1使用远程网络互联VPN
至此,完成了整个VPN的配置。通过建立请求拨号连接来接位于两端的网络,这里从分支机构VPN路由器发起到总部VPN路由器的连接
1.1手工建立请求拨号连接
在分支机构VPN服务器上,打开“路由和远程访问”控制台,单击“网络接口”节点,用鼠标右键单击右侧窗格中的请求拨号接口,选择“连接”命令进行连接,连接成功后该接口的连接状态将变成“已连接”,总部VPN服务器上对应请求拨号接口(供分支机构呼叫)的连接状态为“已连接”。
2自动激活请求拨号连接
也可以通过从分支机构网络访问总部网络来自动激活请求拨号连接,前提是在分支机构VPN服务器设置相应的静态路由。在“路由和远程访问”控制台中,展开“ip路由远程”“静态路由节点,双击右侧窗格中指向总部网络的静态路由选项,选中“使用此路由来初始化请求拨号式连接”这样在通过路由来转发数据包时,如果隧道没有建立,将自动建立连接。例:可使用ping命令探测总部网络的计算机,要注意的是,首次运行往往是不成功的,接口尚未激活,再次运行ping命令,即可成功ping到目的计算机。可以直接访问总部网络提供的各种网络服务和资源来激活请求拨号建立。
3扩展和改进远程网络互联VPN
VPN运行一段时间后,可能会出现新的需求,需要进行扩展和改进
(1)增加分支机构
对新增加的分支机构,要让其通过VPN建立与总部通信,除了在该分支机构部署VPN路由器外,还需在总部添加针对该分支机构的请求拨号接口和拨入凭证
(2)分支机构和总部双向呼叫连接
通常由分支机构呼叫总部路由器,请求建立VPN连接。有时可能需要双向呼叫,总部也可能主动向分支机构请求连接,还有可能分支机构之间呼叫连接,这就需要在两端设置好相应的请求拨号接口、拨出凭证(用于主叫)和拨入凭证(用于被叫),账户名和请求拨号接口的名称必须相同
(3)默认情况为按需请求连接,如果长达5分钟处于空闲状态将自动挂断,可进行设置,将其改为不挂断,还可设置为持续型连接,两端VPN路由器启动后即建立连接并试图始终保持。这通过请求拨号接口属性来设置
(4)对企业VPN进行集中管理
VPN网络可像本地局域网一样进行管理。通常对整个公司的internet访问进行集中管理,由总部统一提供internet出口,还有可能要实现分支机构相互访问。
首先在总部网络中部署专用的防火墙,确保网络安全,规范用户的internet访问行为。然后将分支机构VPN路由器的默认路由指向通往总部的VPN隧道连接。在分支机构VPN路由器上删除现有的默认路由,在添加新的路由,可执行命令:routeadd总部公网地址...本机公网接口地址,在将请求拨号的静态路由由目标和网络掩码都改为0.0.0.0,即默认网关的管理接口改为VPN请求拨号接口。