VPN组网经验谈.docVIP

　　VPN组网经验谈～教育资源库 　　山东证券有限责任公司是一家经营山东省证券业务的公司，总部在济南市，在全省各个地市有十几处营业部，另外在上海和北京设有两处营业部。日常各部之间的联系极为紧密，尤其是各地市分部与总部的联系更是如此。鉴于证券行业的特点，为了把各地市分部的网络连成一体，而又降低投资和管理费用，同时并加强通信的安全性，我们采用了目前微软的基于ODEM 池，以便在紧急情况下，做为各地市的拨入设备使用。 　 　 　　 山东证券VPN网络的IP地址规划：济南中心接点的局域网IP为100.100.0.1，子网掩码为255.255.255.0，即100.100.0.0网络段，其它地市营业部的网络段地址分别为100.100.1.0到100.100.18.0，各地市营业部的VPN验证服务器IP地址分别为100.100.1.1到100.100.18.1，掩码都是255.255.255.0。因此这种划分足以满足该公司现在与以后的要求。　　 　　 　　 各地市VPN验证服务器配置过程: 　 　 　　 1.在pri386.exe)，当安装完成之后，Routing and RAS Admin项就自动地出现在NT的程序项中。 　 　 　　 3.在拨号网络里添加VPN拨号接口，并进行用户名、口令、运行的协议以及安全认证等的配置。 　　 　　 　　 4. 进行路由选项的配置，我们选用了静态路由进行配置，其中VPN路由的目的IP地址都是100.100.0.0（掩码为255.255.0.0）即到中心接点的路由。在这里中心点验证服务器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的网关都是中心点VPN PPTP POOL 地址池中IP的第一个IP地址即100.100.100.1。接口是添加的VPN拨号接口。到169公网的路由0.0.0.0（掩码为0.0.0.0），网关是各地营业部路由器的以太口地址， 接口是机器的网卡。在验证服务器是NT 域中创建用于拨号的用户。 　 　 　　 下面以一个地市(青岛)的VPN服务器配置为例。 　 　 　　 (1)首先在in(mpri386.exe)软件。 　　 　　　(4)在安装过程中要重新启动计算机3次，才能完成Routing And RAS 的安装。安装成功后会在程序项中增加Routing And RAS Admin程序项，接下来要配置VPN拨号及路由。　　 　　 　　 (5)添加VPN拨号适配器及拨号IP地址，设置VPN验证用户名、口令和域。 　 　 　　 添加完成后，可以设置VPN按需拨号路由，及VPN验证加密方式。　　 　　 　　 (6)接下来要设置VPN路由，可以用静态路由也可以用RIP路由，这里我们用静态路由，要添加两个路由。一个是走VPN通道的路由(VPN_qd Interface)、另一个是走Inter网络的路由(3 EhterIII卡)。在这里中心点验证服务器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的网关都是中心点VPN PPTP POOL 地址池中IP的第一个IP地址即100.100.100.1。本地Inter网关IP地址应是各地市营业所路由器以太口IP地址如10.86.0.4。则Static Routes(静态路由表)为下表： 　 　 　　 （7）在NT的域用户管理器中添加VPN拨号用户，并允许拨入。 　 　 　　 在这里我们以青岛为例，添加VPN_QD用户，设置VPN拨号口令，并给予拨入权限。 　 　 　　 设置完成后，可以从本地的工作站Ping中心点的局域网中的工作站，如ping 100.100.0.1或ping 100.100.0.11如果能Ping通，则建立VPN路由正确。如果Ping不通中心点上的工作站，但能ping通中心点的VPN验证服务器，可能是本地VPN路由不正确。 　 　 　　 另外在本地VPN服务器是可以Ping通Inter上的其他计算机的，如果Ping不通，可能是默认静态路由设置有误。如果一切正常那么在Routing And RAS Admin管理中的Vpn_qd 和3 EhterIII Line的Connection State(LAN And Demand Dial Interface)状态应该都是Connected在连接上，本地VPN服务器应该与路由器及连接局域网的集线器相连接。局域网上的工作站IP地址应设置为虚拟IP地址，VPN验证服务器或者是两块网卡(一块连接路由器、另一块设置虚拟IP地址连接局域网)，或者是一块网卡(捆绑两个IP地址)。 　 　 　　 中心接点VPN验证服务器的配置过程： 　 　 　　 其配置过程基本上与各地市的验