[安联VPN配置详解]远程终端访问总部单一应用服务器

北京天创安联科技有限公司2007年2月-1-【安联VPN配置详解】远程终端访问总部网络本案例所讲述的VPN配置方案适用于企业总部有多台计算机需要被远程终端访问，采用此VPN方案的优势在于远程终端可以访问总部内的所有网络资源。1.网络现状和应用需求说明企业有一个总部和多个分支机构，都使用ADSL上网总部局域网目前通过宽带路由共享上网，PPPoE拨号后获得动态公网IP一部分分支机构只有1台终端，通过WindowsXP操作系统内置的PPPoE程序拨号上网；另一部分分支机构有3到4台终端，通过宽带路由共享上网分支机构的终端需要访问总部局域网内的任意计算机，如通过网上邻居访问共享文件，或使用ERP、OA、或财务等应用系统软件2.实施步骤图示安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-2-在总部需要完成的配置工作第一步：在总部配置一台双网卡计算机，取代现有的宽带路由配置一台双网卡计算机，安装Windows2000、WindowsXP或Windows2003操作系统。使用这台双网卡计算机取代原有用于实现共享上网的宽带路由，并将一块网卡与ADSLModem连接，将另一块网卡与内部交换机连接。与ADSLModem连接的网卡为外网网卡，IP地址可配置为自动获得或任意指定；与内部交换机连接的网卡为内网网卡，IP地址设置为局域网IP（外网网卡IP和内网网卡IP不能属于同一个地址段）。本案例中，总部局域网网段为192.168.100.0/255.255.255.0；所以这台双网卡计算的内网网卡IP设为192.168.100.1将总部局域网内所有终端的默认网关都设为这台双网卡计算的内网网卡IP，本案例为192.168.100.1由于总部是通过ADSL上网的，所以要在双网卡计算机上安装PPPoE拨号程序，如果是Windows2003或windowsXP系统，建议使用系统自带的PPPoE拨号程序，如果是Windows2000系统，建议使用RASPPPoE拨号软件（RASPPPoE拨号软件在很多下载网站中都可以找到）。稍后，我们将在这台双网卡计算机上安装安联防火墙/VPN网关软件，这样这台计算机就会成为总部的VPN网关，并同时实现共享上网、网络防火墙的作用。由于安联防火墙/VPN网关软件在运行时占用的系统资源不多，所以在这台计算机上可同时安装其它网络应用系统，作为总部的应用服务器使用，其安全性与局域网内的其它服务器没有区别。第二步：在双网卡计算机上安装安联防火墙/VPN软件，使其成为VPN网关安装前的准备工作和详细的安装步骤，请参考附录一“安联防火墙/VPN软件安装详解”由于这台双网卡计算机使用系统自带的或第三方的PPPoE软件进行ADSL拨号，所以在安装过程中，选择“防火墙绑定的网卡”时应选择“拨号网路适配器”第三步：在VPN网关上配置VPN隧道策略并为远程终端分配VPN帐户参考附录二，启动安联防火墙/VPN软件并打开控制台；安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-3-在控制台菜单中选择“IPSecVPN配置导向”，打开VPN配置向导窗口，根据系统提示一步步完成隧道配置，以下是详细配置图示：用鼠标右键单击控制台左边的灰色竖栏，可弹出控制台菜单：点击“VPN配置导向”选择“VPN服务器配置”后执行“下步”安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-4-服务器端隧道策略过程中，最重要的一步就是配置本地网络，即输入正确的“本地网络”和“本地网络掩码”。通常情况下，用户只需按照以下方式输入，即可配置正确：a）在“本地网络”输入栏中输入VPN网关的局域网IP地址，并将最后一个地址段改为“0”，例如：本案例中VPN网关的内网IP地址为192.168.100.1，则在此应该输入“192.168.100.0”；b）在“本地网络掩码”输入栏中始终输入“255.255.255.0”。输入共享秘钥，如：“123456”。稍后在配置VPN客户端时也需要输入相同的共享密钥在本例中，此处应该输入“192.168.100.0”在本例中，此处应该输入“255.255.255.0”推荐选择“AES”算法此处无需配置用户帐户，稍后另行配置安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-5-在控制台菜单中选择“IPSec用户管理”，打开用户管理窗口，在该窗口中为每个远程VPN用户配置一个认证帐户，以下是详细配置步骤：察看VPN服务器端的隧道配置，确认无误后点击“保存并生效”，完成VPN隧道配置工作选择“用户管理”用鼠标右键单击空白处，可弹出以下菜单：注意：前面为带有红叉图标的用户帐户为失效状态安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-6-的工作不是必需的，但为VPN用户分配虚拟IP可以避免很多意想不到的路由错误，同时可以通过虚拟IP对VPN用户进行多种方式的访问控制。分配虚拟IP的原则是：a）虚拟IP不能属于VPN网关所保护的局域网地址段，例如：本例中，总部局域网网段为192.168.100.0/255.255.255.0，那么远程终端的虚拟IP不能使用192.168.100.X；b）为每个VPN用户分配的虚拟IP不能相同。使用菜单命令创建一个新用户输入用户名，注意：不能用中文字符输入密码，注意：不能用中文字符通常无需描述输入信息上述配置完成后，单击下步为用户配置一个虚拟IP重复前面的步骤，在创建了所有用户帐户后，点击“保存”即可完成用户配置工作。安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-7-第四步：在VPN网关上，对安联防火墙/VPN软件进行的其它配置在控制台菜单中执行“文件属性”命令，打开系统属性窗口，在“局域网”页面中声明内部局域网网络地址第五步：在总部申请和使用动态域名服务由于总部使用ADSL接入Internet，没有固定的公网IP，为了保证VPN客户端随时可以获得总部使用的公网IP，需要在总部使用动态域名解析服务。目前动态域名的服务商很多，有收费的和免费的，其中“花生壳”是一个非常好的免费动态域名解析服务，推荐使用。申请和使用花生壳的大致步骤如下：首先登录“花生壳”网站（），申请“花生壳”护照申请成功后，进入用户控制台窗口，申请免费域名，并与您所使用的“花生壳”护照进行绑定下载“花生壳”客户端程序，安装在VPN网关上（也可以安装在总部局域网内的任意终端上）启动“花生壳”客户端程序，在系统登录成功后，您所申请的动态域名即可指向执行“属性”命令切换到“局域网”页面在网络#1的地址栏中填写本局域网IP，本例为：192.168.100.0；在网络#1的掩码栏中填写本局域网掩码，本例为：255.255.255.0；其它输入栏清空点击“是”，完成配置安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-8-本案例中，我们申请的动态域名为constic.vicp.net。在配置VPN客户端的隧道策略时，我们将使用它。4.在分支机构终端上需要完成的配置工作第一步：检查分支机构终端所使用的IP地址保证VPN通讯的一个重要前提是：VPN客户端的IP不能属于VPN网关所保护局域网（总部局域网）网段，否则VPN客户端发出的访问请求将无法被发送至总部VPN网关。所以，在分支机构终端上安装、配置安联防火墙/VPN软件之前，必须检查其当前所使用的IP地址是否符合条件，如果分支机构终端使用的IP地址属于总部局域网网段，那么必须更换。在本案例中，总部局域网网段为192.168.100.0/255.255.255.0，所以，各个远程终端不能使用192.168.100.X的地址。第二步：在分支机构终端上安装安联防火墙/VPN软件所有需要访问总部局域网的远程终端都需要安装安联防火墙/VPN软件，安装前的准备工作和详细的安装步骤，请参考附录一“安联防火墙/VPN软件安装详解”对于在一个局域网内部的远程终端（通过局域网的宽带路由共享上网），安装过程中，选择“防火墙绑定的网卡”时应选择连接本地局域网所使用的网卡型号对于单机ADSL拨号上网的远程终端，安装过程中，选择“防火墙绑定的网卡”时应选择“拨号网络适配器”对于单机ADSL拨号上网的远程终端，如果是WindowsXP系统，建议使用XP系统自带的PPPoE程序进行拨号，如果是Windows2000系统，建议使用RASPPPoE软件进行拨号（RASPPPoE拨号软件在很多下载网站中都可以找到）。安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-9-第三步：对安联防火墙/VPN软件进行系统属性配置参考附录二，启动安联防火墙/VPN程序并打开控制台；在控制台菜单中执行“文件属性”命令，打开系统属性窗口，在“局域网”页面中将所有内部网络地址清空（声明本机为单一主机）；然后在“中间层调整”页面中输入域名服务器（DNS）地址执行“属性”命令切换到“局域网”页面删除输入栏中的所有内容点击“是”，完成配置输入客户端所在地区Internet接入服务商给出的DNS服务器地址安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-10-第四步：在分支机构终端上配置VPN隧道策略在控制台菜单中选择“IPSecVPN配置导向”，打开VPN配置向导窗口，根据系统提示一步步完成隧道配置，以下是详细配置图示：执行“VPN配置导向”选择“VPN客户端配置”后执行“下步”输入共享密钥，必须与在VPN服务器端输入的共享密钥相同，本案例为123456输入在VPN服务器端为此VPN终端设置的认证用户名和密码，本案例用户名和密码均为abc安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-11-客户端是单机，所以此处选择“NoLocalNet”VPN客户端为单机，所以此处应清空选择“AES”算法，与VPN服务器端相同输入在总部申请并使用的动态域名，本案例为constic.vicp.net选中此选项察看VPN客户端的隧道配置，确认无误后点击“保存并生效”，完成VPN隧道配置工作安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-12-通讯当您按照前面所描述的步骤完成总部和分支的配置后，只要总部和分支能够接入互联网且安联防火墙/VPN程序被启动，那么分支的VPN终端会自动与总部的VPN网关建立隧道。查看隧道状态在安联防火墙/VPN程序控制台中可以打开多个用于查看VPN通讯状态的监视窗口，其中“IPSec隧道”、“IPSec协商日志”窗口最为常用，其打开方式如下图所示：点击打开IPSec隧道监视器点击打开IPSec协商监视器安联VPN配置详解——远程终端访问总部网络北京天创安联科技有限公司2007年2月-13-IPSec隧道监视器IPsec隧道监视器窗口如下图所示，内容包括：安全关联（SA）名称、认证用户名、本地VPN网关/主机IP、本地网络、远程VPN网关/主机IP、远程网络、进行IPSec处理时所使用的协议、隧道建立的时间、通过隧道入站/出站的数据总量。在VPN服务器端，IPSec隧道监视器窗口中始终含一条隧道策略模板记录，名称为“road_warrior_template”，该