当今的许多企业都拥有大量游离在公司总部之外的远程用户和远程工作人员。他们可能是位于客户所在地的销售人员、国外出差的管理人员、在家办公的远程员工或希望接入公司信息的远程办事处。这种趋势愈演愈烈,而PC笔记本电脑销售额的猛增和Internet接入新帐户的不断涌现就是有力的佐证。移动员工(远程用户和远程工作者)需要一种有效的方法来接入并访问公司数据。白沙煤电集团考虑到出差人员外地办公以及部分领导的在家办公需求,我们对现有的两种技术进行了分析,最后选择基于互联网的VPN技术解决了这个问题。
在这之前,我们要知道何谓VPN, 虚拟专用网络(Virtual Private Network,VPN)是专用网络的延伸,它包含了类似 Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,所以它具有很高的安全性.
有两种方法可以解决上面白沙煤电集团网络问题。第一是采用传统的远程接入服务器,通过远程电话拨号方式接入到企业网络内部(见图1)。第二是是利用虚拟专用网(VPN)技术和Internet业务(见图2)。在本应用说明中,我们将简单地分析两种方案的主要特点。
实施与支持 .
在传统的方案中,总部必须采用自己动手(do-it-yourself)的实施策略。它包括采购RAS设备、规划用户容量、接入技术(56kbps或ISDN)、从市话公司预订电话业务(线路数量、800号码等)、设备安装、用户管理及培训、维护和备份等。它需要企业在其内部独立提供网络工程师支持和技术来构建RAS解决方案
图 1 - 带有调制解调器池的传统RAS解决方案
另外一种方案借助基于VPN/Internet技术的新型RAS解决方案,总部就可通过连接ISP的专线连接来设置VPN解决方案。经过配置后,它将使经过授权的用户可以通过VPN接入网络。根据可用性和支付能力,用户就能选择任何ISP方案和希望采用的接入方式(56kbps、ISDN、、DSL、Cable等)。在标准平台安装VPN客户机软件后,用户就能建立VPN连接,它并不需要特殊的支持与维护。
传统解决方案的安装与维护成本非常高昂。通常,RAS设备成本是每端口数百美元,还附加每年的维护费用(占原始投入的15%到20%)。设备成本仅是RAS总成本中的一小部分,它还需要专门的网络工程师支持来维护RAS设备和支持用户。一般情况下,85%的RAS成本发生在支持和费用上(市话线路费、长话费等)。
带有VPN的RAS成本极低,它不必采购专用拨号接入设备,也不必租用电话线路并支付高昂的话费。每月只需支付给ISP专线上网费用即可。我们的研究表明,与传统RAS解决方案相比,新型的RAS/VPN解决方案能在4至6个月内就收回投资。
可扩展性/灵活性
基于VPN/Internet技术的新型RAS, RAS/VPN可以比传统的解决方案更轻松地扩展用户数量和容量。随着带宽需求的提高,用户能够选择使用56kbps或更快的ISDN、DSL或Cable调制解调器。当带宽需求增加时,总部只需向ISP订购更多的Internet接入带宽。而当移动用户的数量增加时,用户只需配置VPN服务器就可满足他们的需求。
而传统的解决方案则与此截然相反。通常,远程用户只能选择56kbps和ISDN接入。当用户数量增加时,系统需要对RAS接入服务器进行扩容,以支持更多的端口接入和电话线路
图 2 - 采用VPN和Internet的RAS解决方案
传统RAS解决方案
总部需要额外采购RSA设备
需要租用电信电话线路,并支付高昂费用
用户只能通过56KBPS Modem或ISDN接入,带宽受限
总部提供800拨号支持,并支付长话费用
企业购置专用软件提供集中的管理和远程用户支持
用户增加时,设备端口扩容会增加接入成本
基于VPN/Internet技术的新型RAS
出差人员可任意选择接入方式,包括56K Modem,ISDN,ADSL,CABLE MODEM接入,不必支付高昂的长途花费。
对于拨号用户,还可采用由ISP提供的800号、漫游号码服务,轻松上网
无需独立部署RAS设备(与VPN Application集成)
使用WINDOWS平台上的VPN客户机软件即可,不需额外投资
支持多种认证、加密方式,安全、可靠性高。
根据上述分析,我们认为目前正是构建带有VPN和Internet技术的RAS解决方案的大好时机。Internet的接入成本已十分合理,并将持续下降,而VPN技术正获得广泛的认可。企业可在企业部门和员工之间提供更好的通信,这将实现更快的决策制定、在线处理、更迅速的客户响应、按时交货及更高的生产效率等。
由于白沙煤电集团建网初期,出差员工还不多,目前直接采用了Win2K计算机作为VPN服务器端,客户机端使用Win98, 以极低的成本实现了基于互联网的VPN业务,现在介绍一下VPN的具体配置过程。
配置VPN服务器
1、尚未配置:Win2K中的VPN包含在"路由和远程访问服务"中。当你的Win2K服务器安装好之后,它也就随之自动存在了!不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后,在左边的"树"栏中选中"服务器准状态",即可从右边看到其"状态"正处于"已停止(未配置)"的情况下。
2、开始配置:要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中"SERVER"(服务器名),在其上单击右键,选"配置并启用路由和远程访问"。
 |
3、如果以前已经配置过这台服务器,现在需要重新开始,则在 "SERVER"(服务器名)上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置!
4、当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络(VPN)服务器",以便让用户能通过公共网络(比如Internet)来访问此服务器。
5、在"远程客户协议"的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选"是,所有可用的协议都在列表上"再"下一步"即可。
6、之后系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式
(比如已建立好的拨号连接或通过指定的网卡进行连接等)再"下一步"。
7、接着在回答"您想如何对远程客户机分配IP地址"的询问时,除非你已在服务器端安装好了DHCP服务器,否则请在此处选"来自一个指定的IP地址范围"(推荐)。
8、然后再根据提示输入你要分配给客户端使用的起始IP地址,"添加"进列表中,比如此处为"192.168.0.80~192.168.0.90"。(请注意,此IP地址范围要同服务器本身的IP地址处在同一个网段中,即前面的"192.168.0"部分一定要相同!)
9、最后再选"不,我现在不想设置此服务器使用RADIUS"即可完成最后的设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口,当它消失之后,打开"管理工具"中的"服务",即可以看到"Routing and Remote Access"(路由和远程访问)项"自动"处于"已启动"状态了!
赋予用户拨入的权限
1、默认的,任何用户均被拒绝拨入到服务器上。
2、欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器(在"计算机管理"项或"Active Directory用户和计算机"中),选中所需要的用户,在其上单击右键,选"属性"。
3、在该用户属性窗口中选"拨入"项,然后点击"允许访问"项,再"确定"即可完成赋予此用户拨入权限的工作。
通过局域网来进行的VPN连接
1、进入Win98的计算机,它要想连接到VPN服务器,则需要先安装"虚拟专用网络"服务。在控制面板的"网络"下,进入"通讯"即可找到此项并添加上去;安装完成之后再根据提示重启动计算机。
2、重新启动之后,在控制面板的"网络"中就有了"Microsoft 虚拟私人网络适配器",即说明VPN服务已安装成功!
 |
3、还需要建立到VPN服务器的连接。首先进入我的电脑的"拨号网络"中,双击"建立新连接",然后在"请键入对方计算机的名称"输入连接名,比如为"局域网内的VPN连接",在"选择设备"下一定不要忘了选中"Microsoft VPN Adapter"项!再"下一步"。
4、接着出现"请输入VPN服务器的名称或IP地址",在其下的文字框中输入Win2K服务器的名字或IP地址,比如此处为"192.168.0.1",再根据提示操作即可建立成功!
5、然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标,再输入相应的用户名(需具有拨入服务器的权限)和密码,再按"连接"按钮。
6、如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口。
通过Internet来进行的VPN连接
1、首先得确保服务器已经连入了Internet,用ipconfg测出其在Internet上合法的IP地址。
2、在Win98客户机端参照本节上文相关内容建立一个新的VPN连接,在相应处输入服务器在Internet上的合法的IP地址;然后将客户机端也拨入Internet,再双击所建立的VPN连接,输入相应用用户名和密码再点"连接"按钮。
3、连接成功之后可以看到,双方的任务栏右侧均会出现两个拨号网络成功运行的图标,其中一个是到Intenet的连接,另一个则是VPN的连接了!
4、当双方建立好了通过Internet的VPN连接后,即相当于又在Internet上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络!这个网络是双方专用的,而且具体良好的保密性能。
VPN建立成功之后,双方便可以通过IP地址或"网上邻居"来达到互访的目的,当然也就可以使用对方所共享出来的软硬件资源了!
对于出差用户较多的企业,还可采用专用的INTERNETpro VPN Appliance服务器,它是一种创新的产品,可以在15分钟内设置完毕并投入运行,完全基于符合行业标准的IPSec SKIP协议,并带有不受出口限制、强有力的加密技术(168位)。 它具有内置的防火墙和NAT,能够保障整个网络的安全性。用户还能选择各种不同的WAN连接方案,如T1/E1、DSL、ISDN等。用户能够随时通过任何浏览器从任何站点上完成配置。
INTERNETpro VPN Appliance服务器支持远程配置,并能实现轻松的管理和操作(就像普通的电器)。它并不限制VPN客户的数量。Virtual Tunnel是Internet Appliance VPN客户机解决方案。它运行在 Windows95/98平台上,正如VPN Appliance那样,它提供强大的加密技术,并可与VPN Appliance无缝操作。
