当今的许多企业都拥有大量游离在公司总部之外的远程用户和远程工作人员。他们可能是位于客户所在地的销售人员、国外出差的管理人员、在家办公的远程员工或希望接入公司信息的远程办事处。这种在外办公的趋势愈演愈烈,而笔记本电脑销售额的猛增和
Internet接入新帐户的不断涌现就是有力的佐证。移动员工(远程用户和远程工作者)需要一种有效的方法来接入公司网络并访问公司数据。白沙煤电集团考虑到出差人员外地办公以及部分领导在家办公的需求,公司对现有的两种技术进行了分析,最后选择基于互联网的VPN技术解决这个问题。
虚拟专用网络(VirtualPrivateNetwork,VPN)是专用网络的延伸,它包含了类似Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点,VPN实际上是“线路中的线
路”,类似于城市大道上的“公交专用线”,所不同的是,由VPN组成的“线路”并不是物理存在的,而是通过技术手段模拟出来,即是“虚拟”的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用通道,它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,所以它具有很高的安全性。
有两种方法可以解决白沙煤电集团网络远程访问的问题。第一是采用传统的远程接入服务器,通过远程电话拨号方式接入到企业网络内部(见图1);第二是是利用虚拟专用网(VPN)技术和Internet业务。在本应用说明中,我们将简单地分析两种方案的主要特
点。
一、方案的实施与支持
在传统的方案中,集团总部必须采用自己动手(do-it-yourself)的实施策略,它包括采购RAS设备、规划用户容量、接入技术(56kbit/s或ISDN)、从市话公司预订电话业务(线路数量、800号码等)、设备安装、用户管理及培训、维护和备份等,这需要企业在其内部独立提供网络工程师支持和技术来构建RAS解决方案。
另外一种方案借助基于VPN/Internet技术的新型RAS解决方案,集团总部就可通过连接ISP的专线连接来设置VPN解决方案。经过配置后,它将使经过授权的用户可以通过VPN接入网络。根据可用性和支付能力,用户就能选择任何ISP方案和希望采用的接入方式(56kbit/s、ISDN、xDSL、Cable等)。在标准平台安装VPN客户机软件后,用户就能建立VPN连接,它并不需要特殊的支持与维护。
传统解决方案的安装与维护成本非常高昂。通常,RAS设备成本是每端口数百美元,还附加每年的维护费用(占原始投入的15%到20%)。设备成本仅是RAS总成本中的一小部分,它还需要专门的网络工程师支持来维护RAS设备和支持用户。一般情况下,85%的RAS成本发生在支持和费用上(市话线路费、长话费等)。
然而,带有VPN的RAS成本极低,它不必采购专用拨号接入设备,也不必租用电话线路并支付高昂的话费。每月只需支付给ISP专线上网费用即可。研究表明,与传统RAS解决方案相比,新型的RAS/VPN解决方案能在4至6个月内就收回投资。
二、可扩展性/灵活性对比
基于VPN/Internet技术的新型RAS,RAS/VPN可以比传统的解决方案更轻松地扩展用户数量和容量。随着带宽需求的提高,用户能够选择使用56kbit/s或更快的ISDN、xDSL或Cable调制解调器进行接入。当带宽需求增加时,集团总部只需向ISP订购更多的Internet
接入带宽即可。而当移动用户的数量增加时,用户只需配置VPN服务器就可满足他们的需求。
而传统的解决方案则与此截然相反。通常,远程用户只能选择56kbit/s和ISDN接入。当用户数量增加时,系统需要对RAS接入服务器进行扩容,以支持更多的端口接入和电话线路。
(1) 传统RAS解决方案
传统RAS解决方案需有如下支持:总部需要额外采购RSA设备;需要租用电信电话线路,支付高昂费用;用户只能通56kbit/sModem或ISDN接入,带宽受限;总部提供800拨号支持,并支付长话费用;企业购置专用软件提供集中的管理和远程用户支持;用户增加时,设备端口扩容会增加接入成本。
(2)基于VPN/Internet技术的新型RAS
基于VPN/Internet技术的新型RAS则有如下便利:出差人员可任意选择接入方式,包括56kbit/sModem,ISDN,ADSL,CABLE MODEM接入,不必支付高昂的长途花费;对于拨号用户,还可采用由ISP提供的800号、漫游号码服务,轻松上网;无需独立部署RAS设备
(与VPNApplication集成);使用WINDOWS平台上的VPN客户机软件即可,不需额外投资;支持多种认证、加密方式,安全、可靠性高。
根据上述分析,我们认为目前正是构建带有VPN和Internet技术的RAS解决方案的大好时机。Internet的接入成本已十分合理,并将持续下降,而VPN技术正获得广泛的认可。企业可在企业部门和员工之间提供更好的通信,这将实现更快的决策制定、在线处理,更迅速的客户响应、按时交货以及更高的生产效率等。
由于白沙煤电集团建网初期,出差员工还不多,目前直接采用了Win2K计算机作为VPN服务器端,客户机端使用Windows98系统,以极低的成本实现了基于互联网的VPN业务,现在介绍一下VPN的具体配置过程。
三、VPN配置
(1)配置VPN服务器
尚未配置。Win2K中的VPN包含在“路由和远程访问服务”中。当你的Win2K服务器安装好之后,它也就随之自动存在了!不过此时当你打开管理工具中的路由和远程访问项进入其主窗口后,在左边的“树”栏中选中“服务器准状态”,即可从右边看到其“状态”正处于“已停止(未配置)”的情况下。
开始配置。要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。在左边窗口中选中“SERVER”(服务器名),在其上单击右键,选“"配置并启用路由和远程访问”。如果以前已经配置过这台服务器,现在需要重新开始,则在“SERVER”
上单击右键,选“禁用路由和远程访问”,即可停止此服务,以便重新配置!当进入配置向导之后,在公共设置中,选中“虚拟专用网络(VPN)服务器”,以便让用户能通过公共网
络(比如Internet)来访问此服务器。
在远程客户协议的对话框中,一般来说,这里面至少应该已经有了TCP/IP协议,则只需直接点选“是”,所有可用的协议都在列表上的“下一步”执行。之后系统会要求你再选择一个此服务器所使用的Internet连接,在其下的列表中选择所用的连接方式(比
如已建立好的拨号连接或通过指定的网卡进行连接等)再点“下一步”。
接着在回答“您想如何对远程客户机分配IP地址”的询问时,除非你已在服务器端安装好了DHCP服务器,否则请在此处选“来自一个指定的IP地址范围”。然后再根据提示输入你要分配给客户端使用的起始IP地址,“添加”进列表中。最后再选“不,我现在不
想设置此服务器使用RADIUS”即可完成最后的设置。此时屏幕上将自动出现一个正在开户“路由和远程访问服务”的小窗口,当它消失之后,打开“管理工具”中的“服务”,即可以看到“RoutingandRemoteAccess”(路由和远程访问)项自动处于已启动状态了!
(2) 赋予用户拨入的权限
这当中包括默认的,任何用户均被拒绝拨入到服务器上。欲给一个用户赋予拨入到此服务器的权限,需打开管理工具中的用户管理器,选中所需要的用户,在其上单击右键,选“属性”。在该用户属性窗口中选“拨入”项,然后点击“允许访问”项,再“确
定”即可完成赋予此用户拨入权限的工作。
四、通过局域网进行VPN连接
进入配有Windows98的计算机,要想连接到VPN服务器,则需要先安装“虚拟专用网络”服务。在控制面板的网络下,进入“通讯”即可找到此项并添加上去,安装完成之后再根据提示重新启动计算机。重新启动之后,在控制面板的网络中就有了“Microsoft虚
拟私人网络适配器”,即说明VPN服务已安装成功!
此外还需要建立VPN服务器的连接。首先进入我的电脑的拨号网络中,双击建立新连接,然后在请键入对方计算机的名称输入连接名,接着出现“请输入VPN服务器的名称或IP地址”,在其下的文字框中输入Win2K服务器的名字或IP地址即可建立连接!
然后在拨号网络中双击刚才建立好的局域网内的VPN连接图标,再输入相应的用户名和密码,再按连接按钮。如果成功连接到了VPN服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口。
五、通过Internet进行VPN连接
首先确保服务器已经连入了Internet,用ipconfg测出其在Internet上合法的IP地址。在Windews98客户机端参照本节上文相关内容建立一个新的VPN连接,在相应处输入服务器在Internet上的合法IP地址,然后将客户机端也拨入Internet,再双击所建立的VPN连接,输入相应用户名和密码再点连接按钮。连接成功之后可以看到,双方的任务栏右侧均会出现两个拨号网络成功运行的图标,其中一个是到Intenet的连接,另一个则是VPN的连接了!
