VPN是(Virtual Private Network ,虚拟专用网络)的简称,最初是指通过公用网络(例如Internet)将多个不同地区的局域网,组建成广域网的一项技术。为什么要用VPN组网呢?下面就详情来看看几种VPN组网方式。
在Internet没有普及的时候,跨地区的单位如果要组建网络(广域网)需要从电信租用点对点或点对多点的"专线",例如某个单位总部在北京,在天津、广州、上海有分公司,如果这4个点要组成一个"大局域网",就需要租用3条专线,分别是从北京到天津、北京到广州、北京到上海的3条线路,从北京总部到3个分部使用路由器连接,拓扑如图1-1所示。
图1-1 使用专线组成广域网
在采用图1-1这种方式租网时,各个地区的IP地址(包括互联互通的路由器的IP地址)都是采用私有地址,由单位自己统一规划。这种方式线路稳定、可靠但专线费用(尤其是"长途专线"费用)价格昂贵,最初只有税务、银行才采用这种方式。这相当于组建了一个跨地区的大型局域网。
目前连接全国的政府内网,税务系统的内网,属于这种方式。政府网络是各区县统一连接到市一级,市一级连接到省一级,省级再统一连接到上级部门。
在图1-1的组网方式中,一般都不会连接Internet,与Internet网络相隔离。
1 大中企业VPN组网
由于专线方式组建成本较高,很少有企业采用这种方式,在Internet普及后,大多数的企业都通过"公用线路(即Internet)"使用VPN技术组建广域网,此时拓扑如图1-2所示。
图1-2 使用VPN组建广域网
在图1-2中,各单位都先连接到Internet,此时各部门机器都可以通过路由器访问Internet。如果要实现各分支机构互相访问,在路由器上配置"VPN路由"即可。配置VPN路由之后,各分支机构互访,与访问Internet互不影响,可以同时进行。
【说明】Internet接入也有两种,一种是"专线"接入Internet,其上行、下行具有相同的带宽;另一种是ADSL接入,下行带宽大,上行带宽有限。专线接入Internet一般提供1个或多个固定的IP地址(公网IP地址),而ADSL接入则不提供固定的公网地址,一般是提供动态获得的公网IP地址。在近几年,一些运营商公网IP地址不够,ADSL客户提供的是私有IP地址,例如,在家庭ADSL中获得的出口地址是10开头的,就是这个原因。
在图1-2中,一般是"专线"方式接入Internet,都有固定IP地址。各分支机构最好选择同一运营商的接入,例如电信、联通,这样可以保证网间访问有较快的速度。当然,各分支机构受所在地区的限制,也可以采用不同运营商提供的Internet接入,只要能连接到Internet,就可以组建VPN网络。
在图1-1、图1-2的路由器采用华为、思科的企业路由器就可以,例如采用华为的AR2200系列企业路由器,如图1-3所示。
图1-3 华为AR2200企业路由器
对于图1-2中的路由器,还可以采用"软件"方式,例如可以采用安装了Windows Server 2008 R2、Forefront TMG 2010的计算机,也可以实现相同的功能。
图1-2,还可以采用华盖、蒲公英,此时中心端选择较高型号的VPN路由器(例如蒲公英X6,如图1-4所示),各分支采用较低型号的路由器(例如蒲公英X3、X5)即可。
图1-4蒲公英路由器X6
2 中小企业VPN接入
图1-2是通过VPN技术组建的广域网,但是对于大多数单位来说,不需要各分支机构"互相访问",一般只要求分支机构可以访问到中心的服务器即可,此时对于分支机构到中心机构的访问相当于"VPN接入访问",此时拓扑可以用图1-5来表示。
图1-5 中心端具有固定IP地址的VPN接入
在图1-5中,双WAN口路由器是支持VPN接入的一个"宽带路由器",这个路由器具有固定的公网IP地址,后端是需要访问的服务器。各个分支机房,可以通过安装具有VPN功能的路由器,连接到中心路由器。在此种组网方式中,只有中心路由器具有固定的公网IP地址,各分支机房都没有公网IP地址,并且各分支机构不需要互相访问,各分支机构只要通过VPN路由器"单向访问"到中心端的服务器即可。
在图1-5中,分支1与分支2的局域网内部地址都是分别是192.168.1.0/24、192.168.2.0/24网段,这两个地址段不同。但实际上分支1与分支2不需要互相访问,所以分支1与分支2局域网的IP地址段可以相同,当然不同也是可以的。
在图1-5中,中心路由器即可以采用"硬件"也可以采用"软件"方式。
如果选择硬件方式,可以选择具有此项功能的VPN路由器,例如"蒲公英路由X6、X5"系列。
其他支持的路由器有飞鱼星、D-Link系列。
中心VPN服务器也可以采用"软件"方式,例如Forefront TMG 2010。
如果中心路由器采用"硬件"方式,则中心路由器与分支路由器,需要采用同一厂商的设备,中心端可以采用配置较为高端的路由器,分支机构可以采用相对低端的路由器。
如果中心路由器采用"软件"方式,中心一端可以采用Forefront TMG 2010(或其他Windows Server、Linux Server的VPN路由器),此时各分支机构可以采用采用DLINK的DI-7001系列(如图1-6所示)、华盖Vigor 2912系列路由器(如图1-7所示),以前飞鱼星系列路由器也支持,但其升级之后,虽然能连通VPN路由器但不能访问VPN路由器后端的服务器。
图1-6 DI-7001 宽带路由器
图1-7 华盖2912系列
3 无固定IP地址、无公网IP的VPN组网
在组建VPN网络(广域网,需要各分支互联互通)的时候,一般要求各分支机构具有固定的公网IP地址;在组建VPN接入网络时(各分支机构以VPN技术、访问中心的服务器),要求中心一端具有固定的公网IP地址。如果没有固定的公网IP地址,动态获得的公网IP地址+动态域名(花生壳,大多数支持动态域名的宽带路由器一般集成了花生壳)也可以。
在组建VPN网络时,如果VPN路由器直接连接到Internet(不管是有合法的、固定的公网IP地址还是动态获得的公网IP地址),组建VPN网络相对容易,因为VPN路由器"前端"即是Internet,没有过防火墙。所以在类似图1-8的组网方式中,大多数具有VPN功能的路由器都可以支持这种模式。
图1-8 中小企业有动态或固定公网IP地址组网方式
但是,在实际的生活中,网络往往是很复杂的,如图1-9所示。
图1-9 实际环境的VPN应用
这表现为:
(1)单位总部只有一个固定的公网IP地址(或者动态获得的公网IP地址,或私网地址),而这个IP地址又配置在"防火墙"或"路由器"中,VPN路由器处于防火墙后端。
(2)分支机构是ADSL,无公网IP地址,获得的是10.x1.x2.x3之类的私有地址。
(3)出差客户端要访问单位内部,但出差用户所在的网络对标准VPN拨叫有限制(例如一些防火墙限制了GRE 47协议),这就造成出差用户使用标准的VPN拨入服务,不能成功连接单位的VPN服务器。
对于这种应用,怎样选择一款合适的VPN产品,以支持各种应用呢?以开发花生壳、向日葵而闻名的oray推出的"蒲公英"系列路由器,可以完美的解决这些问题。
蒲公英企业智能组网系列路由器,除了具有企业宽带路由器所具有的功能外,采用特有的Cloud VPN技术,可以在任何网络环境中提供智能VPN组网,另外其特有的VPN客户端"蒲公英访问者"可以支持Windows、Android、Mac、iPhone、iPAD等多种设备,保证无论是各站点之间的蒲公英路由器,还是出差办公登了蒲公英访问者的员工,都可以方便快捷的组建虚拟网络,实现异地互联互通。在下一篇文章中,我们通过两个实验案例,来介绍蒲公英路由器智能组网方法,朋友们可以参考本网络拓扑,根据自己的不同需求,组建合适的网络。