山東證券有限責任公司是一家經(jīng)營山東省證券業(yè)務的公司,總部在濟南市,在全省各個地市有十幾處營業(yè)部,另外在上海和北京設有兩處營業(yè)部。日常各部之間的聯(lián)系極為緊密,尤其是各地市分部與總部的聯(lián)系更是如此。鑒于證券行業(yè)的特點,為了把各地市分部的網(wǎng)絡連成一體,而又降低投資和管理費用,同時并加強通信的安全性,我們采用了目前微軟的基于WINDOWS NT 的VPN技術來建設山東證券網(wǎng)絡。
具體的連接方式是各地市營業(yè)部采用64K DDN專線通過169公網(wǎng)與總部VPN服務器建立VPN通道連接。同時,為了保證整個VPN網(wǎng)絡的連續(xù)運行,設立青島接點做為VPN備份服務器,一旦濟南中心點出現(xiàn)故障,各地市的連接就轉移到青島接點上。另外在濟南中心接點,配置一MODEM 池,以便在緊急情況下,做為各地市的撥入設備使用。
山東證券VPN網(wǎng)絡的IP地址規(guī)劃:濟南中心接點的局域網(wǎng)IP為100.100.0.1,子網(wǎng)掩碼為255.255.255.0,即100.100.0.0網(wǎng)絡段,其它地市營業(yè)部的網(wǎng)絡段地址分別為100.100.1.0到100.100.18.0,各地市營業(yè)部的VPN驗證服務器IP地址分別為100.100.1.1到100.100.18.1,掩碼都是255.255.255.0。因此這種劃分足以滿足該公司現(xiàn)在與以后的要求。
各地市VPN驗證服務器配置過程:
1.在WINDOWS NT 服務器上安裝PPTP協(xié)議,并把VPN私有網(wǎng)絡通道數(shù)設置為2,這兩個通道用來與中心點服務器連接訪問。
2.安裝VPN 路由及RAS管理軟件(mpri386.exe),當安裝完成之后,Routing and RAS Admin項就自動地出現(xiàn)在NT的程序項中。
3.在撥號網(wǎng)絡里添加VPN撥號接口,并進行用戶名、口令、運行的協(xié)議以及安全認證等的配置。
4. 進行路由選項的配置,我們選用了靜態(tài)路由進行配置,其中VPN路由的目的IP地址都是100.100.0.0(掩碼為255.255.0.0)即到中心接點的路由。在這里中心點驗證服務器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的網(wǎng)關都是中心點VPN PPTP POOL 地址池中IP的第一個IP地址即100.100.100.1。接口是添加的VPN撥號接口。到169公網(wǎng)的路由0.0.0.0(掩碼為0.0.0.0),網(wǎng)關是各地營業(yè)部路由器的以太口地址, 接口是機器的網(wǎng)卡。在驗證服務器是NT 域中創(chuàng)建用于撥號的用戶。
下面以一個地市(青島)的VPN服務器配置為例。
(1)首先在windows NT 4.0的網(wǎng)絡中添加PPTP協(xié)議
(2)添加好PPTP點對點協(xié)議后再設置兩個VPN私人網(wǎng)絡通道。用來與中心點驗證服務器連接及中心點驗證服務器與本地連接作路由功能用。
(3)安裝VPN RAS And Routing Admin(mpri386.exe)軟件。
(4)在安裝過程中要重新啟動計算機3次,才能完成Routing And RAS 的安裝。安裝成功后會在程序項中增加Routing And RAS Admin程序項,接下來要配置VPN撥號及路由。
(5)添加VPN撥號適配器及撥號IP地址,設置VPN驗證用戶名、口令和域。
添加完成后,可以設置VPN按需撥號路由,及VPN驗證加密方式。
(6)接下來要設置VPN路由,可以用靜態(tài)路由也可以用RIP路由,這里我們用靜態(tài)路由,要添加兩個路由。一個是走VPN通道的路由(VPN_qd Interface)、另一個是走Internet網(wǎng)絡的路由(3Com EhterIII卡)。在這里中心點驗證服務器的VPN IP地址池(POOL)是100.100.100.0到100.100.100.255,各地市VPN路由的網(wǎng)關都是中心點VPN PPTP POOL 地址池中IP的第一個IP地址即100.100.100.1。本地Internet網(wǎng)關IP地址應是各地市營業(yè)所路由器以太口IP地址如10.86.0.4。則Static Routes(靜態(tài)路由表)為下表:
(7)在NT的域用戶管理器中添加VPN撥號用戶,并允許撥入。
在這里我們以青島為例,添加VPN_QD用戶,設置VPN撥號口令,并給予撥入權限。
設置完成后,可以從本地的工作站Ping中心點的局域網(wǎng)中的工作站,如ping 100.100.0.1或ping 100.100.0.11如果能Ping通,則建立VPN路由正確。如果Ping不通中心點上的工作站,但能ping通中心點的VPN驗證服務器,可能是本地VPN路由不正確。
另外在本地VPN服務器是可以Ping通Internet上的其他計算機的,如果Ping不通,可能是默認靜態(tài)路由設置有誤。如果一切正常那么在Routing And RAS Admin管理中的Vpn_qd 和3Com EhterIII Line的Connection State(LAN And Demand Dial Interface)狀態(tài)應該都是Connected在連接上,本地VPN服務器應該與路由器及連接局域網(wǎng)的集線器相連接。局域網(wǎng)上的工作站IP地址應設置為虛擬IP地址,VPN驗證服務器或者是兩塊網(wǎng)卡(一塊連接路由器、另一塊設置虛擬IP地址連接局域網(wǎng)),或者是一塊網(wǎng)卡(捆綁兩個IP地址)。
中心接點VPN驗證服務器的配置過程:
其配置過程基本上與各地市的驗證服務器配置過程一樣,就是所添加的VPN私有網(wǎng)絡通道數(shù)是各營業(yè)部所添加的和。要創(chuàng)建到各營業(yè)部的VPN接口,并且對每一借口進行靜態(tài)路由的配置。還要在WINDOWS NT 的域用戶管理器上創(chuàng)建每一個VPN用戶。
當中心點驗證服務器和營業(yè)部驗證服務器的配置都結束之后,就可以進行VPN的連接。另外應注意的是,各地市營業(yè)部網(wǎng)絡段上的客戶端機器的IP地址應配置為該營業(yè)部VPN的規(guī)劃地址,而不是169IP地址或其它。只有這樣,才能使客戶端機器通過本地驗證服務器連接到中心接點進行資源的訪問。