MCPLive > 杂志文章 > 打开访问内部网的通道 VPN网络设置指南

打开访问内部网的通道 VPN网络设置指南

2009-02-18段炼《微型计算机》2009年2月上

对于一个新兴的企业来说,信息化、网络化是其必要的运营条件。如果你的企业规模不大,对成本的控制很严格,应该怎样在全国扩张,将公司各地的信息资源互相共享呢?这在几年前是必须花费大量财力、组建专门的企业内部网才能达到的事情,而今随着技术的发展,我们只需开启VPN功能就能轻松实现,成本低至老板都会忽略!

既然谈到了VPN,那么我们就必须补补课,先来了解一下什么是VPN。VPN(Virtual Private
Network)即虚拟专用网络,就是指通过VPN设备在Internet上形成一条隧道,将两个物理隔离的局域网(如:公司各办事处、生产基地、下属分支机构等)相连接,在逻辑上融合成一个局域网,双方都可以共享这个大局域网中的资源,同时VPN设备会在该隧道中加入保护层(封装与加密技术),使双方的数据交换安全可靠。采用VPN隧道穿越方式的效率与DDN数字数据网(Digital Data
Network)相仿,而成本仅仅是一次性的设备或软件投入,不需要租用昂贵的DDN专线。

VPN隧道穿越方式的架设过程是十分简便的,不管你是企业网管还是稍微有点电脑知识的普通人,都能在短时间内轻松完成,所以即使是只有十几个人的小型公司,组建一个自己的VPN网络也毫不费力。下面我们就以笔者所在的公司为例,来看看VPN究竟应该怎么架设。

笔者所在公司以销售业务为主,主要包括位于重庆的总部和西安、北京、上海、广州等各地办事处,以及在全国各地穿梭的业务人员。公司经常会发布各种新报价和资讯在内部网中共享,但这些商业资料该如何更快地传播到各地办事处和业务人员那里呢?如果找电信租用专门的DDN专线,那成本就太高了。经过对比,笔者选择了搭建VPN服务器的模式,同时也成为组网的具体实施者。

打开穿越隧道—VPN服务器的架设

1.路由器VPN架设

经过笔者的研究发现,选择一台具备VPN功能的路由器是组建VPN服务器的方便方法。由于VPN网络需要长期有效,那么一台高性能的VPN路由器是必不可少的。无论是业务繁忙的白天还是夜深人静的深夜,都能保证连接有效并且24小时在线。不过这类路由器的价格相对都比较高,所以笔者所在的公司并没有采用这种模式。但在这里我也给大家简单介绍一下应该怎样将路由器设置成VPN服务器。


图1:路由器作为服务器端的VPN设置

设置VPN服务器,在路由器WEB设置里通过“管理”—“服务”找到“PPTP服务器”选项。开启“PPTP服务”。首先在“服务器IP地址”这里输入路由器的地址,然后“客户端IP地址”意思是指客户端通过VPN服务器接入后所获取的局域网IP地址的范围,例如这里输入“192.168.0.2~
12”;后“CHAP-Secrets”意思是请设置登陆此VPN服务器得用户名和密码,我们要注意它的输入格式“用户名+空格+*+空格+密码+空格+*”,比如这里输入“look*123*”完毕后保存重启即可生效。这样一来,局域网外的用户就可以通过路由器的ip地址或域名访问内部网络了。

2.Windows Server 2003 VPN服务器架设

具有VPN功能的路由器价格虽然不高,但对于类似于笔者所在的已经购买了路由器的公司来说,再重复投资购买新路由器似乎有些不划算。那么还有其它的方法可以组建VPN服务器吗?其实这样的“免费午餐”确实是有的,例如Windows Server 2003操作系统中已经内置有VPN功能,我们可以选择PC来作为VPN服务器,同样也不是很难。

笔者先给选定的企业服务器装上Windows Server 2003操作系统,配置双网卡,点击“开始”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口(图2);再在窗口左边右键点击本地计算机名,选择“配置并启用路由和远程访问”。


图2

然后在出现的配置向导窗口中点下一步,进入配置界面。可以根据自身需要有针对性地选择第一项或第三项,这里选择的是第一项(如图3),然后点击下一步选择“VPN”,指定好服务器连接到Internet的网络接口(图4),下一步在IP地址指定界面中,选择“来自一个指定的地址范围”(图5),由于本公司接入VPN客户端数量有限,故这里输入地址段为:‘192.168.0.2~192.
168.0.12’(图6),点击下一步选择“否,使用路由和远程访问来对连接请求进行身份证验证”(图7),完成开启配置后即可开始VPN服务。


图3

图4

图5

图6

图7

由于该VPN服务器默认为“Windows身份验证”,那么要给拨入VPN服务器的客户端设置一个用户,在电脑“管理”—“系统工具”—“本地用户和组”—“用户”添加一个用户。这里以“
look”为例。新建好”look”用户后双击点它,在弹出的界面中选择“拨入”,在“远程访问权限”中勾上“允许访问”确定即可(图8)。这样我们就可以在客户端中通过“look”用户来进入VPN服务器了。


图8

另外补充一点,由于目前采用固定IP上网的方式收费较贵,因此多数企业都采用无固定IP的
ADSL拨号上网方式。这就必须在VPN服务器中安装动态域名解析软件。目前这类软件可选择的比较多,如希网、花生壳、Meibu等,这里选择的是Meibu(图9)。



图9

http://www.meibu.com/下载Meibu客户端后,安装并运行软件,注册一个Meibu的二级域名“zhouyes.meibu.com”。在登陆界面上输入域名后即可登陆,然后VPN客户端就可以通过“
zhouyes.meibu.com”网址连接到VPN服务器上,当然该软件好在VPN服务器上设置为开机自动运行,这样才能保证即使服务器重启也能继续解析。

看我的穿越之旅—VPN客户端的设置

当总部的VPN服务器建立好以后,各分支机构的电脑需要成为VPN客户端接入到这个虚拟局域网中去。我们可以根据实际应用的需要,从路由器做客户端接入或系统自带客户端接入两种方式中选择解决方案:

1.路由器客户端的设置

案例1:作为本公司在西安的办事处,常驻有6人,办事处内已经组建了一个只有6台电脑的小局域网,并且这6台电脑都需要使用总部的网络资源。在这种情况下,我们选择采用路由器架设VPN客户端。这样的优势在于办事处可以一直与总部局域网保持联系,每台电脑不必单独做设置。


图10:路由器客户端的VPN设置

在Web管理界面的“基本设置”—“网络设置”,将“连接类型”选择为“L2TP”(注:VPN拨号方式的一种),照图10输入VPN服务器的用户名和密码,并把“连接模式”选择为“保持连接”保存即可。当VPN建立好以后,办事处和总部在网络上就形成如隧道般的无缝连接状态,总部的丰富网络资源可以尽情享用。

2.单个客户端在Windows XP下的设置

案例2:作为本公司销售部主管的张先生,总是在全国各地跑来跑去,没有固定的落脚点,但工作性质又决定他必须随时通过ERP系统将新的销售情况反馈给总部,并获取总部的新信息。值得注意的是,总部的ERP系统只在内部局域网运行。那么张先生该如何实现安全访问呢?其实他完全不用添加任何设备,照样可以连接到企业局域网中,只需几分钟就能建立VPN客户端!在张先生所用的Windows XP操作系统下,点击“开始”—“程序”—“附件”—“通讯”—“建立一个新的连接”,接下来选择“网络到我的工作场所的网络”、“虚拟专用网络连接”,并为该连接命名,在下一步选择“不拨初始连接”,然后输入VPN服务器的动态域名,就建立好“VPN拨号”(图11~图13)。


图11

图12

图13

右键选择“VPN拨号”—“属性”(图15),在弹出的界面中选择“网络”—“Internet协议(TCP/IP)”—“高级”—“常规”,将“在远程网络上使用默认网关”前面的勾去掉(图16)。


图14

图15

图16

这是因为不去掉这个勾,那么客户端进入VPN服务器后,会使用远程局域网的网关作为默认网关,这样就导致该客户端只能使用虚拟局域网的资源,无法使用Internet。后打开该快捷方式,输入登陆VPN服务器的用户名和密码,就可以接入公司的VPN通道了。

综述

到此为止,本公司的独享型VPN网络已经组建完毕。几乎没有额外花费一分钱,只需要教会各地工作人员如何设置即可。目前真正用好VPN技术的企业不多,其实国内的硬件及网络环境已经足够支撑企业在这方面的应用,因此加强对VPN的了解可以更好地节省企业成本并提升办公效率,促进企业总部与分支机构的沟通与交流。另一方面,未来VPN的广泛应用也会让生活和工作之间的界限越来越模糊,在家SOHO办公也更加方便。所以,无论个人还是企业都值得在这类应用上投入更多的关注。

分享到:

用户评论

用户名:

密码: