VPN是Virtual Private Network 虚拟专用网络,将多个不同地区的局域网,组建成广域网的一项技术。那么怎么VPN组网呢?下面就详情来看看几种VPN组网方式了解下

VPN是需要从电信租用点对点或点对多点的"专线",例如某个单位总部在北京,在天津、广州、上海有分公司,如果这4个点要组成一个"大局域网",就需要租用3条专线,分别是从北京到天津、北京到广州、北京到上海的3条线路,从北京总部到3个分部使用路由器连接,拓扑如图1-1所示。

图1-1 使用专线组成广域网

在采用图1-1这种方式租网时,各个地区的IP地址(包括互联互通的路由器的IP地址)都是采用私有地址,由单位自己统一规划。这种方式线路稳定、可靠但专线费用(尤其是"长途专线"费用)价格昂贵,最初只有税务、银行才采用这种方式。这相当于组建了一个跨地区的大型局域网。

目前连接全国的内网,税务系统的内网,属于这种方式。络是各区县统一连接到市一级,市一级连接到省一级,省级再统一连接到上级部门。

在图1-1的组网方式中,一般都不会连接Internet,与Internet网络相隔离。

1 大中企业VPN组网

由于专线方式组建成本较高,很少有企业采用这种方式,在Internet普及后,大多数的企业都通过"公用线路(即Internet)"使用VPN技术组建广域网,此时拓扑如图1-2所示。

图1-2 使用VPN组建广域网

在图1-2中,各单位都先连接到Internet,此时各部门机器都可以通过路由器访问Internet。如果要实现各分支机构互相访问,在路由器上配置"VPN路由"即可。配置VPN路由之后,各分支机构互访,与访问Internet互不影响,可以同时进行。

Internet接入也有两种,一种是"专线"接入Internet,其上行、下行具有相同的带宽;另一种是ADSL接入,下行带宽大,上行带宽有限。专线接入Internet一般提供1个或多个固定的IP地址(公网IP地址),而ADSL接入则不提供固定的公网地址,一般是提供动态获得的公网IP地址。在近几年,一些运营商公网IP地址不够,ADSL客户提供的是私有IP地址,例如,在家庭ADSL中获得的出口地址是10开头的,就是这个原因。

在图1-2中,一般是"专线"方式接入Internet,都有固定IP地址。各分支机构最好选择同一运营商的接入,例如电信、联通,这样可以保证网间访问有较快的速度。当然,各分支机构受所在地区的限制,也可以采用不同运营商提供的Internet接入,只要能连接到Internet,就可以组建VPN网络。

在图1-1、图1-2的路由器采用华为、思科的企业路由器就可以,例如采用华为的AR2200系列企业路由器,如图1-3所示。

图1-3 华为AR2200企业路由器

对于图1-2中的路由器,还可以采用"软件"方式,例如可以采用安装了Windows Server 2008 R2、Forefront TMG 2010的计算机,也可以实现相同的功能。

图1-2,还可以采用华盖、蒲公英,此时中心端选择较高型号的VPN路由器(例如蒲公英X6,如图1-4所示),各分支采用较低型号的路由器(例如蒲公英X3、X5)即可。

图1-4蒲公英路由器X6

2 中小企业VPN接入

图1-2是通过VPN技术组建的广域网,但是对于大多数单位来说,不需要各分支机构"互相访问",一般只要求分支机构可以访问到中心的服务器即可,此时对于分支机构到中心机构的访问相当于"VPN接入访问",此时拓扑可以用图1-5来表示。

图1-5 中心端具有固定IP地址的VPN接入

在图1-5中,双WAN口路由器是支持VPN接入的一个"宽带路由器",这个路由有固定的公网IP地址,后端是需要访问的服务器。各个分支机房,可以通过安装具有VPN功能的路由器,连接到中心路由器。在此种组网方式中,只有中心路由有固定的公网IP地址,各分支机房都没有公网IP地址,并且各分支机构不需要互相访问,各分支机构只要通过VPN路由器"单向访问"到中心端的服务器即可。

在图1-5中,分支1与分支2的局域网内部地址都是分别是192.168.1.0/24、192.168.2.0/24网段,这两个地址段不同。但实际上分支1与分支2不需要互相访问,所以分支1与分支2局域网的IP地址段可以相同,当然不同也是可以的。

在图1-5中,中心路由器即可以采用"硬件"也可以采用"软件"方式。

如果选择硬件方式,可以选择具有此项功能的VPN路由器,例如"蒲公英路由X6、X5"系列。

其他支持的路由器有飞鱼星、D-Link系列。

中心VPN服务器也可以采用"软件"方式,例如Forefront TMG 2010。

如果中心路由器采用"硬件"方式,则中心路由器与分支路由器,需要采用同一厂商的设备,中心端可以采用配置较为高端的路由器,分支机构可以采用相对低端的路由器。

如果中心路由器采用"软件"方式,中心一端可以采用Forefront TMG2010(或其他Windows Server、Linux Server的VPN路由器),此时各分支机构可以采用采用DLINK的DI-7001系列(如图1-6所示)、华盖Vigor 2912系列路由器(如图1-7所示),以前飞鱼星系列路由器也支持,但其升级之后,虽然能连通VPN路由器但不能访问VPN路由器后端的服务器。

图1-6 DI-7001 宽带路由器

图1-7 华盖2912系列

3 无固定IP地址、无公网IP的VPN组网

在组建VPN网络(广域网,需要各分支互联互通)的时候,一般要求各分支机构具有固定的公网IP地址;在组建VPN接入网络时(各分支机构以VPN技术、访问中心的服务器),要求中心一端具有固定的公网IP地址。如果没有固定的公网IP地址,动态获得的公网IP地址+动态域名(花生壳,大多数支持动态域名的宽带路由器一般集成了花生壳)也可以。

在组建VPN网络时,如果VPN路由器直接连接到Internet(不管是有合法的、固定的公网IP地址还是动态获得的公网IP地址),组建VPN网络相对容易,因为VPN路由器"前端"即是Internet,没有过防火墙。所以在类似图1-8的组网方式中,大多数具有VPN功能的路由器都可以支持这种模式。

图1-8 中小企业有动态或固定公网IP地址组网方式

但是,在实际的生活中,网络往往是很复杂的,如图1-9所示。

图1-9 实际环境的VPN应用

这表现为:

(1)单位总部只有一个固定的公网IP地址(或者动态获得的公网IP地址,或私网地址),而这个IP地址又配置在"防火墙"或"路由器"中,VPN路由器处于防火墙后端。

(2)分支机构是ADSL,无公网IP地址,获得的是10.x1.x2.x3之类的私有地址。

(3)出差客户端要访问单位内部,但出差用户所在的网络对标准VPN拨叫有限制(例如一些防火墙限制了GRE 47协议),这就造成出差用户使用标准的VPN拨入服务,不能成功连接单位的VPN服务器。

对于这种应用,怎样选择一款合适的VPN产品,以支持各种应用呢?以开发花生壳、向日葵而闻名的oray推出的"蒲公英"系列路由器,可以完美的解决这些问题。

蒲公英企业智能组网系列路由器,除了具有企业宽带路由器所具有的功能外,采用特有的Cloud VPN技术,可以在任何网络环境中提供智能VPN组网,另外其特有的VPN客户端"蒲公英访问者"可以支持Windows、Android、Mac、iPhone、iPAD等多种设备,保证无论是各站点之间的蒲公英路由器,还是出差办公登了蒲公英访问者的员工,都可以方便快捷的组建虚拟网络,实现异地互联互通。在下一篇文章中,我们通过两个实验案例,来介绍蒲公英路由器智能组网方法,朋友们可以参考本网络拓扑,根据自己的不同需求,组建合适的网络。

最新资讯
陆正耀将辞任神州租车董事长?官方不予置评

陆正耀将辞任神州租车

针对外媒报道的陆正耀考虑辞任神州租车董事长一职,神州
斗鱼重启直播电商背后,游戏直播平台的混战江湖

斗鱼重启直播电商背后

当游戏核心用户增长放缓,斗鱼营收来源单一的问题就愈发
报道称Surface Neo和Windows 10X已推迟到明年发布

报道称Surface Neo和W

微软可能会先将 Windows 10X 用于更传统的翻盖或变形
余承东:华为手机今年发货量或下降 但收入能保持增长

余承东:华为手机今年

但按照目前全球的疫情情况,余承东预计华为手机今年的全
百度发布ACE交通引擎 披露Apollo智能交通解决方案

百度发布ACE交通引擎

今日百度Apollo正式对外发布“ACE交通引擎”,首次披露A
飞科主业低迷跨界厨电 竞争者众脱颖不易

飞科主业低迷跨界厨电

飞科为何选择此时跨界厨电?是什么引得其他企业也纷纷布
最新文章
详细教您网线水晶头的接法

详细教您网线水晶头的

经常看到安装师傅弄网线水晶头,但是如果你来接网线水晶
vpn组网方案 几种VPN组网方式图解

vpn组网方案 几种VPN

VPN是Virtual Private Network 虚拟专用网络,将多个不
怎样让自己房间无线信号更强?合租房一体路由器之花式组网攻略

怎样让自己房间无线信

有时候合租通常会在客厅提供光猫无线路由一体机这种设
开博尔HDMI线好不好用?开博尔百米光纤HDMI线全面剖析评测

开博尔HDMI线好不好用

HDMI线是我们进入高清时代之后必备的一根数据传输线,可
如何设置端口映射或内网穿透方式?端口映射内网穿透网站应用发布到外网的访问

如何设置端口映射或内

内网部署网站或应用如何设置端口映射或内网穿透方式,实
多台路由器组网连接上网设置的图文教程

多台路由器组网连接上

多台路由器组网连接上网设置怎么做?下面主要以有线路由