當(dāng)今的許多企業(yè)都擁有大量游離在公司總部之外的遠程用戶和遠程工作人員。他們可能是位于客戶所在地的銷售人員、國外出差的管理人員、在家辦公的遠程員工或希望接入公司信息的遠程辦事處。這種在外辦公的趨勢愈演愈烈,而筆記本電腦銷售額的猛增和
Internet接入新帳戶的不斷涌現(xiàn)就是有力的佐證。移動員工(遠程用戶和遠程工作者)需要一種有效的方法來接入公司網(wǎng)絡(luò)并訪問公司數(shù)據(jù)。白沙煤電集團考慮到出差人員外地辦公以及部分領(lǐng)導(dǎo)在家辦公的需求,公司對現(xiàn)有的兩種技術(shù)進行了分析,最后選擇基于互聯(lián)網(wǎng)的VPN技術(shù)解決這個問題。
虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)是專用網(wǎng)絡(luò)的延伸,它包含了類似Internet 的共享或公共網(wǎng)絡(luò)鏈接。通過VPN可以以模擬點對點專用鏈接的方式通過共享或公共網(wǎng)絡(luò)在兩臺計算機之間發(fā)送數(shù)據(jù)。如果說得再通俗一點,VPN實際上是“線路中的線
路”,類似于城市大道上的“公交專用線”,所不同的是,由VPN組成的“線路”并不是物理存在的,而是通過技術(shù)手段模擬出來,即是“虛擬”的。不過,這種虛擬的專用網(wǎng)絡(luò)技術(shù)卻可以在一條公用線路中為兩臺計算機建立一個邏輯上的專用通道,它具有良好的保密和不受干擾性,使雙方能進行自由而安全的點對點連接,所以它具有很高的安全性。
有兩種方法可以解決白沙煤電集團網(wǎng)絡(luò)遠程訪問的問題。第一是采用傳統(tǒng)的遠程接入服務(wù)器,通過遠程電話撥號方式接入到企業(yè)網(wǎng)絡(luò)內(nèi)部(見圖1);第二是是利用虛擬專用網(wǎng)(VPN)技術(shù)和Internet業(yè)務(wù)。在本應(yīng)用說明中,我們將簡單地分析兩種方案的主要特
點。
一、方案的實施與支持
在傳統(tǒng)的方案中,集團總部必須采用自己動手(do-it-yourself)的實施策略,它包括采購RAS設(shè)備、規(guī)劃用戶容量、接入技術(shù)(56kbit/s或ISDN)、從市話公司預(yù)訂電話業(yè)務(wù)(線路數(shù)量、800號碼等)、設(shè)備安裝、用戶管理及培訓(xùn)、維護和備份等,這需要企業(yè)在其內(nèi)部獨立提供網(wǎng)絡(luò)工程師支持和技術(shù)來構(gòu)建RAS解決方案。
另外一種方案借助基于VPN/Internet技術(shù)的新型RAS解決方案,集團總部就可通過連接ISP的專線連接來設(shè)置VPN解決方案。經(jīng)過配置后,它將使經(jīng)過授權(quán)的用戶可以通過VPN接入網(wǎng)絡(luò)。根據(jù)可用性和支付能力,用戶就能選擇任何ISP方案和希望采用的接入方式(56kbit/s、ISDN、xDSL、Cable等)。在標(biāo)準(zhǔn)平臺安裝VPN客戶機軟件后,用戶就能建立VPN連接,它并不需要特殊的支持與維護。
傳統(tǒng)解決方案的安裝與維護成本非常高昂。通常,RAS設(shè)備成本是每端口數(shù)百美元,還附加每年的維護費用(占原始投入的15%到20%)。設(shè)備成本僅是RAS總成本中的一小部分,它還需要專門的網(wǎng)絡(luò)工程師支持來維護RAS設(shè)備和支持用戶。一般情況下,85%的RAS成本發(fā)生在支持和費用上(市話線路費、長話費等)。
然而,帶有VPN的RAS成本極低,它不必采購專用撥號接入設(shè)備,也不必租用電話線路并支付高昂的話費。每月只需支付給ISP專線上網(wǎng)費用即可。研究表明,與傳統(tǒng)RAS解決方案相比,新型的RAS/VPN解決方案能在4至6個月內(nèi)就收回投資。
二、可擴展性/靈活性對比
基于VPN/Internet技術(shù)的新型RAS,RAS/VPN可以比傳統(tǒng)的解決方案更輕松地擴展用戶數(shù)量和容量。隨著帶寬需求的提高,用戶能夠選擇使用56kbit/s或更快的ISDN、xDSL或Cable調(diào)制解調(diào)器進行接入。當(dāng)帶寬需求增加時,集團總部只需向ISP訂購更多的Internet
接入帶寬即可。而當(dāng)移動用戶的數(shù)量增加時,用戶只需配置VPN服務(wù)器就可滿足他們的需求。
而傳統(tǒng)的解決方案則與此截然相反。通常,遠程用戶只能選擇56kbit/s和ISDN接入。當(dāng)用戶數(shù)量增加時,系統(tǒng)需要對RAS接入服務(wù)器進行擴容,以支持更多的端口接入和電話線路。
(1) 傳統(tǒng)RAS解決方案
傳統(tǒng)RAS解決方案需有如下支持:總部需要額外采購RSA設(shè)備;需要租用電信電話線路,支付高昂費用;用戶只能通56kbit/sModem或ISDN接入,帶寬受限;總部提供800撥號支持,并支付長話費用;企業(yè)購置專用軟件提供集中的管理和遠程用戶支持;用戶增加時,設(shè)備端口擴容會增加接入成本。
(2)基于VPN/Internet技術(shù)的新型RAS
基于VPN/Internet技術(shù)的新型RAS則有如下便利:出差人員可任意選擇接入方式,包括56kbit/sModem,ISDN,ADSL,CABLE MODEM接入,不必支付高昂的長途花費;對于撥號用戶,還可采用由ISP提供的800號、漫游號碼服務(wù),輕松上網(wǎng);無需獨立部署RAS設(shè)備
(與VPNApplication集成);使用WINDOWS平臺上的VPN客戶機軟件即可,不需額外投資;支持多種認證、加密方式,安全、可靠性高。
根據(jù)上述分析,我們認為目前正是構(gòu)建帶有VPN和Internet技術(shù)的RAS解決方案的大好時機。Internet的接入成本已十分合理,并將持續(xù)下降,而VPN技術(shù)正獲得廣泛的認可。企業(yè)可在企業(yè)部門和員工之間提供更好的通信,這將實現(xiàn)更快的決策制定、在線處理,更迅速的客戶響應(yīng)、按時交貨以及更高的生產(chǎn)效率等。
由于白沙煤電集團建網(wǎng)初期,出差員工還不多,目前直接采用了Win2K計算機作為VPN服務(wù)器端,客戶機端使用Windows98系統(tǒng),以極低的成本實現(xiàn)了基于互聯(lián)網(wǎng)的VPN業(yè)務(wù),現(xiàn)在介紹一下VPN的具體配置過程。
三、VPN配置
(1)配置VPN服務(wù)器
尚未配置。Win2K中的VPN包含在“路由和遠程訪問服務(wù)”中。當(dāng)你的Win2K服務(wù)器安裝好之后,它也就隨之自動存在了!不過此時當(dāng)你打開管理工具中的路由和遠程訪問項進入其主窗口后,在左邊的“樹”欄中選中“服務(wù)器準(zhǔn)狀態(tài)”,即可從右邊看到其“狀態(tài)”正處于“已停止(未配置)”的情況下。
開始配置。要想讓W(xué)in2K計算機能接受客戶機的VPN撥入,必須對VPN服務(wù)器進行配置。在左邊窗口中選中“SERVER”(服務(wù)器名),在其上單擊右鍵,選“"配置并啟用路由和遠程訪問”。如果以前已經(jīng)配置過這臺服務(wù)器,現(xiàn)在需要重新開始,則在“SERVER”
上單擊右鍵,選“禁用路由和遠程訪問”,即可停止此服務(wù),以便重新配置!當(dāng)進入配置向?qū)е螅诠苍O(shè)置中,選中“虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器”,以便讓用戶能通過公共網(wǎng)
絡(luò)(比如Internet)來訪問此服務(wù)器。
在遠程客戶協(xié)議的對話框中,一般來說,這里面至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議,則只需直接點選“是”,所有可用的協(xié)議都在列表上的“下一步”執(zhí)行。之后系統(tǒng)會要求你再選擇一個此服務(wù)器所使用的Internet連接,在其下的列表中選擇所用的連接方式(比
如已建立好的撥號連接或通過指定的網(wǎng)卡進行連接等)再點“下一步”。
接著在回答“您想如何對遠程客戶機分配IP地址”的詢問時,除非你已在服務(wù)器端安裝好了DHCP服務(wù)器,否則請在此處選“來自一個指定的IP地址范圍”。然后再根據(jù)提示輸入你要分配給客戶端使用的起始IP地址,“添加”進列表中。最后再選“不,我現(xiàn)在不
想設(shè)置此服務(wù)器使用RADIUS”即可完成最后的設(shè)置。此時屏幕上將自動出現(xiàn)一個正在開戶“路由和遠程訪問服務(wù)”的小窗口,當(dāng)它消失之后,打開“管理工具”中的“服務(wù)”,即可以看到“RoutingandRemoteAccess”(路由和遠程訪問)項自動處于已啟動狀態(tài)了!
(2) 賦予用戶撥入的權(quán)限
這當(dāng)中包括默認的,任何用戶均被拒絕撥入到服務(wù)器上。欲給一個用戶賦予撥入到此服務(wù)器的權(quán)限,需打開管理工具中的用戶管理器,選中所需要的用戶,在其上單擊右鍵,選“屬性”。在該用戶屬性窗口中選“撥入”項,然后點擊“允許訪問”項,再“確
定”即可完成賦予此用戶撥入權(quán)限的工作。
四、通過局域網(wǎng)進行VPN連接
進入配有Windows98的計算機,要想連接到VPN服務(wù)器,則需要先安裝“虛擬專用網(wǎng)絡(luò)”服務(wù)。在控制面板的網(wǎng)絡(luò)下,進入“通訊”即可找到此項并添加上去,安裝完成之后再根據(jù)提示重新啟動計算機。重新啟動之后,在控制面板的網(wǎng)絡(luò)中就有了“Microsoft虛
擬私人網(wǎng)絡(luò)適配器”,即說明VPN服務(wù)已安裝成功!
此外還需要建立VPN服務(wù)器的連接。首先進入我的電腦的撥號網(wǎng)絡(luò)中,雙擊建立新連接,然后在請鍵入對方計算機的名稱輸入連接名,接著出現(xiàn)“請輸入VPN服務(wù)器的名稱或IP地址”,在其下的文字框中輸入Win2K服務(wù)器的名字或IP地址即可建立連接!
然后在撥號網(wǎng)絡(luò)中雙擊剛才建立好的局域網(wǎng)內(nèi)的VPN連接圖標(biāo),再輸入相應(yīng)的用戶名和密碼,再按連接按鈕。如果成功連接到了VPN服務(wù)器,此時就會像普通撥號上網(wǎng)成功一樣,在任務(wù)欄右下角會出現(xiàn)兩個小電腦的圖標(biāo),雙擊它即可出現(xiàn)連接狀態(tài)小窗口。
五、通過Internet進行VPN連接
首先確保服務(wù)器已經(jīng)連入了Internet,用ipconfg測出其在Internet上合法的IP地址。在Windews98客戶機端參照本節(jié)上文相關(guān)內(nèi)容建立一個新的VPN連接,在相應(yīng)處輸入服務(wù)器在Internet上的合法IP地址,然后將客戶機端也撥入Internet,再雙擊所建立的VPN連接,輸入相應(yīng)用戶名和密碼再點連接按鈕。連接成功之后可以看到,雙方的任務(wù)欄右側(cè)均會出現(xiàn)兩個撥號網(wǎng)絡(luò)成功運行的圖標(biāo),其中一個是到Intenet的連接,另一個則是VPN的連接了!
