县局无线市话网管的接入方案.docVIP

无线市话网管的远程接入 摘要：本文介绍了无线市话网管系统远程VPN接入的可行性和三种具体方案：Windows接入、Linux接入和PIX接入的详细的实施办法，并分析了各种方案的优缺点，对VPN组网实施有一定的参考价值。 正文: 为什么采用VPN，有什么好处？ 目前，小灵通在全国发展得如火如荼，网络规模不断扩大，并逐渐向县城、城镇、乡村延伸。网管终端如何安全可靠的接入无线市话系统的问题也摆在各地维护人员面前。利用现有的DCN网络平台，建立遍布各网点的VPN网络无疑是一个很有竞争力的方案。 采用VPN避免了常规接入方案中会碰到的几个难题： 1、小灵通内部网络（以后简称“内网”）地址为私有网址， DCN网路由器中不存在该网址的路由，若要调整，工作量比较大； 2、DCN网络相对于内网来说不够安全，若内网和DCN互联，病毒、广播风暴和黑客攻击等不安全因素会影响内网； 3、为了保证内网安全，一般内网是通过Cisco Pix接入DCN的，但是这样一来Netman2000＋无法通过防火墙进行访问； VPN概述：虚拟专用网(Virtual Private Network)简称VPN，是建立在公共网络平台上的虚拟专用网络。顾名思义，虚拟，是因为它不提供物理上的端到端的专有连接；专用，是因为它可以在LAN、WAN等之间的网络通道里共享信息，为某一企业、团体服务。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。远程用户以作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。增强的安全性 VPN通过使用点到点协议（PPP）用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和可选的可扩展身份验证协议 (EAP)；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。IP地址安全 因为VPN是加密的， VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。网络协议支持 VPN支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。 连接方法如上图，接入服务器采用双网卡，跨接到DCN和内网之间。 服务器端： 1、服务器的操作系统是为win2000server，所有不需要的组件均不安装，并打上最新的补丁。为了保证接入服务器的安全，服务器设置成独立服务器，不加入到域，内、外网的连接均不选择“Microsoft网络客户端”、“Microsoft网络的文件和打印机共享”，如图： 2、配置路由和远程访问：在控制面板的管理工具中有“路由和远程管理”这一项，如图： 右键单击VPNSERVER，选择“配置并启用路由和远程访问”，出现向导，在公共设置中选择“虚拟专用网路（VPN）”，如图 在“Internet连接”中选择外网网卡： 在“IP地址指定”中，如果内网有DHCP服务器，可以选择自动，一般情况下，选择“来自一个指定的地址范围”就可以。 需要注意的是指定的地址范围应为内网地址，并且是空闲的。 在随后的选项中，若没有RADIUS服务器，就不要设置使用RADIUS服务器，一般来说，简单的网络没有必要使用RADIUS。 设置完成后，会自动启动相关的服务，为虚拟拨入做好了准备 客户端： 客户端的设置比较简单，在“网络和拨号连接”中双击“新建连接”，进入“网络连接向导”，如果客户端之前从未设置过拨号网络，向导会提示输入区号，如果选择取消，在随后的设置中可能不会出现拨到专用网络的选项，因此，务必要按要求填写区号。 在网络连接类型中选择“通过Internet连接到专用网络” 输入拨号服务器的IP地址 设置完成后，即可进行拨号，输入用户名和密码，最终在任务栏的右下角出现网络图标，表示拨号成功。可以PING内网地址进行验证。 3、进一步设置，服务器设置成功后，处于安全考虑，服务器的缺省设置关闭了PING响应，并且只开放了与虚拟拨号有关的端口，这在一定程度上影响了远端网络故障的诊断，可以在外