VPN是Virtual Private Network 虚拟专用网络,将多个不同地区的局域网,组建成广域网的一项技术。那么怎么VPN组网呢?下面就详情来看看几种VPN组网方式了解下

VPN是需要从电信租用点对点或点对多点的"专线",例如某个单位总部在北京,在天津、广州、上海有分公司,如果这4个点要组成一个"大局域网",就需要租用3条专线,分别是从北京到天津、北京到广州、北京到上海的3条线路,从北京总部到3个分部使用路由器连接,拓扑如图1-1所示。

图1-1 使用专线组成广域网

在采用图1-1这种方式租网时,各个地区的IP地址(包括互联互通的路由器的IP地址)都是采用私有地址,由单位自己统一规划。这种方式线路稳定、可靠但专线费用(尤其是"长途专线"费用)价格昂贵,最初只有税务、银行才采用这种方式。这相当于组建了一个跨地区的大型局域网。

目前连接全国的内网,税务系统的内网,属于这种方式。络是各区县统一连接到市一级,市一级连接到省一级,省级再统一连接到上级部门。

在图1-1的组网方式中,一般都不会连接Internet,与Internet网络相隔离。

1 大中企业VPN组网

由于专线方式组建成本较高,很少有企业采用这种方式,在Internet普及后,大多数的企业都通过"公用线路(即Internet)"使用VPN技术组建广域网,此时拓扑如图1-2所示。

图1-2 使用VPN组建广域网

在图1-2中,各单位都先连接到Internet,此时各部门机器都可以通过路由器访问Internet。如果要实现各分支机构互相访问,在路由器上配置"VPN路由"即可。配置VPN路由之后,各分支机构互访,与访问Internet互不影响,可以同时进行。

Internet接入也有两种,一种是"专线"接入Internet,其上行、下行具有相同的带宽;另一种是ADSL接入,下行带宽大,上行带宽有限。专线接入Internet一般提供1个或多个固定的IP地址(公网IP地址),而ADSL接入则不提供固定的公网地址,一般是提供动态获得的公网IP地址。在近几年,一些运营商公网IP地址不够,ADSL客户提供的是私有IP地址,例如,在家庭ADSL中获得的出口地址是10开头的,就是这个原因。

在图1-2中,一般是"专线"方式接入Internet,都有固定IP地址。各分支机构最好选择同一运营商的接入,例如电信、联通,这样可以保证网间访问有较快的速度。当然,各分支机构受所在地区的限制,也可以采用不同运营商提供的Internet接入,只要能连接到Internet,就可以组建VPN网络。

在图1-1、图1-2的路由器采用华为、思科的企业路由器就可以,例如采用华为的AR2200系列企业路由器,如图1-3所示。

图1-3 华为AR2200企业路由器

对于图1-2中的路由器,还可以采用"软件"方式,例如可以采用安装了Windows Server 2008 R2、Forefront TMG 2010的计算机,也可以实现相同的功能。

图1-2,还可以采用华盖、蒲公英,此时中心端选择较高型号的VPN路由器(例如蒲公英X6,如图1-4所示),各分支采用较低型号的路由器(例如蒲公英X3、X5)即可。

图1-4蒲公英路由器X6

2 中小企业VPN接入

图1-2是通过VPN技术组建的广域网,但是对于大多数单位来说,不需要各分支机构"互相访问",一般只要求分支机构可以访问到中心的服务器即可,此时对于分支机构到中心机构的访问相当于"VPN接入访问",此时拓扑可以用图1-5来表示。

图1-5 中心端具有固定IP地址的VPN接入

在图1-5中,双WAN口路由器是支持VPN接入的一个"宽带路由器",这个路由有固定的公网IP地址,后端是需要访问的服务器。各个分支机房,可以通过安装具有VPN功能的路由器,连接到中心路由器。在此种组网方式中,只有中心路由有固定的公网IP地址,各分支机房都没有公网IP地址,并且各分支机构不需要互相访问,各分支机构只要通过VPN路由器"单向访问"到中心端的服务器即可。

在图1-5中,分支1与分支2的局域网内部地址都是分别是192.168.1.0/24、192.168.2.0/24网段,这两个地址段不同。但实际上分支1与分支2不需要互相访问,所以分支1与分支2局域网的IP地址段可以相同,当然不同也是可以的。

在图1-5中,中心路由器即可以采用"硬件"也可以采用"软件"方式。

如果选择硬件方式,可以选择具有此项功能的VPN路由器,例如"蒲公英路由X6、X5"系列。

其他支持的路由器有飞鱼星、D-Link系列。

中心VPN服务器也可以采用"软件"方式,例如Forefront TMG 2010。

如果中心路由器采用"硬件"方式,则中心路由器与分支路由器,需要采用同一厂商的设备,中心端可以采用配置较为高端的路由器,分支机构可以采用相对低端的路由器。

如果中心路由器采用"软件"方式,中心一端可以采用Forefront TMG2010(或其他Windows Server、Linux Server的VPN路由器),此时各分支机构可以采用采用DLINK的DI-7001系列(如图1-6所示)、华盖Vigor 2912系列路由器(如图1-7所示),以前飞鱼星系列路由器也支持,但其升级之后,虽然能连通VPN路由器但不能访问VPN路由器后端的服务器。

图1-6 DI-7001 宽带路由器

图1-7 华盖2912系列

3 无固定IP地址、无公网IP的VPN组网

在组建VPN网络(广域网,需要各分支互联互通)的时候,一般要求各分支机构具有固定的公网IP地址;在组建VPN接入网络时(各分支机构以VPN技术、访问中心的服务器),要求中心一端具有固定的公网IP地址。如果没有固定的公网IP地址,动态获得的公网IP地址+动态域名(花生壳,大多数支持动态域名的宽带路由器一般集成了花生壳)也可以。

在组建VPN网络时,如果VPN路由器直接连接到Internet(不管是有合法的、固定的公网IP地址还是动态获得的公网IP地址),组建VPN网络相对容易,因为VPN路由器"前端"即是Internet,没有过防火墙。所以在类似图1-8的组网方式中,大多数具有VPN功能的路由器都可以支持这种模式。

图1-8 中小企业有动态或固定公网IP地址组网方式

但是,在实际的生活中,网络往往是很复杂的,如图1-9所示。

图1-9 实际环境的VPN应用

这表现为:

(1)单位总部只有一个固定的公网IP地址(或者动态获得的公网IP地址,或私网地址),而这个IP地址又配置在"防火墙"或"路由器"中,VPN路由器处于防火墙后端。

(2)分支机构是ADSL,无公网IP地址,获得的是10.x1.x2.x3之类的私有地址。

(3)出差客户端要访问单位内部,但出差用户所在的网络对标准VPN拨叫有限制(例如一些防火墙限制了GRE 47协议),这就造成出差用户使用标准的VPN拨入服务,不能成功连接单位的VPN服务器。

对于这种应用,怎样选择一款合适的VPN产品,以支持各种应用呢?以开发花生壳、向日葵而闻名的oray推出的"蒲公英"系列路由器,可以完美的解决这些问题。

蒲公英企业智能组网系列路由器,除了具有企业宽带路由器所具有的功能外,采用特有的Cloud VPN技术,可以在任何网络环境中提供智能VPN组网,另外其特有的VPN客户端"蒲公英访问者"可以支持Windows、Android、Mac、iPhone、iPAD等多种设备,保证无论是各站点之间的蒲公英路由器,还是出差办公登了蒲公英访问者的员工,都可以方便快捷的组建虚拟网络,实现异地互联互通。在下一篇文章中,我们通过两个实验案例,来介绍蒲公英路由器智能组网方法,朋友们可以参考本网络拓扑,根据自己的不同需求,组建合适的网络。

最新资讯
OPPO回应芯片研发计划:核心是做好产品 提升用户体验

OPPO回应芯片研发计划

针对媒体报道的芯片研发计划,OPPO方面回应称,核心策略是
库克发送员工备忘录:苹果恢复正常速度低于预期

库克发送员工备忘录:苹

据国外媒体报道,苹果公司CEO蒂姆·库克(Tim Cook)向公司
微信支付将开放智慧零售入口 已接入每日优鲜等商家

微信支付将开放智慧零

据媒体报道,微信支付页面中间栏将开放“智慧零售”入口
51CTO完成C轮2000万美元融资 高成资本领投

51CTO完成C轮2000万美

技术社区及在线技术培训平台51CTO宣布完成C轮2000万美
农业农村部指导拼多多等企业采购贫困地区百亿农产品

农业农村部指导拼多多

联盟将组织拼多多、人民优选、百果园、好想你等大型农
爱奇艺推社交电商App“斩颜”:专注潮流彩妆领域

爱奇艺推社交电商App

爱奇艺于今年1月推出了一款名为“斩颜”的社交电商产
最新文章
详细教您网线水晶头的接法

详细教您网线水晶头的

经常看到安装师傅弄网线水晶头,但是如果你来接网线水晶
vpn组网方案 几种VPN组网方式图解

vpn组网方案 几种VPN

VPN是Virtual Private Network 虚拟专用网络,将多个不
怎样让自己房间无线信号更强?合租房一体路由器之花式组网攻略

怎样让自己房间无线信

有时候合租通常会在客厅提供光猫无线路由一体机这种设
开博尔HDMI线好不好用?开博尔百米光纤HDMI线全面剖析评测

开博尔HDMI线好不好用

HDMI线是我们进入高清时代之后必备的一根数据传输线,可
如何设置端口映射或内网穿透方式?端口映射内网穿透网站应用发布到外网的访问

如何设置端口映射或内

内网部署网站或应用如何设置端口映射或内网穿透方式,实
多台路由器组网连接上网设置的图文教程

多台路由器组网连接上

多台路由器组网连接上网设置怎么做?下面主要以有线路由