【文章內(nèi)容簡介】 等進(jìn)行掃描和殺毒 ,防止病毒感染。 實(shí)現(xiàn)功能如下： 虛擬專用網(wǎng)（ VPN）技術(shù)可以使企業(yè)總部與分部之間以及合作伙伴之間通過 VPN 聯(lián)機(jī)，以確保數(shù)據(jù)的安全傳輸。 可以滿足公司的出差人員與總部、分公司之間的信息交流需求。 可以對總部內(nèi)部網(wǎng)絡(luò)信息傳輸實(shí)施訪問控制。 VPN 網(wǎng)絡(luò)通過設(shè)備技術(shù)策略對訪問的 PC 進(jìn)行嚴(yán)格的訪問監(jiān)控機(jī)制。 可以抵御外網(wǎng)黑客、木馬、病毒等外來不明物的入侵，起到防護(hù)作用。虛擬專用網(wǎng)（ VPN）還具有控制和限制安全機(jī)制和措施，具備防火墻和抗攻擊等功能。 公司應(yīng)用的虛擬專用網(wǎng)（ VPN）部署靈活便捷、維護(hù)方便，還有強(qiáng)大的管理功能，以減少系統(tǒng)的維護(hù)量來適應(yīng)大規(guī)模組網(wǎng)的需要，從而方便用戶應(yīng)用，商家出售。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 使用路由器作為 VPN 接入設(shè)備的網(wǎng)絡(luò)連接，目前，使用安全設(shè)備作為局域網(wǎng) Inter 接入設(shè)備已經(jīng)成為企業(yè)網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展中最常用的連接方式之一，路由器能提供接入設(shè)備功能，但是路由器不能同時接入 VPN 防護(hù) 設(shè)備和 Inter 連接 設(shè)備，所以需要在網(wǎng)絡(luò) 出口的 邊緣 處 部署分別用于 Inter 接入的 安全設(shè)備服務(wù)器 ，或者 只 使用路由器作為 VPN 防護(hù)接 入和 Inter 連接 接入 其中之一的 設(shè)備。這樣 VPN 客戶端 同樣 可以通過 Inter 或其他公網(wǎng) 平臺 ，實(shí)現(xiàn)與公司 內(nèi)部 網(wǎng)絡(luò) 接入 的安全連接。 Inter VPN 為 企業(yè) 提供總部 與 各分部和 外地出差 員工 訪問 連接的機(jī)會。 通過 ISA 服務(wù)器 提供的專用 IP 地址來實(shí)現(xiàn) 公司業(yè)務(wù) 上訪問 的 需求 。 ISA 服務(wù)器 為企業(yè) 提供了多 層次的 企業(yè) 安全防護(hù)功能 ，來幫助 企業(yè)內(nèi)部 網(wǎng)絡(luò) 信息 資源在共享時受到病毒 的入侵 、黑客的攻擊以及未經(jīng)授權(quán)用戶的 非法 訪問。還為組織提供了在每個用戶訪問的基礎(chǔ)上對其控制和監(jiān)視的綜合能力。 用做總部訪問 的 VPN 服務(wù)器的外部接口 IP 地址為 ，內(nèi)部接口的 IP 地址為 ，分部 VPN 服務(wù)器的外部接口 IP 地址為， 內(nèi)部接口的 IP 地址為 。 9 企業(yè)在通信過程中，為了保證總公司與分公司、總公司與外地出差人員的信息安全訪問，通過構(gòu)建基于 Inter VPN 的隧道，使各個接口端能通過隧道服務(wù)安全的訪問到公司的內(nèi)部關(guān)鍵信息，隨時隨地共享公司資源，提高工作效率，減少工作量。其主要設(shè)計圖形如下圖 4 所示： 圖 4 vpn 組建 方案網(wǎng)絡(luò)拓?fù)鋱D IP 地址規(guī)劃與劃分 要實(shí)現(xiàn)網(wǎng)絡(luò)信息的 安全、快捷 訪問， IP 地址的合理規(guī)劃很 必要。因此 必須對 IP 地址 的 規(guī)劃進(jìn)行統(tǒng)一 、規(guī)范的劃分 。所以， IP 地址規(guī)劃必須遵循以下原則： 唯一性原則：一個 IP 地址 網(wǎng)絡(luò)中不 允許 有兩個主機(jī) 同時 采用 兩個 相同的IP 地址 ，這樣會使其地址在跳轉(zhuǎn)過程中出現(xiàn)差錯 ； 連續(xù)性原則：連續(xù)的地址可以縮減路由表，提高路由算法的效率； 擴(kuò)展性原則： 在進(jìn)行網(wǎng)絡(luò)互連的時候 要有足夠的空間來保證在網(wǎng)絡(luò)規(guī)模擴(kuò)展時地址疊合 之后所占用的大量空間地址 ； 實(shí)意性原則：使其能 達(dá)到舉一反三 的效果，當(dāng) 看到 其中 一個地址 時，可以根據(jù)這個地址的一些特性 大致判斷出該地址所屬的設(shè)備 類型 及其實(shí)際 的 含義。 在進(jìn)行公司 IP 地址的規(guī)劃時，通過向 ISP 提出申請，由 ISP 分配公網(wǎng)地址給公司的總部和分部網(wǎng)絡(luò)使用；這樣，公司總部外網(wǎng)接口、分部外網(wǎng)接口與 ISA Server 服務(wù)器外網(wǎng)接口均設(shè)置成一個公有 IP 地址，從而實(shí)現(xiàn)公司總部、分部的網(wǎng)絡(luò)與 Inter 的互聯(lián)。內(nèi)部網(wǎng)絡(luò)均設(shè)置為私有 IP 地址，具體的 IP 地址劃分如下： 10 企業(yè) 總部 外部網(wǎng)絡(luò) IP： IP： 內(nèi)部網(wǎng)絡(luò) IP ： 分部 外部網(wǎng)絡(luò)： IP： 內(nèi)部網(wǎng)絡(luò) IP： 遠(yuǎn)程 PPTP VPN 用戶地址范圍 IP： 利用 Inter VPN 實(shí)現(xiàn)分部對總部的訪問 Inter VPN 技術(shù)的規(guī)劃與設(shè)計 利用 VPN 特性可以在 Inter 上 組建世界范圍內(nèi)的 Inter VPN。其主要的運(yùn)行功能是利用 Inter VPN 上的專用 通道 來保證網(wǎng)絡(luò)之間的互聯(lián)，又利用 VPN中的一些隧道協(xié)議和 密保 特性來保證信息在整個 Inter VPN 平臺 上的安全傳輸。 邊界網(wǎng)關(guān)路由器主要有三個方面的作用： 通過在總部和分部路由器上配置 VPN，在互聯(lián)網(wǎng)上建立一條邏輯專線，連接總部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)，使得分部網(wǎng)絡(luò)邏輯上成為總部網(wǎng)絡(luò)的一個內(nèi)部子網(wǎng)，從而實(shí)現(xiàn)分部網(wǎng)絡(luò)快速、安全訪問總部網(wǎng)絡(luò)資源。 實(shí)施 NAT 網(wǎng)絡(luò)接入，使各分部的內(nèi)網(wǎng)用戶能夠高效地訪問到外網(wǎng)和 外網(wǎng)服務(wù)器上，且為了讓外部用戶能夠快速地訪問企業(yè)內(nèi)部資源，要求該路由器具備較高的性能。 實(shí)施帶寬管理策略，即充分保障各分部和外地出差人員對總部公網(wǎng)訪問的公平性。使網(wǎng)絡(luò)出口帶寬不會被 單一用戶 獨(dú) 自 占完，并且在公平分配帶寬的同時 給 每個用戶 的同時 ，還要充分考慮設(shè)備能夠 最大限度的 實(shí)施 其 彈性帶寬的策略， 即 在 用戶對 外網(wǎng)訪問的信息點(diǎn)數(shù)量 比 較少時 ，使 每個用戶能分配到出口帶寬是最 大的，而在 用戶對 外網(wǎng)訪問的信息點(diǎn)數(shù)量 比 較多時，每個用戶能 盡可能 平均分配出口帶寬 ，不至于使一些急需帶寬用戶處于焦急等待中 。 所以 在實(shí)施的過程 中，采用在 總部和 各 分部之間 搭建 一個基于 路由器 的 11 Inter VPN 連接。 使 各分部 能實(shí)現(xiàn)向 總部進(jìn)行請求 訪問， 從而 實(shí)現(xiàn) 網(wǎng)絡(luò)信息 資源 的 共享和互訪。 VPN 主要規(guī)劃 如下圖 5 所示 ： 圖 5 VPN 規(guī)劃圖 實(shí)現(xiàn)配置與調(diào)試 企業(yè)總部網(wǎng)絡(luò)和分部網(wǎng)絡(luò)分別通過邊界網(wǎng)關(guān) 路由器 與 Inter 相連 ， 通過在這 兩臺路由器之間使用 GRE VPN 建立隧道實(shí)現(xiàn)互聯(lián)。 實(shí)現(xiàn)這兩個 運(yùn)行 IP 協(xié)議的私有網(wǎng)絡(luò)的 資源共享；同時， 設(shè)置 GRE VPN 訪問密鑰，最大程度上確保 VPN隧道兩端數(shù)據(jù)訪問的安全性，防范來自外部的惡意探測與攻擊。 總部端路由器的配置 結(jié)合實(shí)際網(wǎng)絡(luò)環(huán)境，主要配置如下： interface GigabitEther 0/1 //進(jìn)入路由器的外網(wǎng)接口 ip nat outside //設(shè)置接口為共享連接 Inter 接入口 ip accessgroup 100 in ip address //配置接口 IP 地址和子 網(wǎng) 掩碼 flowpolicy Gi0/1 duplex auto speed auto description to_Inter Tunnel checksum //設(shè)置 Tunnel 校驗(yàn) Tunnel key ZJC //設(shè)置 Tunnel 接口的密鑰 12 interface GigabitEther 0/2 //進(jìn)入路由器的內(nèi)網(wǎng)接口 ip address //配置接口 IP 地址和 子 網(wǎng) 掩碼 duplex auto speed auto interface Tunnel 1 ip nat outside //設(shè)置接口為共享連接 Inter 接入口 ip accessgroup 110 in ip address //隧道接口地址 tunnel source //隧道本地接口 IP 地址（公網(wǎng)） tunnel destination //隧道遠(yuǎn)端接口 IP 地址（公網(wǎng)） ip route //缺省路由 ip route //指向內(nèi)網(wǎng)的靜態(tài)路由 ip route Tunnel 1 //指向分部內(nèi)網(wǎng)的靜態(tài)路由 分部端路由器的配置 由于分部與總部的邊界網(wǎng)關(guān)路由器的作用基本一樣，配置也基本相似 。主要配置如下： interface GigabitEther 0/1 //進(jìn)入路由器的外網(wǎng)接口 ip nat outside ip accessgroup 100 in ip address //配置接口 IP 地址和子 網(wǎng)掩碼 flowpolicy Gi0/1 duplex auto speed auto description to_Inter 13 interface GigabitEther 0/2 //進(jìn)入路由器的內(nèi)網(wǎng)接口 ip address //配置接口 IP地址和子 網(wǎng)掩碼 duplex auto speed auto Tunnel checksum //設(shè)置 Tunnel 校驗(yàn) Tunnel key ZJC //設(shè)置 Tunnel 接口的密鑰 interface Tunnel 1 ip nat outside ip accessgroup 110 in ip address //隧道接口地址 tunnel source //隧道本地接口 IP 地址（公網(wǎng)） tunnel destination //隧道遠(yuǎn)端接口 IP 地址（公網(wǎng)） ip route //缺省路由 ip route //指向內(nèi)網(wǎng)的靜態(tài)路由 ip route Tunnel 1 //指向分部內(nèi)網(wǎng)的靜態(tài)路由 利用 Access VPN 實(shí)現(xiàn)遠(yuǎn)程訪問 Access VPN 技術(shù)的規(guī)劃與設(shè)計 根據(jù) VPN 的特殊屬性，得到 Access VPN 是最 適用于 企業(yè) 內(nèi)部經(jīng)常有 外地出差需進(jìn)行 遠(yuǎn)程辦公 的企業(yè) ， 其主要是利用 Access VPN 給 企業(yè) 搭建邊界網(wǎng)關(guān) 接入入口 ， 使 在外出差辦公人員 和公司 各個分部甚至總部 建立 基于 Access VPN Server的 私有隧道連接。 根據(jù)該公司的運(yùn)營模式和發(fā)展情況，遵循著方便實(shí)惠、安全可靠、高效率低成本、網(wǎng)絡(luò)架構(gòu)彈性大等原則決定采用虛擬專用網(wǎng)（ VPN）安全實(shí)施方案，以Windows ISA Server 作為 Access VPN 技術(shù)平臺 ， Windows ISA Server 集成了 14 Access VPN ,提供一個完善的防火墻和 VPN 解決方案。 如下圖 6 所示： 圖 6 Inter VPN 搭建結(jié)構(gòu)圖 實(shí)現(xiàn)配置與調(diào)試 服務(wù)器端配置（在 ISA 服務(wù)器上建立遠(yuǎn)程站點(diǎn)） 一般 構(gòu)建在 Microsof Windows Server 2020 和 Windows Server 2020 安全和目錄上以實(shí)現(xiàn)基于 管理 策略的 網(wǎng)絡(luò) 加速 、 安全和管理 ， 確保 Inter 連接的安全性 。 ISA 服務(wù)器 為用戶使用訪問功能 提供快速、安全和可管理的 Inter 連接。 ISA 服務(wù) 器還能 利用其 網(wǎng)絡(luò)應(yīng)用程序 的 廣泛 性來支撐和實(shí)現(xiàn) 虛擬專用網(wǎng)絡(luò)(VPN)數(shù)據(jù)傳輸中非法 入侵 者的 檢測 ，從而 保護(hù)網(wǎng)絡(luò) 防止被 未授權(quán)用戶的 非法 訪問 ，其還執(zhí)行 對 運(yùn)行 狀態(tài) 下的數(shù)據(jù) 進(jìn)行 嚴(yán)格的 檢查和篩選 之后才準(zhǔn)許通過的命令 ，并在防火墻或 加密 的網(wǎng)絡(luò) 受到 黑客 攻擊時向管理員發(fā)出警報。 服務(wù)器外網(wǎng)卡地址： ，網(wǎng)關(guān)： 服務(wù)器內(nèi)網(wǎng)卡地址： VPN 地址范圍： 其具體配置如下圖所示： 15 進(jìn)入到 服務(wù)器 中 之后 ，用鼠標(biāo)點(diǎn)擊開始按鈕，就會彈出很多選項(xiàng)，找到管理工具，又會彈出幾個不同選項(xiàng)，在管理工具中找到 “路由和遠(yuǎn)程訪問 ”，如下圖 7 和圖 8： 圖 7 圖 8 用鼠標(biāo)指示到 ISA 服務(wù)器上， 在 跳出 的 ISA 服務(wù)器上點(diǎn)擊右鍵， 單擊“ 配置并啟用路由和遠(yuǎn)程訪問 ”， 然后點(diǎn)擊下一步。如下圖 9 和圖 10： 16 圖 9 圖 10 由于服務(wù)器是公網(wǎng)上的一臺一般性的服務(wù)器， 而且要實(shí)現(xiàn)的是外地出差人員對企業(yè)總部的遠(yuǎn)程訪問 ，所以在彈出的配置設(shè)置中我們選擇 “遠(yuǎn)程訪問（撥號或VPN）” ，然后點(diǎn)擊下一步，如下圖 11： 17 圖 11 由于我們只需要 VPN 訪問功能。所以這里只選擇 “ VPN” 訪問，然后點(diǎn)擊下一步就可以了。如下圖 12： 18 圖 12 有雙網(wǎng)卡選擇條件，這里我們選擇“本地連接 ”之后單擊下一步 ,其操作如下 和圖 13 所示： 19 圖 13 在安裝 向?qū)е羞x擇“來自一個指定的地址范圍”，設(shè)置其要 可以 訪問的IP 地址范圍為， 共 199 個 IP 地址范圍。如下圖 14和圖