案例概要:通过 VPN 将那些不便使用专线的基层单位网络和移动终端接入到现有专线网
络中。 |
| |
|
用户需求描述 |
| 用户是某市劳动局,该单位现已通过专线与省劳动局和其它地市劳动局联网(劳动保障系统专网)。目前用户希望其下属的 6 个县级劳动局也能够接入到专网中,一方面使用该市局的社保管理系统,另一方面能够访问省劳动局或其它地市劳动局的内部网站。 |
| |
现有网络情况 |
| 1) |
市劳动局通过专线路由接入劳动保障系统专网,同时通过光纤接入 Internet ,已使用防火墙并有多个公共 IP ; |
| 2) |
市劳动局终端的默认网关统一指向专线路由,通过配置路由规则保证了终端访问 Internet 的数据包交给防火墙处理; |
| 3) |
所有的县劳动局都有局域网和 ADSL 线路,但没有实现共享上网(个别终端独立拨号上网)。 |
|
| |
| VPN 方案规划 |
在规划 VPN 方案时,我们首先对客户应用需求进行分析,并在此基础上提出了基本方案: |
| 1) |
在市劳动局的局域网出口处安置一个 VPN 网关,并作为 VPN 通讯服务器; |
| 2) |
在各县劳动局的局域网出口处同样安置一个 VPN 网关,并作为 VPN 通讯客户端; |
| 3) |
在市劳动局 VPN 网关上配置一条隧道策略,用于接受县劳动局 VPN 网关的隧道连接请求; |
| 4) |
在各县劳动局 VPN 网关上分别配置一条隧道策略,用于向市劳动局 VPN 网关发起隧道连接请求; |
| 5) |
在市劳动局 VPN 网关和专线路由配置路由规则,使县劳动局能够通过 VPN 和专线访问到省劳动局或其它地市劳动局的网络资源。 |
|
接下来,我们根据用户的现有网络情况确定将要使用的产品及设备布局方案。对于市劳动局,由于局域网通过光纤接入Internet ,已使用了一台防火墙作为网关并且有多个公共 IP,所以我们决定采用双网关结构,即在现有防火墙的平行位置上再放置一台VPN 网关,此方案的优势在于:第一,不改变现有网络结构;第二,使VPN通讯与普通 Internet 访问分流,提高VPN通讯的可靠性。对于各县劳动局,由于目前还没有网关,所以直接选用安联 G100 网关,该设备同时起到 NAT 共享上网、防火墙、VPN 网关等功能。 |
| 规划 VPN 方案的第三步是对市劳动局、县劳动局的网络地址进行规划并确定路由规则,此步骤是本项目的关键。目前根据省劳动局对劳动保障系统专网的统一地址 / 路由规划,分配给该市的网段为 10.31.0 .0/22 (可用的 IP 为 10.31.0.1 到 10.31.3.254 );此网段的管理权归市局网络管理员所有,即管理员可以为市局网络和各县局网络任意划分具体使用的子网网段。根据 VPN 通讯对地址的要求,我们需要保证各局域网网段彼此独立,具体地址分配方案如下: |
单位 |
网段 |
市劳动局 |
10.31.0 .0/255.255.255.0 |
县劳动局 (1) |
10.31.1 .0/255.255.255.192 |
县劳动局 (2) |
10.31.1 .64/255.255.255.192 |
县劳动局 (n) |
10.31.X.X/255.255.255.192 |
|
| 为了保证县劳动局能够通过 VPN 和专线访问到省劳动局或其它地市劳动局的网络资源,我们还需要在 VPN 网关和专线路由器上分别配置静态路由表,以保证以下通讯被正确路由: |
| 1) |
VPN网关能够将目标地址属于省局或其它地市局网段的数据包交给专线路由器处理; |
| 2) |
专线路由器能够将目标为各县局的数据包交给 VPN 网关处理。 |
|
| |
VPN 拓扑图 |
在下面的拓扑图中,我们仅绘制出两个县劳动局作为示例。 |
| |
 |
| |
VPN 隧道配置 |
| 在本案中,为了实现 VPN 与专线互联,我们分别在市劳动局 VPN 网关和各个县劳动局 VPN 网关上配置一条隧道策略,具体隧道策略说明如下: |
| 1) |
市劳动局 VPN 网关能够接受来自任何 IP 的隧道协商,并将隧道策略中的本地网络参数设为 10.0.0 .0/8 (包含专线网络中的所有网段); |
| 2) |
各个县劳动局 VPN 网关主动向市劳动局 VPN 网关发起隧道协商,协商的目标地址是市劳动局 VPN 网关使用的静态公共 IP 。同时在隧道策略中将本地网络参数设为自己的局域网网段,如 10.31.1 .64/26 ;并将远程网络参数设为 10.0.0.0/8 (包含专线网络中的所有网段)。 |
|
| |
| 应用说明 |
一旦县劳动局 VPN 网关与市劳动局 VPN 网关建立了 IPSec VPN 隧道,县劳动局的终端即可以访问市劳动局的内部服务器;并且可以通过市劳动局的专线访问到省劳动局和其它地市劳动局的网络资源。 |
| |
| 案例总结 |
| 在本案中,为了实现 VPN 与专线网络互联,必须对网络地址进行合理规划,并且需要在专线路由上进行相关路由规则配置。 |
