远程终端访总部单一应用服务器.docVIP

【安联VPN配置详解】 远程终端访问总部单一应用服务器 本案例所讲述的VPN配置方案适用于企业总部只有一台服务器需要被远程终端访问，采用 此VPN方案的优势在于无需改变企业现有网络结构。 网络现状和应用需求说明 企业有一个总部和多个分支机构，都使用ADSL上网 总部局域网通过宽带路由共享上网，宽带路由在PPPoE拨号后获得动态公网IP 一部分分支机构只有1台终端，通过Windows XP操作系统内置的PPPoE程序拨号上网；另一部分分支机构有3到4台终端，通过宽带路由共享上网 总部局域网内只有1台应用服务器（如：财务、ERP、OA、CRM等应用系统服务器）需要被分支机构的终端访问 实施步骤图示 在总部需要完成的配置工作 第一步：在应用服务器上安装安联防火墙/VPN软件 安装前的准备工作和详细的安装步骤，请参考附录一“安联防火墙/VPN软件安装详解” 软件安装过程中，在选择“防火墙绑定的网卡”时应选择连接本地局域网所使用的网卡型号 如果计算机上装了2块或更多的网卡，且无法判定使用哪块网卡连接本地局域 网，此时请选择系统列出的第一个网卡，在软件安装完成后，用户可参考附录 二“运行安联防火墙/VPN程序”中所描述的方法察看网卡是否被选择正确，如 不正确，请按照附录二中的方法进行修改。 第二步：在应用服务器上配置VPN隧道策略并为远程终端分配VPN帐户 参考附录二，启动安联防火墙/VPN软件并打开控制台； 在控制台菜单中选择“IPSec ( VPN配置导向”，打开VPN配置向导窗口，根据系统提示一步步完成隧道配置，以下是详细配置图示： 在配置VPN服务器端隧道策略过程中，最重要的一步就是配置本地网络，即输 入正确的“本地网络”和“本地网络掩码”。通常情况下，用户只需按照以下方 式输入，即可配置正确：a）在“本地网络”输入栏中输入本机的局域网IP地 址，并将最后一个地址段改为“0”，例如：本机的IP地址为30， 则在此应该输入“”；b）在“本地网络掩码”输入栏中始终输入 “”。 在控制台菜单中选择“IPSec ( 用户管理”，打开用户管理窗口，在该窗口中为每个远程VPN用户配置一个认证帐户，以下是详细配置步骤： 分配虚拟IP的工作不是必需的，但为VPN用户分配虚拟IP可以避免很多意想 不到的路由错误，同时可以通过虚拟IP对VPN用户进行多种方式的访问控制。 分配虚拟IP的原则是：a）虚拟IP不能属于VPN服务器所在的局域网地址段， 例如：本例中，VPN服务器的IP地址为30，其局域网使用的地 址段为/；那么虚拟IP不能使用192.168.100.X； b）为每个VPN用户分配的虚拟IP不能相同。 第四步：在应用服务器上，对安联防火墙/VPN软件进行的其它配置 在控制台菜单中执行“文件 ( 属性”命令，打开系统属性窗口，在“局域网”页面中将所有内部网络地址清空（即声明本机为单一主机） 为了保证总部局域网的其它终端也可以访问此应用服务器，需要将本局域网段加入到白名单中。操作步骤为：在控制台菜单中执行“防火墙 ( 快速白名单列表 ( 加”命令，打开“添加白名单”窗口，输入总部局域网网段地址和掩码，在本案例中，总部局域网网段为/ 通过在安联防火墙/VPN程序中添加白名单的方式可以简便、快速地做到允许总 部局域网内其它计算机访问此服务器，但这种方法的安全防护机制并不完善。 如果需要对服务器进行更好的保护，可以通过在安联防火墙/VPN程序中配置防 火墙规则实现，这需要用户了解更多的网络知识，并掌握相关配置方法。 第四步：在总部的宽带路由器上配置端口映射（虚拟服务）规则 由于应用服务器在总部局域网内，使用的是私有IP地址，所以必须在局域网接入Internet所使用的宽带路由上配置端口映射（虚拟服务）规则，将宽带路由接收到的目标端口为UDP 500和UDP 4500/VPN程序能够与远程VPN客户VPN隧道。 目前，大多数宽带路由器都带有端口映射功能（在有些宽带路由器中该功能被称为“虚拟服务”），其基本的配置方法一样。 登录宽带路由器的管理窗口，进入端口映射或虚拟服务配置页面 新建两个端口映射或虚拟服务规则，其中一个端口输入UDP 500，目标IP输入应用服务器的是私有IP地址；另一个端口输入UDP 4500，目标IP输入应用服务器的是私有IP地址。本例中应用服务器的地址为30。 保存配置，最好重新启动宽带路由，以确保规则生效。 在有些宽带路由器中，建立端口映射（虚拟服务）规则被分为两个步骤，第一 个步骤是定义一个服务，第二个步骤是将此服务映射到内部的主机上。使用这 样的宽带路由，您可以首先建立两个服务：一个取名为IKE，其端口为UDP 500； 另一个取名为NATT，其端口为UDP 4500，然后，配置两个规则将这两个服务 映射到应