）”选中，然后在下面进行拨号设置。在“使用者名称”中填入你的ISP配给你的帐号，“密码”中填入你的密码，其余的按默认值设置。然后点击“连线”，成功连线后在“IP位址”中就会出现你的ISP配给你的IP地址。最后点击“确定”。（图2）

图2

一、下面我先介绍一下这几款设备的资料及其性能特点。

BV-611的硬件规格

因此，如果您公司的规模比较大的话，我还是建议您使用BV－611。

作为一款高效能的VPN路由器，它的主要特点如下：

第三：俱备标准IPSec协议的VPN功能，提供五条VPN通道，支持DES、3DES加密协议以及MD5/AH ESP/SHA等认证方式，可确保资料传输的安全。

第四，内建DHCP /NAT/NAPT/DDNS 服务器功能，支持DMZ（非军事区），可将防火墙内的主机或计算机置于防火墙外，让Internet上的节点可存取此部主机或PC。

NS-1000的硬件规格

图1

图2

3．同样点击在“系统组态”下的“DDNS”进行动态域名的设置。点击“新增”，它会打开的一个新窗口（见图3）。BV-601提供了多达13家的动态域名服务商，保证用户使用上的要求。这里我选择的是“ChangIP（www.ChangIP.com）[USA]”，然后把“自动对映外部网络位址”选中，在下面的“使用者名称”和“密码”中填入ChangIP中登陆的用户名和密码，“网域名称”不用填，最后点击“确定”。

图3

4．最后点击右边管理界面中的“VPN”进行VPN的设置。这里使用“IPSec自动加密”，在右边的窗口中点击“新增”打开VPN设置的窗口（见图4），在“名称”中填入任意的字母组合。然后在“从来源位址”里的“子网络”填入总部的网段“192.168.1.0”，在“到目的位址”里选择“远程网关—动态域名”，再在“子网络”里填入分部的网段“192.168.2.0”。“认证方法”选择“Preshare”，“加密金钥”填入共享的密钥，这里假定为“123abc”。在“ISAKMP算法”里有两个选项，其中“加密算法”选“DES”，“认证算法”选“MD5”，而“IPSec算法”下则选“资料加密+认证”，“加密算法”选“DES”，“认证算法”选“MD5”把“进阶加密”选中，“加密金钥更新周期”我建议填入28800秒。最后点击“确定”完成总部VPN的设置。

图4

（二）BV-601的设置
1．登录BV-601，BV-601缺省的局域网地址是：http://192.168.1.1，用户名：admin，密码：admin。只要在任一浏览器上输入这个地址就可以进入到它的设置画面。例中以简体中文版为例，具体设置可点击“系统管理”下的“语言版本”。

图5

图3

图4

图5

3．最后点击右边管理界面中的“VPN”进行VPN的设置。这里使用“IPSec自动加密”，在右边的窗口中点击“新增”打开VPN设置的窗口（见图6），在“名称”中填入任意的字母组合。然后在“从来源位址”里的“子网络”填入总部的网段“192.168.2.0”，在“到目的位址”里选择“远程网关—固定IP”，填入总部的动态域名“head.ddns.ms”,再在“子网络”里填入分部的网段“192.168.1.0”。“认证方法”选择“Preshare”，“加密金钥”填入共享的密钥，这里假定为“123abc”。在“ISAKMP算法”里有两个选项，其中“加密算法”选“DES”，“认证算法”选“MD5”，而“IPSec算法”下则选“资料加密+认证”，“加密算法”选“DES”，“认证算法”选“MD5”把“进阶加密”选中，“加密金钥更新周期”我建议填入28800秒。最后点击“确定”完成分支机构的VPN设置。

图6

4．设置好后就可以点击连接来连通VPN，享受VPN带来的高度安全性资料传输加密。

第二套方案，总部为BV-601，分支机构为NS-1000

1．总部
动态域名：head.ddns.ms (广域网接口)
    网段：192.168.1.0
    子网掩码：255.255.255.0
    局域网接口:192.168.1.1
2．分部
    网段：192.168.2.0
    子网掩码：255.255.255.0
    局域网接口:192.168.2.1

VTINFO方案（BV-601——NS-1000）的VPN网络结构图如下（见图7）

图7

(一).BV-601的设置：
1．登录BV-601，BV-601缺省的局域网地址是：http://192.168.1.1，用户名：admin，密码：admin。只要在任一浏览器上输入这个地址就可以进入到它的设置画面。例中以简体中文版为例，具体设置可点击“系统管理”下的“语言版本”。

2．点击“系统组态”下的“介面位址”进行内部网络和ADSL的设置（见图8）。由于总部的内部网段规定为1段，所以“内部网络介面位址”按其默认值不变。而“外部网络介面位址”下有三个选项，只把“PPPoE设定（ADSL拨接使用者）”选中，然后在下面进行拨号设置。在“使用者名称”中填入你的ISP配给你的帐号，“密码”中填入你的密码，其余的按默认值设置。然后点击“连线”，成功连线后在“IP位址”中就会出现你的ISP配给你的IP地址。最后点击“确定”。

图8

3．同样点击在“系统组态”下的“DDNS”进行动态域名的设置。点击“新增”，它会打开的一个新窗口（见图9）。BV-601提供了多达13家的动态域名服务商，保证用户使用上的要求。这里我选择的是“ChangIP（www.ChangIP.com）[USA]”，然后把“自动对映外部网络位址”选中，在下面的“使用者名称”和“密码”中填入ChangIP中登陆的用户名和密码，“网域名称”不用填，最后点击“确定”。

图9

4．最后点击右边管理界面中的“VPN”进行VPN的设置。这里使用“IPSec自动加密”，在右边的窗口中点击“新增”打开VPN设置的窗口（见图10），在“名称”中填入任意的字母组合。然后在“从来源位址”里的“子网络”填入总部的网段“192.168.1.0”，在“到目的位址”里选择“远程网关—动态域名”，再在“子网络”里填入分部的网段“192.168.2.0”。“认证方法”选择“Preshare”，“加密金钥”填入共享的密钥，这里假定为“123abc”。在“ISAKMP算法”里有两个选项，其中“加密算法”选“DES”，“认证算法”选“MD5”，而“IPSec算法”下则选“资料加密+认证”，“加密算法”选“DES”，“认证算法”选“MD5”把“进阶加密”选中，“加密金钥更新周期”我建议填入28800秒。最后点击“确定”完成总部VPN的设置。

图10

（二）NS-1000的设置
1．登录NS-1000，NS-1000缺省的局域网地址是：http://192.168.1.1，用户名：admin，密码：admin。只要在任一浏览器上输入这个地址就可以进入到它的设置画面。

2．点击“One Page Setuup”进行内部网络和ADSL的设置（如图11）。由于分部的网段是2，所以“Device IP Address”要改为“192.168.2.1”。然后下面的“WAN Connection Type”选择“PPPoE”，“User Name”和“Password”填入你的ISP配给你的用户名和密码，选择下面的“connect on Demamd：Max Idle Time * Min”，在方框里填入-1。最后点击“Apply”。

图11

3．点击右面管理界面的“VPN”进行VPN的设置（如图12）。NS-1000可支持5条VPN的道，这里选择第一条“Tunnel 1 （---）”，把下面的“This Tunnel”的“Enable”选中，“Tunnel Name”填入VPN通道的名称，可任意。在下面的“Local Secure Group”中选择“Subnet”，“IP”填入“192.168.2.0”；“Remote Secure Group”也选择“Subnet”，“IP”填入“192.168.1.0”；“Remote Security Gateway”选择“FQDN”，在下面的方框里填入总部申请的动态域名：head.ddns.ms。下面的认证和加密方式不变，而“Key Management”里选择“Auto .（IKE）”把“PFS（Perfect Forward Secrecy）”选中。在“Pre-share Key”里填入总部设定的共享密钥“123abc”，“Key Lifetime”里填入总部设定的时间“28800”，最后点击“Apply”。

图12

当Status显示Connected时就表示已经连通VPN了，您可以PING一下对方的电脑，结果当然是显示通的。

附PPTP协议的VPN连接示例
1．点击BV-611或BV-601设置界面的PPTP服务器，出现如图13的界面

图13

2．点击修改，出现如图14的界面，点击“激活PPTP”，勾选下面的“加密认证”，然后输入客户端的IP范围，最后点击“确定”完成设置。

图14

3．选择“新增”，出现如图15的设置界面，输入“使用者名称”和“密码”，如果是单机拨入的话就选“只对单一计算机作联机”，局域网就选“对整个网域中的计算机作联机”，然后输入对方的IP地址段和子网掩码，最后点击确定，就完成BV-611和BV-601的PPTP服务器设置。

图15

图9

图10

图11

图12

当Status显示Connected时就表示已经连通VPN了，您可以PING一下对方的电脑，结果当然是显示通的。

附PPTP协议的VPN连接示例
1．点击BV-611或BV-601设置界面的PPTP服务器，出现如图13的界面

图13

2．点击修改，出现如图14的界面，点击“激活PPTP”，勾选下面的“加密认证”，然后输入客户端的IP范围，最后点击“确定”完成设置。

图14

图15

移动用户的VPN拨号设置

Windows 98 client for PPTP

安装PPTP
1.开启选单：『开始』→『设置』→『控制面板』→『网络和拨号连接』。
2.选择『新建连接』。
3.选择『适配器』。
4.选择『Microsoft』→『虚拟私人网络适配器』→『确定』。
5.放入原版Window98光盘片执行安装。
6.系统将自动重开机。

设定PPTP联机
1.开启桌面『我的计算机』→『拨号网络』。
2.选择『建立新连接』。
3.输入联机名称并选择『Microsoft VPN Adapter』后下一步。
4.输入目的端VPN服务器的名称或地址后下一步。
5.选择『完成』即结束设定。

此时在拨号网络的资料夹内将会出现一个新联机名称的图标。
6.于此联机图标上以鼠标右键选择『属性』。
7.选择上方『服务器类型』。
8.要求资料加密的话
9.进阶选项内-----勾选需要加密的密码
10.不要求资料加密的话
11.进阶选项内-----不选需要加密的密码
12.取消『IPX/SPX兼容』。
13.进入『TCP/IP』进阶设定。
14.关闭『使用IP标头压缩』。
15.关闭『使用远程网络的预设网关』。
16.选择『确定』跳出。

联机PPTP VPN
1.确认完成前述设定后激活拨号网络内的VPN联机。
2.输入PPTP VPN认可的『使用者名称』与『密码』。
3.选择『联机』即可。

Windows 2000 client for PPTP
建立一个 PPTP的拨号上网
1.开启选单：『开始』→『设置』→『网络和拨号连接』。
2.选择『建立新连接』。选择『下一步』
3.选择『通过internet连接到专用网络』,然后按『下一步』。
4.选择『自动拨接这个起始连接(虚拟私人联机)』,然后按『下一步』。
5.输入『联机名称』与『主机名称或IP地址』后『下一步』。
6.选择『完成』即结束设定。

设定PPTP联机
1.进入『控制面板』→『网络和拨号连接』资料夹。
2.于新增联机图标上以鼠标右键选择『属性』。
3.要求资料加密的话
4.选择上方『安全性』。
5.选择安全性选项的『一般（建议的设定）』。
6.勾选『要求资料加密（如果没有加密就中断联机）』。
7.不要求资料加密的话
8.选择上方『安全性』
9.选择安全性选项的『一般（建议的设定）』。
10.不要勾选『要求资料加密（如果没有加密就中断联机）』。
11.选择安全性选项的『高级（自订的设定）』。
12.进入『设定』。
13.在资料加密字段选择『要求加密（如果服务器拒绝就中断联机）』。
14.勾选『Microsoft CHAP』(MS-CHAP)
15.勾选『Microsoft CHAP』版本2(MS-CHAPV2)
16.确定其它设定没有被勾选。
17.选择上方『网络功能』。
18.确定以下功能已被勾选：
?Internet Protocol（TCP/IP）
19.确定以下功能没有被勾选：
?File and Printer Sharing for Microsoft Networks
?Client for Microsoft Networks

选择『确定』跳出。

联机PPTP VPN
1.联机到网际网络。
2.确认完成前述设定后激活VPN联机。
3.输入PPTP VPN认可的『使用者名称』与『密码』。
4.选择『联机』即可。

Configuring a Windows XP client for PPTP

设定PPTP拨号联机
1.开启选单：『开始』→『控制面板』。
2.选择『网络和拨号连接』。
3.选择『建立联机来连到您的工作网络』。
4.选择『虚拟私人网络联机』后下一步。
5.输入『联机名称』与『主机名称或IP地址』后下一步。
6.选择『完成』即结束设定。

设定PPTP联机
1.进入『控制面板』→『网络和拨号连接』资料夹。
2.于新增联机图标上以鼠标右键选择『属性』。
3.要求资料加密的话
4.选择上方『安全性』。
5.选择安全性选项的『一般（建议的设定）』。
6.勾选『要求资料加密（如果没有加密就中断联机）』。
7.不要求资料加密的话
8.选择上方『安全性』
9.选择安全性选项的『一般（建议的设定）』。
10.不要勾选『要求资料加密（如果没有加密就中断联机）』。
11.选择安全性选项的『高级（自订的设定）』。
12.进入『设定』。
13.在资料加密字段选择『要求加密（如果服务器拒绝就中断联机）』。
14.勾选『Challenge Handshake验证通讯协议（CHAP）』
15.确定其它设定没有被勾选。
16.选择上方『网络功能』。
17.确定以下功能已被勾选：
?Internet Protocol（TCP/IP）
?QoS Packet Scheduler
18.确定以下功能没有被勾选：
?File and Printer Sharing for Microsoft Networks
?Client for Microsoft Networks
15.选择『确定』跳出。

联机PPTP VPN
5.联机到网际网络。
6.确认完成前述设定后激活VPN联机。
7.输入PPTP VPN认可的『使用者名称』与『密码』。
选择『联机』即可。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表