| 案例概要:将不同地点的局域网组成一个广域内联网,实现任意终端之间的相互通讯。 |
| |
|
用户需求描述 |
用户是一个县级卫生防疫站 ,该单位在县内 6 个乡镇都有基层卫生防疫站,县防疫站和所有基层防疫站都已建成局域网络。用户要求实现县防疫站和所有基层防疫站之间的网络互联,一方面各基层防疫站的所有终端都能够访问县防疫站的疫情申报系统;另一方面,各基层防疫站和县防疫站的终端之间能够实现文件共享。 |
| |
现有网络情况 |
| 1) |
县防疫站通过 ADSL 动态拨号上网,目前的网关是一台带有 PPPoE 拨号功能的宽带路由; |
| 2) |
所有的基层防疫站都通过 ADSL 动态拨号上网,且都使用 ADSL Modem (启用路由模式)作为共享上网网关。 |
|
| |
| VPN 方案规划 |
| 在规划 VPN 方案时,我们首先对客户应用需求进行分析。由于客户的需求是将所有防疫站的局域网络进行互联,并在这个内联网中运行疫情备案通报系统(基于 B/S 结构的应用服务系统),以及实现终端之间的点对点访问,即网上邻居访问,所以我们提出基本方案为: |
| 1) |
在县防疫站的局域网出口处安置一个 VPN 网关,并作为 VPN 通讯服务器; |
| 2) |
在各基层防疫站的局域网出口处同样安置一个VPN 网关,并作为VPN 通讯客户端; |
| 3) |
在县防疫站的 VPN 网关配置一条隧道策略,用于接受基层防疫站 VPN 网关的隧道连接请求; |
| 4) |
在基层防疫站的 VPN 网关分别配置一条隧道策略,用于向县防疫站 VPN 网关发起隧道连接请求; |
| 5) |
通过隧道策略保证各基层防疫站之间的通讯能够通过县防疫站的 VPN 网关进行路由转发。 |
|
| 接下来,我们根据用户的现有网络情况确定将要使用的产品及设备布局方案。 |
| 对于县防疫站,其 VPN 网关需要作为 VPN 通讯服务器使用,所以这个 VPN 网关必须是可寻址的,但目前县防疫站使用的宽带路由不具备地址 / 端口映射功能,且没有额外的公共 IP 资源,所以必须放弃使用现有宽带路由,而将 VPN 网关直接接入 Internet ;考虑在此案中 VPN 通讯带宽不高(受限于 ADSL 的速率),且用户运行疫情备案通报系统的服务器性能很高,所以建议用户在此服务器上安装安联防火墙 /VPN 系统软件,使其同时作为防火墙 /VPN 网关;此外,由于 ADSL 拨号没有固定公共 IP ,为保证 VPN 网关是可寻址的,还需要申请 DDNS 服务并在 VPN 网关运行 DDNS 客户端软件。 |
对于各个基层防疫站所使用的 VPN 网关,我们提出两种建议:第一,使用低端硬件防火墙 /VPN 网关;第二,在一台使用率不高的工作终端上安装安联防火墙 /VPN 系统软件,使其作为防火墙 /VPN 网关。考虑到低端硬件防火墙 /VPN 产品的功能和性能都十分有限,所以最终选择第二种方案,同时,将现有的 ADSL Modem 的工作模式改为 PPPoE 网桥模式,即上网时由安联防火墙 /VPN 系统软件进行拨号并获得公共 IP 。 |
| 规划 VPN 方案的第三步是对县防疫站和各基层防疫站的网络地址进行规划。根据 VPN 隧道及 TCP/IP 路由原则,结合基本的 VPN 方案,我们提出如下地址配置原则: |
| 1) |
县防疫站和各基层防疫站,以及各基层防疫站所使用的网段之间必须彼此独立; |
| 2) |
县防疫站和各基层防疫站所使用的网段属于同一个上级网段。 |
|
| 具体地址分配如下: |
单位 |
网段 |
县防疫站 |
10.10.1 .0/255.255.255.0 |
基层防疫站 (1) |
10.10.2 .0/255.255.255.0 |
基层防疫站 (2) |
10.10.3 .0/255.255.255.0 |
基层防疫站 (n) |
10.10.X.0/255.255.255.0 |
… |
… |
|
| |
VPN 拓扑图 |
在下面的拓扑图中,我们仅绘制出县防疫站和两个基层防疫站的网络结构。 |
| |
 |
| |
在上面的拓扑图中可以看到县防疫站的 VPN 网关是一台双网卡主机,而基层防疫站的 VPN 网关则只是在一台单网卡终端上安装安联 VPN 系统软件,这样的配置方法可以实现网关作用吗?答案是肯定的,由于该终端的网卡本身绑定了一个内部 IP (如: 10.10.2 .1 ),而在 PPPoE 拨号之后,还将获得一个公共 IP ,安联防火墙 /VPN 系统软件即可利用这两个 IP 实现网关功能,保证内部其它终端共享上网(其它终端的默认网关指向该终端的私有 IP ,如: 10.10.2.1 ),同时实现 VPN 处理。 |
| |
VPN 隧道配置 |
| 在本案中,为了实现所有局域网之间都能相互访问,我们分别在县防疫站 VPN 网关和各个基层防疫站 VPN 网关上配置一条隧道策略,具体隧道策略说明如下: |
| 1) |
县防疫站 VPN 网关能够接受来自任何 IP 的隧道协商,并将隧道策略中的本地网络参数设为 10.10.0 .0/16 ; |
| 2) |
各个基层防疫站 VPN 网关主动向总部 VPN 网关发起隧道协商,协商的目标地址是县防疫站 VPN 网关使用的动态域名。同时在隧道策略中将本地网络参数设为自己的局域网网段,如 10.10.2 .0/24 ;并将远程网络参数设为 10.10.0 .0/16 。 |
|
| |
应用说明 |
| 一旦基层防疫站 VPN 网关与县防疫站 VPN 网关建立了 IPSec VPN 隧道,两个局域网内的终端 / 服务器即可以通过实际的私有 IP 进行相互访问;而且在那些与县防疫站 VPN 网关建立了 IPSec VPN 隧道的基层防疫站局域网之间也可以通过实际的私有 IP 进行相互访问。例如:基层防疫站的终端可以使用 IE 浏览器访问 10.10.1 .1 以登录疫情申报系统;基层防疫站( 1 )的终端可以通过 10.10.3.X 登录基层防疫站( 2 )的终端并浏览共享文件夹。 |
| |
案例总结 |
在本案中,我们通过 VPN 将多个异地局域网组合成一个统一的内联网,与普通的多网段局域网一样,这个内联网对于上层应用程序是完全透明的,即可以运行绝大多数 TCP/IP 应用服务(除了基于广播方式的应用服务),包括: |
■ |
基于 B/S 或 C/S 结构的网络应用服务,如:网络 OA 、财务、 ERP 系统等; |
■ |
多媒体服务,如: VoIP 、视讯会议系统等; |
■ |
基于 NetBIOS 协议的网络应用服务,如:网络文件共享、网络打印共享; |
■ |
数据库服务,如:远程数据采集、数据查询、数据备份等 |
|
| |
