安联VPN实现远程终端访问总部网络

案例概要：
        应用服务器放置在总部局域网内，要求分支机构的单台终端或多台终端能够进行远程访问。 
 
用户需求描述  
        用户是一个台资医疗仪器制造商，总部设在北京，在天津、上海、广州等 5 个地区分别设有办事处，工厂位于台北。总部目前使用“用友 U 8 ” 财务管理软件，为了统一财务管理，用户 希望在各个办事处及工厂的财务人员 （各地方分别有一到两名） 能够共同使用总部的“用友 U 8 ” 系统。 
 
现有网络情况
 
1） 总部局域网内 27 台主机，使用专线上网（有静态公共 IP ），网关是一台双网卡 Win2K 服务器（启用 NAT 服务）； 
2） 各个办事处和工厂都有自己的局域网；上网方式分别为小区宽带或动态 ADSL拨号，网关分别采用宽带接入路由（启用路由工作模式的 ADSL Modem ）或双网卡 Win2K 服务器。 
 
VPN 方案规划 
        在规划 VPN 方案时，我们首先对客户应用需求进行分析。由于客户的需求是实现统一财务管理，即保证各办事处和工厂的财务人员能够访问总部的“用友 U 8 ” 系统，而并不需要让办事处、工厂与总部实现网络互联（即保证各个网络内的终端都能相互访问）,因此 我们确定 的基本 VPN 方案为：
 
1） 在总部配置一个 VPN 网关； 
2） 在各办事处、工厂的财务终端（一到两个终端）上安装 VPN 客户端软件； 
3） 在 VPN 网关和各个 VPN 客户端上分别配置隧道策略，以保证 VPN 客户端能够与 VPN 网关建立隧道连接；
 
        接下来，我们根据用户的现有网络情况确定将要使用的产品及设备布局方案。由于总部目前已使用了一台双网卡 Win2K 服务器作为网关，所以只需要在此服务器上安装安联防火墙 /VPN 系统软件即可实现 VPN 网关功能；对于各办事处、工厂的财务终端，只需要安装安联防火墙 /VPN 终端软件即可。
 
        规划VPN 方案的第三步是对总部、办事处、工厂的网络地址进行规划。根据VPN 隧道及 TCP/IP 路由原则，结合基本的 VPN 方案，我们提出如下地址配置方案：
 
1） 总部局域网网段设为： 192.168.168.0/255.255.255.0 ，该网段与所有采用小区宽带上网的办事处所使用的小区内部 IP 都不属于同一网段；
2） 在各办事处、工厂可以使用任意网段，但要与总部局域网网段彼此独立； 
3） 使用虚拟 IP 功能，总部 VPN 网关将为每个接入的财务终端（ VPN 客户端）分配一个独立的内部 IP ： 192.168.100.X 。
 
 

 
VPN 拓扑图
 

        在下面的拓扑图中，我们仅绘制出总部、工厂、上海办事处和天津办事处的网络结构。总部 VPN 网关是在现有 Win2K 网关服务器上安装安联防火墙 /VPN 系统软件而构成的；分支机构不改变现有网络布局，仅需要在所有的财务终端上安装安联防火墙 /VPN 软件。 
 
VPN 隧道配置 
        在本案中，我们分别为总部 VPN 网关和各个财务终端配置一个隧道策略，并考虑如下原则：
 
1） 总部 VPN 网关能够接受来自任何 IP 的隧道协商，并使用 NAT-T 自适应功能；
2） 各财务终端主动向总部 VPN 网关发起隧道协商，并使用 NAT-T 自适应功能；
3） 由于所有的财务终端都位于 NAT 设备后面，所以隧道更新周期应选择较短的时间值，以减少由于 NAT 端口变化而造成隧道失效现象的发生；
4） 在 VPN 认证策略上选择扩展认证，一方面提高安全性，另一方面利用虚拟 IP 分配 功能为每个财务终端分配一个固定的虚拟 IP 。 
 
应用说明
 
        用户的应用需求是保证各财务终端都能访问总部的用友U8服务器。利用VPN，一旦财务终端与总部VPN网关建立了IPSec VPN隧道，财务终端即可以与总部局域网内的任意终端进行通讯，但由于财务终端与总部局域网并不属于同一网段，所以无法通过地址广播获得总部局域网内主机的名称，例如：天津办事处的财务终端可以ping 通192.168.168.2 （用友 U8 服务器），但无法直接获得该服务器的主机名。
 
        用友 U8 系统要求客户端软件在访问服务器时必须使用主机名寻址，在没有 Wins 服务器的情况下，这种方式并不适用于跨网段的网络环境。所以在本案中，每个财务终端都人为配置了系统 Hosts 文件，将一个主机名与 192.168.168.2 相对应，并登录 U8 系统服务器时使用该主机名作为访问目标。 
 
案例总结 
        在本案中，为了降低 VPN 网络实施的复杂性，我们主要采用了以下两种的技术，这两项技术并非所有的 IPSec VPN 产品都能够支持，请务必加以注意。 
 
        利用 NAT-T 多重客户端支持特性 ，通常在一个 NAT 设备之后只能有一个 VPN 客户端，在本案中，以工厂网络为例，如需要保证两个以上的财务终端能够使用总部 U8 系统，则必须为网络配置一个整体的 VPN 网关，这不但需要对现有网络布置方案进行调整，而且也增加了未来网络管理的复杂性；利用 NAT-T 多重客户端支持特性可以有效避免这些问题，只需要在所有的财务终端上安装安联 VPN 终端软件即可，使整体 VPN 方案更加简洁、实施更为方便。 
使用虚拟 IP 功能 ，在进行 VPN 通讯时，与总部建立隧道的所有 VPN 终端必须使用不同的 IP 地址，否则总部 VPN 网关将无法进行路由，而目前的情况是大多数局域网都在使用一些常用的私有网段，如： 192.168.0.0/24 ，这就很可能造成位于不同局域网的两个 VPN 终端使用了同一个 IP 地址，从而使 VPN 通讯无法正常进行。解决这一问题的方式有两种：第一，调整各个局域网网段或各 VPN 终端所使用的 IP ，显然这一方法非常麻烦；第二，利用虚拟 IP 功能，由 VPN 网关统一为每个 VPN 终端分配一个独立的虚拟 IP ，这个 IP 将仅在 IPSec 通讯时使用，并不影响该终端在局域网内的其它通讯，这一方法同时为 VPN 网关对 VPN 客户端进行细粒度访问控制提供了地址依据。