1、某单位为卫生系统组建 VPN 网络(组图) (Windows 中建立 VPN 链接)我被 VPN 撞了一下腰近日,朋友单位为卫生系统组建 VPN 网络,以满足数据传输的安全性、可靠性,而且,VPN 网络投资小,见效快,组网迅捷。经过近一周的试验,终于试验好了卫生系统 VPN 网络,现将在试验遇到的问题写出来,以供同行们参考和指正。VPN 网络结构我单位的网络结构为:由 1 台华为 S8016 和 3 台华为 S6503 组成一个双链路冗余核心层,由 5 台华为 S5516 构成网络的汇聚层,各学校通过华为 S3526(或 S3026)交换机与华为S5516 或华为 S6503 相连,整个网络使
2、用光纤相连。现在,要利用现有的光纤线路,组建 VPN 网络,先期的节点数大约是 30 个,都是各乡镇的卫生医疗单位,由于各乡镇卫生医疗单位和各乡镇学校的距离很近,所以计划用光纤从学校接入各乡镇医疗单位。网络拓扑图如图 1 所示。图 1 VPN 网络拓扑图这样,一个物理网络要运行两个单位的业务,并且,根据双方的要求,两套业务不能相互访问,卫生系统不能访问因特网而且要保证卫生网传输的数据安全,投资也不能高卫生系统组网方案第一步:在学校接入的交换机上划分 VLAN,分开这两个单位的 IP 地址。第二步:在交换机上把 IP 地址和 MAC 地址绑定(各个医疗单位接入的计算机数量很少)。第三步:在三层交
3、换机上做访问控制列表,禁止两个单位相互访问。第四步:给卫生单位做一个 VPN,各卫生接入单位必须拨号才能访问本单位的服务器群。第一步到第三步在这里就略过了,这 3 步只需要在接入交换机和三层交换机上做就可以了。而在做第四步时遇到了麻烦。VPN 服务器我们采用 Windows 2000 系统,各卫生接入单位采用 Windows 系统自带的拨号软件。由于我单位已使用了 A 类地址,所以计划给卫生单位用 B 类地址,这样在做访问控制列表时简单一些。VPN 服务器采用联想服务器 T200,双网卡,安装有 Windows 2000服务器高级版。根据这个思路,我们开始试验 VPN。先配置好两块网卡的 IP
4、 地址,第一块 IP 地址为 172.16.0.1,网关为 172.16.0.254,子网掩码为 255.255.255.0。第二块 IP 地址为 172.31.0.1,网关为 172.31.0.254,子网掩码为255.255.255.0。由于只是试验,对 IP 地址没有很好地规划。准备工作就绪后,开始安装VPN 服务器。在 Windows 系统下安装 VPN 服务是非常简单的,单击“开始程序 管理工具路由和远程访问”,就可以安装 VPN 服务了。在指定客户端 IP 地址范围时,我们指定了172.31.0.100172.31.0.200。不到 5 分钟, VPN 配置好了,在客户机上试验拨入
5、,没有问题。但领导曾指示,在卫生网刚刚建立的时候不开通因特网,到了某个适当时候再开通。现在试试能不能上因特网?试了一下,不能,再试了几次,也不行。有点奇怪了,我们并没有禁止上因特网啊。看看防火墙是怎样配置的?登录进去一看,上面果然没有允许172.31.0.0 这个网段访问因特网。加入这个网段,再试一下,还是不行。根据从简单到复杂的原则,先不要拨入 VPN,在交换机上把访问控制列表去掉,直接把机器的 IP 地址改为172.31.0.120。再试,没有问题。再拨入 VPN,试了一下,不能上网,问题大了。寻找了许多解决方法,最多的就是把客户端的虚拟专用连接里面的“在远程网络上使用默认网关”前面的钩去
6、掉,就可以上因特网了。但这种方法在数据传输的安全性方面不是很好。既然第一种方法不行,赶紧试试第二种吧。在静态路由里面加入了 3 条路由( 如图 2 所示)。图 2 路由图再试试,内部网络倒是能够访问了,但外网还是无法访问。看来要转换思路了,是不是 VPN 配置错了?配置了 N 次,还是不行。干脆在配置 VPN 时改变拨入服务器的 IP 地址,即服务器用 172.31.0.1 地址,客户端用 172.16.0.0 这个地址段。配置好后,拨入 VPN 服务器,客户端居然获得的是 172.31.0.101,明明该获得 172.16.0.101 啊,怎么是这个地址?是不是没有重启?启动服务器后,拨入服
7、务器,试了一下,正确了。加入静态路由( 和上面的路由差不多),顺手上了一下 www.163. com,能上了。这是什么原因呢?加入的静态路由起了什么作用呢 ?到底是哪条路由起了作用呢 ?我有点好奇,每删除一条,就试试能否上网,结果把我加入的路由全删除了,还是能够上网。经过我的仔细观察和反复试验,原来能否上网和 VPN 服务器的默认网关及网卡的顺序有关。开始我的服务器 IP 地址是 172.16.0.1,而这块网卡恰好是服务器默认的网卡,Windows 系统不管你有几块网卡,它总是要有一个默认网关和网卡才能上网,而我做 VPN时,恰恰用的是默认网卡。我们都知道,只要一做 VPN 服务,那么做 V
8、PN 的那个网卡和那个网卡的默认网关都将发生变化,不能上网和路由,但 Windows 的默认网关却不主动发生变化,还是和原来没做 VPN 一样,而我恰好遇到这种情况。并且,就是重启机器也不能解决默认网关的问题。那么怎样解决这个问题呢?很简单,您只需要在 VPN 服务器上建立一个虚拟专网连接并拨入 VPN 服务器,此时,如果用 Route Print 来看 VPN 服务器的路由,您将发现没有默认网关。这时,断开这个虚拟连接,再次用 Route Print 来看路由表,默认网关就变为另外一张网卡的默认网关了经验总结 配置好 VPN 服务后,最好重启一次机器,特别是在配置了多次的情况下,否则,有时越
9、配越乱。 Windows 系统有默认的网卡和网关,这也解释了为什么双网卡机器(一块连因特网,一块连局域网)有时不能上网的原因,原因就是 Windows 系统默认的网卡恰好是连局域网的,而系统又不能自动识别,导致不能上网。 客户端能否上网,只需要看客户端获得的 IP 地址和 VPN 服务器的默认网关是否在同一网段,如果是在同一网段,则能上网,否则就不能。Windows 中建立 VPN 链接 实现远程互联【IT 专家网独家】VPN,全称是虚拟专用网。它是通过在 Internet 中建立一个临时的,安全的通道,将处于不同城市中的电脑连接起来,就像组成了一个局域网,操作非常方便。许多企业需要建立这种链
10、接来建立不同城市之间的网络连接。现在,我们就来看一下 VPN 的建立和连接方法。1、建立 VPN 服务器端在充当服务器的电脑中依次打开:开始程序 管理工具路由和远程访问,在出现的窗口左侧选中主机,在其上单击右键,在出现的右键菜单中选中“配置并启用路由和远程访问” 。 (如图 1)图 1在出现的“路由和远程访问服务器安装向导”对话框中单击“下一步” 按钮,然后勾选“虚拟专用网络(VPN)服务器”,并完成配置。 (如图 2)图 22、建立连接账户为了能使用户进行 VPN 连接,必须使用户具有一定的权限。依次打开:开始程序管理工具计算机管理。在出现的对话框中,展开“本地用户和组”,选择“用户” ,然
11、后给其新添加一个用户。图 3此时,在右侧窗口中就能看到这个用户名了,但还要对其进行相应的设置,才能使客户端能够连接到服务器。具体的设置方法是:在用户属性对话框中,单击“拨入” 选项卡,勾选“ 允许访问” 复选框,最后确定即可。(如图 3)3、建立 VPN 客户端VPN 的服务器端已经建立好了,下面要做的就是建立客户端,然后进行连接了。当客户端为 Windows XP 系统时,依次打开:开始控制面板 网络和 Internet 连接 网络连接建立新的连接向导。在出现的对话框中选择“连接到我的工作场所的网络 ”,单击“下一步” ,然后勾选“虚拟专用网络连接“复选框,在“VPN 服务器选择”中输入刚才建立 VPN 服务器端的 IP 地址(通常为公网 IP),这样客户端就建立好了。当客户端为 Windows 2000 系统时,则是在“网络连接向导”中选择“ 通过 Internet 连接到专用网络”,( 如图 4)其它的设置与 Windows XP 是一样的。图 44、连接 VPN在客户端双击刚才建立的连接,输入在服务器端所设置的用户名和密码,然后单击“连接”按钮,这样就和服务器端连接好了,这样处于不同城市的电脑就像连接在一个局域网里。接下来,打开网上邻居,就可以看到不同区域内的主机了
