今天碰到一個案例,該單位是一個新開的房產(chǎn)中介門店,需要使用VPN方式連接總公司的內(nèi)網(wǎng),情況及需求如下:
(1)這家新開的門店在一個新的小區(qū)中,小區(qū)沒有寬帶接入。為了訪問Internet及總公司的VPN,購買了一個電信的3G無線上網(wǎng)卡及3G無線路由器。
(2)該單位一共有7、8臺計算機,沒有布線,計算機都配置了無線網(wǎng)卡,想使用無線網(wǎng)絡(luò)組網(wǎng),不準備使用傳統(tǒng)的網(wǎng)線連接。
(3)該門店需要使用VPN的方式,連接到總公司的房產(chǎn)管理系統(tǒng)。總公司的房產(chǎn)管理系統(tǒng),安裝在一臺服務(wù)器中,托管在電信機房。
為了實現(xiàn)此功能,我設(shè)計了以下方案,可以達到需求,現(xiàn)在分別介紹一下。
圖1-1 采用RRAS做NAT
在圖1-1中,3G無線路由器自己撥號到Internet,一臺Windows Server 2008 R2使用"無線網(wǎng)卡"連接到該3G路由器,以實現(xiàn)到Internet的連接。在這臺計算機中,配置"路由和遠程訪問服務(wù)(RRAS)",配置NAT及"請求撥號路由",來實現(xiàn)到Internet及VPN的共享接入。
這臺Windows Server 2008 R2的有線網(wǎng)卡,使用一條RJ45網(wǎng)線連接到另外一個普通的無線寬帶路由器的LAN端口。該門店的其他計算機,使用無線網(wǎng)卡連接到這個普通的無線寬帶路由器,再通過Windows Server 2008 R2的"RRAS(路由和遠程訪問服務(wù))"的NAT及請求撥號路由功能,連接到Internet及總部內(nèi)部網(wǎng)絡(luò)。在這里,這臺普通的"無線寬帶路由器"只起了一個類似"無線交換機"的功能,在該路由器中配置了DHCP,但指定的網(wǎng)關(guān)地址是Windows Server 2008 R2的有線網(wǎng)卡的地址。這樣,所有的工作站,在使用DHCP獲得IP地址的時候,也指定了正確的網(wǎng)關(guān)地址"配置了RRAS"的Windows Server 2008 R2的地址。
在這個方案中,有兩個關(guān)鍵地方,其一是用做RRAS的Windows Server 2008 R2的配置,另一個是無線寬帶配置。首先介紹用做服務(wù)器的Windows Server 2008 R2的配置,我們一一介紹。
1.1 安裝路由和遠程訪問服務(wù)
首先要在Windows Server 2008 R2服務(wù)器上安裝路由和遠程訪問服務(wù),并啟用NAT及請求撥號路由功能。
(1)將用做服務(wù)器的Windows Server 2008 R2,無線網(wǎng)卡連接到"3G無線上網(wǎng)卡",該網(wǎng)卡用于連接Internet,我們可以將該無線網(wǎng)卡命名為"WAN"。將另一個網(wǎng)卡(有線網(wǎng)卡)命名為"LAN",設(shè)置IP地址為192.168.2.10,子網(wǎng)掩碼為255.255.255.0,不設(shè)置網(wǎng)關(guān)地址。如圖1-2所示。
圖1-2 重命名網(wǎng)卡
(2)打開"服務(wù)器管理器",添加角色。在"選擇服務(wù)器角色"對話框,選擇"網(wǎng)絡(luò)策略和訪問服務(wù)",如圖1-3所示。
圖1-3 網(wǎng)絡(luò)策略和訪問服務(wù)
(3)在"網(wǎng)絡(luò)策略和訪問服務(wù)"對話框,顯示了網(wǎng)絡(luò)策略和訪問服務(wù)簡介,查看之后單擊"下一步"按鈕,如圖1-4所示。
圖1-4 網(wǎng)絡(luò)策略和訪問服務(wù)
(4)在"選擇角色服務(wù)"對話框,選中"路由和遠程訪問服務(wù)",并選中"遠程訪問服務(wù)"和"路由"組件,如圖1-5所示。
圖1-5 選擇角色服務(wù)
(5)在"確認安裝選擇"對話框,單擊"安裝"按鈕,如圖1-6所示。
圖1-6 安裝
(6)在"安裝結(jié)果"對話框,單擊"關(guān)閉"按鈕,完成安裝。如圖1-7所示。
圖1-7 安裝完成
在安裝完成后,從"管理工具"中運行"路由和遠程訪問"服務(wù),配置該服務(wù),主要步驟如下。(1)在"路由和遠程訪問"控制臺中,右擊計算機名稱,在彈出的快捷菜單中選擇"配置并啟用路由和遠程訪問",如圖1-8所示。
圖1-8 配置并啟用路由和遠程訪問
(2)在"歡迎使用路由和遠程訪問服務(wù)器安裝向?qū)?quot;對話框,單擊"下一步"按鈕。
(3)在"配置"對話框,選擇"網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)",如圖1-9所示。
圖1-9 配置
(4)在"NAT Internet連接"對話框,選擇連接到Internet的網(wǎng)卡,在此選擇名為"WAN"的網(wǎng)卡,如圖1-10所示。
圖1-10 選擇連接Internet的網(wǎng)卡
(5)在"正在完成路由和遠程訪問服務(wù)安裝向?qū)?quot;對話框,單擊"完成"按鈕,如圖1-11所示。
圖1-11 完成路由和遠程服務(wù)安裝
(6)返回到"路由和遠程訪問"控制臺后,右擊計算機名稱,在彈出的快捷菜單中選擇"屬性",如圖1-12所示。
圖1-12 配置路由和遠程訪問屬性
(7)在"常規(guī)"選項卡中,選擇"局域網(wǎng)和請求撥號路由",如圖1-13所示。
圖1-13 選擇局域網(wǎng)和請求撥號路由
(8)在彈出的"路由和遠程訪問"警告對話框中,單擊"是"按鈕,重新啟動路由器,如圖1-14所示。
圖1-14 重新啟動路由器
1.2 創(chuàng)建請求撥號路由
在安裝路由和遠程訪問服務(wù)之后,要創(chuàng)建一個VPN的請求撥號路由,連接到VPN服務(wù)器,主要步驟如下。
(1)返回到"路由和遠程訪問"控制臺后,右擊"網(wǎng)絡(luò)接口",在彈出的快捷菜單中選擇"新建請求撥號接口",如圖1-15所示。
圖1-15 新建請求撥號接口
(2)在"歡迎使用請求撥號接口向?qū)?quot;對話框,單擊"下一步"按鈕,如圖1-16所示。
圖1-16 請求撥號路由向?qū)?/p>
(3)在"接口名稱"對話框中,為請求撥號路由設(shè)置一個名稱,此名稱可以隨意設(shè)置,但為了后期管理,可以設(shè)置一個比較記憶、有意義的名稱。在此命名為VPN,如圖1-17所示。
圖1-17 設(shè)置接口名稱
(4)在"連接類型"對話框,選擇要創(chuàng)建的請求撥號接口的類型,因為我們要創(chuàng)建的是VPN撥號,故在此選擇"使用虛擬專用網(wǎng)絡(luò)連接(VPN)",如圖1-18所示。
圖1-18 連接類型
(5)在"VPN類型"對話框,選擇要創(chuàng)建的VPN連接的類型。這要根據(jù)你的VPN服務(wù)器的配置要求選擇。在此選擇"點對點隧道協(xié)議(PPTP)"。
(6)在"目標地址"輸入要連接的VPN服務(wù)器的地址,如圖1-19所示。這可以使用域名或IP地址,具體要看你的VPN服務(wù)器的類型及需求。
圖1-19 指定目標VPN服務(wù)器的地址
(7)在"協(xié)議和安全"對話框,選擇"在此接口上路由選擇IP數(shù)據(jù)包",如圖1-20所示。如果要配置雙向的VPN路由,還要選擇"添加一個角色帳戶使遠程路由器可以接入",因為我們是創(chuàng)建請求撥號路由,是單身訪問遠程的VPN服務(wù)器故此項不做選擇。
圖1-20 協(xié)議及安全
(8)在"遠程網(wǎng)絡(luò)的靜態(tài)路由"對話框中,單擊"添加"按鈕,添加VPN客戶端撥號成功后,要訪問的內(nèi)網(wǎng)地址,這通常是VPN服務(wù)器后端的所連接或保護的服務(wù)器的地址,在此示例中,遠程網(wǎng)絡(luò)的地址是172.18.96.0/24,添加的"目標"則為172.18.96.0,網(wǎng)絡(luò)掩碼則為255.255.255.0,躍點數(shù)設(shè)置為1,如圖1-21所示。設(shè)置之后單擊"確定"按鈕添加到"靜態(tài)路由"列表中,如果有多個需要訪問的網(wǎng)絡(luò),則再次單擊"添加"按鈕繼續(xù)添加,直到添加完成。添加之后如圖1-22所示。
圖1-21 添加遠程網(wǎng)絡(luò)靜態(tài)路由圖1-22添加靜態(tài)路由之后
(9)在"撥出憑據(jù)"對話框,設(shè)置連接到遠程VPN服務(wù)器的帳戶名及密碼,如圖1-23所示。
圖1-23 設(shè)置撥出憑據(jù)
(10)在"完成請求撥號接口向?qū)?quot;對話框,單擊"完成"按鈕,如圖1-24所示。
圖1-24 完成請求撥號接口向?qū)?/p>
(11)返回到"路由和遠程訪問"控制臺,在"網(wǎng)絡(luò)接口"中可以看到新建的"請求撥號接口",當前狀態(tài)為"己啟用",連接狀態(tài)為"己斷開",如圖1-25所示。當有訪問圖1-21的目標網(wǎng)絡(luò)時,會自動撥號。
圖1-25 請求撥號接口路由
1.3 為VPN添加請求撥號接口
在添加了請求撥號路由之后,默認情況下,請求撥號路由不會自動連接。此時需要在"NAT"中,添加這個接口,供局域網(wǎng)用戶使用。
(1)在"路由和遠程訪問"控制臺中,選中"NAT",在側(cè)空白空格中右擊,在彈出的快捷菜單中選擇"新增接口",如圖1-28所示。
圖1-26 新增接口
(2)在"IPNAP的新接口"對話框中,選擇上一節(jié)創(chuàng)建的請求撥號接口。
(3)在"網(wǎng)絡(luò)地址轉(zhuǎn)換-VPN屬性"對話框,選擇"公用接口連接到Internet",并選中"在此接口上啟用NAT",如圖1-27所示。
圖1-27 設(shè)置接口屬性
(4)添加之后如圖1-28所示。
圖1-28 添加之后
1.4 當作無線交換機使用的路由器配置
為局域網(wǎng)中的工作站提供"無線接入"的普通寬帶路由器,為了管理方便,設(shè)置一個與服務(wù)器相同網(wǎng)段的IP地址,例如在本例中設(shè)置為192.168.2.254。另外,為了方便工作站接入,需要啟用"DHCP"服務(wù),但本案例中,用做網(wǎng)關(guān)的是安裝配置了"路由和遠程訪問服務(wù)"的Windows Server 2008 R2的計算機,在本示例中這臺服務(wù)器的IP地址是192.168.2.10,所以要修改普通寬帶路由器的DHCP服務(wù)器,將網(wǎng)關(guān)地址改為192.168.2.10,如圖1-29所示。
圖1-29 修改DHCP服務(wù)器的網(wǎng)關(guān)地址
1.5 客戶端使用
當客戶端訪問VPN內(nèi)網(wǎng)時,例如使用ping命令ping一個內(nèi)網(wǎng)服務(wù)器地址時,在一開始網(wǎng)絡(luò)不通,等VPN請求撥號路由撥通之后,網(wǎng)絡(luò)會連通,如圖1-30所示。
圖1-30 網(wǎng)絡(luò)連通
此時在"路由和遠程訪問"控制臺,在"網(wǎng)絡(luò)接口"中可以看到,名為VPN的請求撥號接口連接狀態(tài)為"己連接"。
1.6使用支持VPN撥號的路由器實現(xiàn)Internet及VPN接入功能
在實現(xiàn)上述功能后,客戶說,用3G無線上網(wǎng)是臨時方案,后期還是要使用光纖或ADSL上網(wǎng),為此,我又推薦了下述方案,使用帶VPN功能的路由器,實現(xiàn)到總公司局域網(wǎng)的接入,方案如下。
圖2-1 采用支持VPN功能的路由器
在圖2-1中,主要是采用了一個支持VPN功能的路由器,在此選擇"飛魚星VE760W"無線寬帶路由器。
(1)在TP-Link無線寬帶路由器中,WAN端口根據(jù)實際情況配置,對于大多數(shù)的ADSL接入來說,需要配置PPPoe撥號,并設(shè)置帳戶和密碼,這些不詳細介紹。而無線配置、DHCP服務(wù)器配置,則與普通的寬帶路由器一樣,只要能讓計算機使用無線(或有線LAN)連接到路由器,通過路由器訪問Internet即可,這些不一一介紹。
(2)在飛魚星路由器中,配置到總公司的VPN接入。稍后我們主要介紹該功能的配置。
(3)所有的計算機,連接飛魚星無線寬帶路由器,并從該無線路由器獲得IP地址。在配置好路由器的VPN功能之后,所有的計算機都能通過路由器訪問Internet及總公司網(wǎng)絡(luò)。
下面介紹飛魚星寬帶路由器,VPN功能的配置。
(1)在"虛擬專網(wǎng)→PPTP客戶端",選中"啟用PPTP客戶端"功能,在"PPTP服務(wù)器地址"方框中,輸入要連接的總公司VPN服務(wù)器的IP地址或域名,并在"用戶名"與"密碼"中輸入VPN服務(wù)器分配給該分公司的帳戶。在"PPTP服務(wù)器網(wǎng)段"中,輸入VPN服務(wù)器所連接的局域網(wǎng)的地址段,在本示例中該地址段為172.18.0.0/16,設(shè)置之間單擊"保存"并單擊"連接"按鈕,如果設(shè)置正常,會連接到總公司的VPN服務(wù)器,并且獲得VPN客戶端地址,如圖2-2所示,在本示例中,VPN服務(wù)器分配給該分公司VPN帳戶的IP地址是172.30.30.200。
圖2-2 配置PPTP客戶端
(2)在"高級選項→地址轉(zhuǎn)發(fā)"中,選擇"NAT:外出規(guī)則",單擊"添加新規(guī)則"按鈕,在"源地址"文本框中,輸入當前路由器的LAN端口的地址段,例如,當前VPN路由器的LAN端口地址是192.168.2.254,子網(wǎng)掩碼是255.255.255.0,則在"IP地址"處輸入192.168.2.0,子網(wǎng)掩碼為255.255.255.0。在"目標地址"處,輸入遠程VPN服務(wù)器局域網(wǎng)的IP地址段,在本示例中為172.18.0.0、子網(wǎng)掩碼為255.255.0.0,這與圖2-2中"PPTP服務(wù)器網(wǎng)段"相一致。在"轉(zhuǎn)換地址"處輸入圖2-2中VPN客戶端獲得的IP地址,在本示例中為172.30.30.200,如圖2-3所示。設(shè)置之后,單擊"保存"按鈕。
圖2-3 配置地址轉(zhuǎn)換
經(jīng)過上述設(shè)置,局域網(wǎng)中的計算機即可以直接訪問172.16.0.0/24的網(wǎng)段。
為了避免每次VPN撥號重要獲得新的地址,所以需要在VPN服務(wù)器上,為指定的VPN客戶端,分配一個靜態(tài)的IP地址。如果服務(wù)器是"路由和遠程訪問"服務(wù)器、Forefront TMG 2010或ISA Server 2006配置的VPN服務(wù)器,可以直接在"VPN服務(wù)器"的"本地用戶和組→用戶"中,選擇創(chuàng)建的VPN帳戶,在"撥入"選項卡中,選中"分配靜態(tài)IP地址",為指定的帳戶分配靜態(tài)IP地址,如圖2-4所示。
圖2-4 分配靜態(tài)IP地址
京公網(wǎng)安備 11010502049343號