當(dāng)今的許多企業(yè)都擁有大量游離在公司總部之外的遠(yuǎn)程用戶和遠(yuǎn)程工作人員。他們可能是位于客戶所在地的銷售人員、國外出差的管理人員、在家辦公的遠(yuǎn)程員工或希望接入公司信息的遠(yuǎn)程辦事處。這種在外辦公的趨勢愈演愈烈,而筆記本電腦銷售額的猛增和
Internet接入新帳戶的不斷涌現(xiàn)就是有力的佐證。移動(dòng)員工(遠(yuǎn)程用戶和遠(yuǎn)程工作者)需要一種有效的方法來接入公司網(wǎng)絡(luò)并訪問公司數(shù)據(jù)。白沙煤電集團(tuán)考慮到出差人員外地辦公以及部分領(lǐng)導(dǎo)在家辦公的需求,公司對(duì)現(xiàn)有的兩種技術(shù)進(jìn)行了分析,最后選擇基于互聯(lián)網(wǎng)的VPN技術(shù)解決這個(gè)問題。
虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)是專用網(wǎng)絡(luò)的延伸,它包含了類似Internet 的共享或公共網(wǎng)絡(luò)鏈接。通過VPN可以以模擬點(diǎn)對(duì)點(diǎn)專用鏈接的方式通過共享或公共網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。如果說得再通俗一點(diǎn),VPN實(shí)際上是“線路中的線
路”,類似于城市大道上的“公交專用線”,所不同的是,由VPN組成的“線路”并不是物理存在的,而是通過技術(shù)手段模擬出來,即是“虛擬”的。不過,這種虛擬的專用網(wǎng)絡(luò)技術(shù)卻可以在一條公用線路中為兩臺(tái)計(jì)算機(jī)建立一個(gè)邏輯上的專用通道,它具有良好的保密和不受干擾性,使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)連接,所以它具有很高的安全性。
有兩種方法可以解決白沙煤電集團(tuán)網(wǎng)絡(luò)遠(yuǎn)程訪問的問題。第一是采用傳統(tǒng)的遠(yuǎn)程接入服務(wù)器,通過遠(yuǎn)程電話撥號(hào)方式接入到企業(yè)網(wǎng)絡(luò)內(nèi)部(見圖1);第二是是利用虛擬專用網(wǎng)(VPN)技術(shù)和Internet業(yè)務(wù)。在本應(yīng)用說明中,我們將簡單地分析兩種方案的主要特
點(diǎn)。
一、方案的實(shí)施與支持
在傳統(tǒng)的方案中,集團(tuán)總部必須采用自己動(dòng)手(do-it-yourself)的實(shí)施策略,它包括采購RAS設(shè)備、規(guī)劃用戶容量、接入技術(shù)(56kbit/s或ISDN)、從市話公司預(yù)訂電話業(yè)務(wù)(線路數(shù)量、800號(hào)碼等)、設(shè)備安裝、用戶管理及培訓(xùn)、維護(hù)和備份等,這需要企業(yè)在其內(nèi)部獨(dú)立提供網(wǎng)絡(luò)工程師支持和技術(shù)來構(gòu)建RAS解決方案。
另外一種方案借助基于VPN/Internet技術(shù)的新型RAS解決方案,集團(tuán)總部就可通過連接ISP的專線連接來設(shè)置VPN解決方案。經(jīng)過配置后,它將使經(jīng)過授權(quán)的用戶可以通過VPN接入網(wǎng)絡(luò)。根據(jù)可用性和支付能力,用戶就能選擇任何ISP方案和希望采用的接入方式(56kbit/s、ISDN、xDSL、Cable等)。在標(biāo)準(zhǔn)平臺(tái)安裝VPN客戶機(jī)軟件后,用戶就能建立VPN連接,它并不需要特殊的支持與維護(hù)。
傳統(tǒng)解決方案的安裝與維護(hù)成本非常高昂。通常,RAS設(shè)備成本是每端口數(shù)百美元,還附加每年的維護(hù)費(fèi)用(占原始投入的15%到20%)。設(shè)備成本僅是RAS總成本中的一小部分,它還需要專門的網(wǎng)絡(luò)工程師支持來維護(hù)RAS設(shè)備和支持用戶。一般情況下,85%的RAS成本發(fā)生在支持和費(fèi)用上(市話線路費(fèi)、長話費(fèi)等)。
然而,帶有VPN的RAS成本極低,它不必采購專用撥號(hào)接入設(shè)備,也不必租用電話線路并支付高昂的話費(fèi)。每月只需支付給ISP專線上網(wǎng)費(fèi)用即可。研究表明,與傳統(tǒng)RAS解決方案相比,新型的RAS/VPN解決方案能在4至6個(gè)月內(nèi)就收回投資。
二、可擴(kuò)展性/靈活性對(duì)比
基于VPN/Internet技術(shù)的新型RAS,RAS/VPN可以比傳統(tǒng)的解決方案更輕松地?cái)U(kuò)展用戶數(shù)量和容量。隨著帶寬需求的提高,用戶能夠選擇使用56kbit/s或更快的ISDN、xDSL或Cable調(diào)制解調(diào)器進(jìn)行接入。當(dāng)帶寬需求增加時(shí),集團(tuán)總部只需向ISP訂購更多的Internet
接入帶寬即可。而當(dāng)移動(dòng)用戶的數(shù)量增加時(shí),用戶只需配置VPN服務(wù)器就可滿足他們的需求。
而傳統(tǒng)的解決方案則與此截然相反。通常,遠(yuǎn)程用戶只能選擇56kbit/s和ISDN接入。當(dāng)用戶數(shù)量增加時(shí),系統(tǒng)需要對(duì)RAS接入服務(wù)器進(jìn)行擴(kuò)容,以支持更多的端口接入和電話線路。
(1) 傳統(tǒng)RAS解決方案
傳統(tǒng)RAS解決方案需有如下支持:總部需要額外采購RSA設(shè)備;需要租用電信電話線路,支付高昂費(fèi)用;用戶只能通56kbit/sModem或ISDN接入,帶寬受限;總部提供800撥號(hào)支持,并支付長話費(fèi)用;企業(yè)購置專用軟件提供集中的管理和遠(yuǎn)程用戶支持;用戶增加時(shí),設(shè)備端口擴(kuò)容會(huì)增加接入成本。
(2)基于VPN/Internet技術(shù)的新型RAS
基于VPN/Internet技術(shù)的新型RAS則有如下便利:出差人員可任意選擇接入方式,包括56kbit/sModem,ISDN,ADSL,CABLE MODEM接入,不必支付高昂的長途花費(fèi);對(duì)于撥號(hào)用戶,還可采用由ISP提供的800號(hào)、漫游號(hào)碼服務(wù),輕松上網(wǎng);無需獨(dú)立部署RAS設(shè)備
(與VPNApplication集成);使用WINDOWS平臺(tái)上的VPN客戶機(jī)軟件即可,不需額外投資;支持多種認(rèn)證、加密方式,安全、可靠性高。
根據(jù)上述分析,我們認(rèn)為目前正是構(gòu)建帶有VPN和Internet技術(shù)的RAS解決方案的大好時(shí)機(jī)。Internet的接入成本已十分合理,并將持續(xù)下降,而VPN技術(shù)正獲得廣泛的認(rèn)可。企業(yè)可在企業(yè)部門和員工之間提供更好的通信,這將實(shí)現(xiàn)更快的決策制定、在線處理,更迅速的客戶響應(yīng)、按時(shí)交貨以及更高的生產(chǎn)效率等。
由于白沙煤電集團(tuán)建網(wǎng)初期,出差員工還不多,目前直接采用了Win2K計(jì)算機(jī)作為VPN服務(wù)器端,客戶機(jī)端使用Windows98系統(tǒng),以極低的成本實(shí)現(xiàn)了基于互聯(lián)網(wǎng)的VPN業(yè)務(wù),現(xiàn)在介紹一下VPN的具體配置過程。
三、VPN配置
(1)配置VPN服務(wù)器
尚未配置。Win2K中的VPN包含在“路由和遠(yuǎn)程訪問服務(wù)”中。當(dāng)你的Win2K服務(wù)器安裝好之后,它也就隨之自動(dòng)存在了!不過此時(shí)當(dāng)你打開管理工具中的路由和遠(yuǎn)程訪問項(xiàng)進(jìn)入其主窗口后,在左邊的“樹”欄中選中“服務(wù)器準(zhǔn)狀態(tài)”,即可從右邊看到其“狀態(tài)”正處于“已停止(未配置)”的情況下。
開始配置。要想讓W(xué)in2K計(jì)算機(jī)能接受客戶機(jī)的VPN撥入,必須對(duì)VPN服務(wù)器進(jìn)行配置。在左邊窗口中選中“SERVER”(服務(wù)器名),在其上單擊右鍵,選“"配置并啟用路由和遠(yuǎn)程訪問”。如果以前已經(jīng)配置過這臺(tái)服務(wù)器,現(xiàn)在需要重新開始,則在“SERVER”
上單擊右鍵,選“禁用路由和遠(yuǎn)程訪問”,即可停止此服務(wù),以便重新配置!當(dāng)進(jìn)入配置向?qū)е螅诠苍O(shè)置中,選中“虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器”,以便讓用戶能通過公共網(wǎng)
絡(luò)(比如Internet)來訪問此服務(wù)器。
在遠(yuǎn)程客戶協(xié)議的對(duì)話框中,一般來說,這里面至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議,則只需直接點(diǎn)選“是”,所有可用的協(xié)議都在列表上的“下一步”執(zhí)行。之后系統(tǒng)會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接,在其下的列表中選擇所用的連接方式(比
如已建立好的撥號(hào)連接或通過指定的網(wǎng)卡進(jìn)行連接等)再點(diǎn)“下一步”。
接著在回答“您想如何對(duì)遠(yuǎn)程客戶機(jī)分配IP地址”的詢問時(shí),除非你已在服務(wù)器端安裝好了DHCP服務(wù)器,否則請(qǐng)?jiān)诖颂庍x“來自一個(gè)指定的IP地址范圍”。然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址,“添加”進(jìn)列表中。最后再選“不,我現(xiàn)在不
想設(shè)置此服務(wù)器使用RADIUS”即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開戶“路由和遠(yuǎn)程訪問服務(wù)”的小窗口,當(dāng)它消失之后,打開“管理工具”中的“服務(wù)”,即可以看到“RoutingandRemoteAccess”(路由和遠(yuǎn)程訪問)項(xiàng)自動(dòng)處于已啟動(dòng)狀態(tài)了!
(2) 賦予用戶撥入的權(quán)限
這當(dāng)中包括默認(rèn)的,任何用戶均被拒絕撥入到服務(wù)器上。欲給一個(gè)用戶賦予撥入到此服務(wù)器的權(quán)限,需打開管理工具中的用戶管理器,選中所需要的用戶,在其上單擊右鍵,選“屬性”。在該用戶屬性窗口中選“撥入”項(xiàng),然后點(diǎn)擊“允許訪問”項(xiàng),再“確
定”即可完成賦予此用戶撥入權(quán)限的工作。
四、通過局域網(wǎng)進(jìn)行VPN連接
進(jìn)入配有Windows98的計(jì)算機(jī),要想連接到VPN服務(wù)器,則需要先安裝“虛擬專用網(wǎng)絡(luò)”服務(wù)。在控制面板的網(wǎng)絡(luò)下,進(jìn)入“通訊”即可找到此項(xiàng)并添加上去,安裝完成之后再根據(jù)提示重新啟動(dòng)計(jì)算機(jī)。重新啟動(dòng)之后,在控制面板的網(wǎng)絡(luò)中就有了“Microsoft虛
擬私人網(wǎng)絡(luò)適配器”,即說明VPN服務(wù)已安裝成功!
此外還需要建立VPN服務(wù)器的連接。首先進(jìn)入我的電腦的撥號(hào)網(wǎng)絡(luò)中,雙擊建立新連接,然后在請(qǐng)鍵入對(duì)方計(jì)算機(jī)的名稱輸入連接名,接著出現(xiàn)“請(qǐng)輸入VPN服務(wù)器的名稱或IP地址”,在其下的文字框中輸入Win2K服務(wù)器的名字或IP地址即可建立連接!
然后在撥號(hào)網(wǎng)絡(luò)中雙擊剛才建立好的局域網(wǎng)內(nèi)的VPN連接圖標(biāo),再輸入相應(yīng)的用戶名和密碼,再按連接按鈕。如果成功連接到了VPN服務(wù)器,此時(shí)就會(huì)像普通撥號(hào)上網(wǎng)成功一樣,在任務(wù)欄右下角會(huì)出現(xiàn)兩個(gè)小電腦的圖標(biāo),雙擊它即可出現(xiàn)連接狀態(tài)小窗口。
五、通過Internet進(jìn)行VPN連接
首先確保服務(wù)器已經(jīng)連入了Internet,用ipconfg測出其在Internet上合法的IP地址。在Windews98客戶機(jī)端參照本節(jié)上文相關(guān)內(nèi)容建立一個(gè)新的VPN連接,在相應(yīng)處輸入服務(wù)器在Internet上的合法IP地址,然后將客戶機(jī)端也撥入Internet,再雙擊所建立的VPN連接,輸入相應(yīng)用戶名和密碼再點(diǎn)連接按鈕。連接成功之后可以看到,雙方的任務(wù)欄右側(cè)均會(huì)出現(xiàn)兩個(gè)撥號(hào)網(wǎng)絡(luò)成功運(yùn)行的圖標(biāo),其中一個(gè)是到Intenet的連接,另一個(gè)則是VPN的連接了!
