案例概要:所有的远程局域网都实现互联,并保证独立的远程终端能够访问各个局域网。 |
| |
|
用户需求描述 |
用户是某城市的商品零售企业,该企业在城区拥有8个零售商店;同时有一个总部和一个库房,但位于不同的地点。用户为了提高物流效率并强化财务管理,准备引入一套财务管理系统和一套库存商品管理系统,具体应用需求是: |
| 1) |
在总部运行财务管理系统,零售商店需在每日下班后将当日的销售记录上传至总部 ; |
| 2) |
在库房运行库存商品管理系统,零售商店需要使用该系统并完成配送预定工作; |
| 3) |
财务管理系统需要与库存商品管理系统实现数据共享; |
| 4) |
公司经理在出差时能够使用笔记本电脑查询财务管理系统和库存商品管理系统。 |
|
| |
现有网络情况 |
| 1) |
总部目前已通过光纤接入 Internet ,有4个静态公共 IP,并已购置了硬件防火墙; |
| 2) |
库房有局域网但尚未接入 Internet ,准备申请光纤接入 Internet ; |
| 3) |
零售商店都已申请了 ADSL ,并准备使用一台独立的电脑作为应用系统终端; |
| 4) |
公司经理使用的笔记本电脑可以通过 GPRS 网络接入 Internet 。 |
|
| |
VPN 方案规划 |
在规划 VPN 方案时,我们首先对客户应用需求进行分析,并在此基础上提出了基本方案: |
| 1) |
在总部和库房的局域网出口处各安置一个 VPN 网关;在所有零售商店的应用终端上和公司经理的笔记本电脑上安装 VPN 终端软件; |
| 2) |
在总部和库房的 VPN 网关之间建立隧道连接,实现总部局域网和库房局域网之间的相互通讯; |
| 3) |
总部和库房的 VPN 网关分别为零售商店的应用系统终端提供远程 VPN 接入服务,使零售终端和公司经理的笔记本电脑能够访问财务管理系统和库存商品管理系统。 |
|
| 接下来,我们根据用户的现有网络情况确定将要使用的产品及设备布局方案。 |
对于总部,由于局域网已通过光纤接入 Internet ,已使用了一台防火墙作为网关并且有多个公共IP,所以决定采用双网关结构,即在现有防火墙的平行位置上再放置一台VPN 网关,此方案的优势在于:第一,不改变现有网络结构;第二,使 VPN 通讯与普通 Internet 访问分流,提高 VPN 通讯的可靠性。对于库房,由于目前还没有网关,所以直接选用安联 G100 网关,该设备同时起到 NAT 共享上网、防火墙、 VPN 网关等功能。对于零售商店的应用系统终端和公司经理使用的笔记本电脑,只需要安装安联 VPN 终端软件即可。 |
规划 VPN 方案的第三步是对总部、库房、零售商店应用终端的地址进行规划。根据 VPN 隧道及 TCP/IP 路由原则,结合基本的 VPN 方案,我们提出如下地址配置方案: |
| 1) |
总部和库房分别使用一个彼此独立的网段;总部: 192.168.10.0/255.255.255.0 ;库房: 192.168.11.0/255.255.255.0 ; |
| 2) |
使用虚拟 IP 功能,由总部 VPN 网关为每个接入的零售商店应用终端( VPN 客户端)以及公司经理所使用的笔记本电脑分配一个独立的内部 IP : 192.168.12.X 。 |
|
| |
VPN 拓扑图 |
在下面的拓扑图中,我们仅绘制出了一个零售商店应用终端和一台笔记本电脑。 |
| |
 |
| |
VPN 隧道配置 |
为了实现前面提到的应用需求,我们分别在总部、库房的 VPN 网关上各配置两条 VPN 策略,其中一条用于实现总部和库房之间的 VPN 隧道连接,另一条用于为各个 VPN 终端(包括零售商店应用终端和经理所使用的笔记本电脑)提供远程接入服务。同样,在各个 VPN 终端上我们也各配置两条 VPN 策略,分别用于与总部和库房的 VPN 网关建立 VPN 隧道连接。 |
| |
应用说明 |
| 1) |
总部和库房的 VPN 网关可以相互发起 VPN 隧道请求,一旦 VPN 隧道建立,库存商品管理服务器和财务管理服务器即可以通过对方的私有 IP 进行数据共享; |
| 2) |
VPN 终端主动向库房 VPN 网关发起 VPN 隧道请求,一旦 VPN 隧道建立,即可以通过私有 IP ( 192.168.11.2 )访问库存商品管理服务器 ; |
| 3) |
VPN 终端主动向总部 VPN 网关发起 VPN 隧道请求,一旦 VPN 隧道建立, VPN 终端将获得虚拟 IP ,此时即可以通过私有 IP ( 192.168.10.5 )访问财务管理服务器。 |
|
| |
案例总结 |
| 在本案中,对于总部我们采用了双网关结构,使用此方案时必须注意以下两点: |
| 1) |
由于总部终端的默认网关指向防火墙,所以必须在防火墙上配置静态路由表,以保证需要通过 VPN 隧道传输的数据包能够转发给 VPN 网关处理; |
| 2) |
由于 VPN 终端接入 Internet 时获得的 IP 是动态的,为了编写防火墙上配置静态路由表 ,在总部 VPN 网关上必须使用虚拟 IP 功能为它们分配一个固定的 IP 。 |
|
| |
