1、基于 3G 实现远程网络接入计算机中心 谢伟锋2009 年 1 月 7 日,工业和信息化部为中国移动、中国电信和中国联通发放了三张第三代移动通信(3G)运营牌照,这标志着我国正式进入 3G 时代。随着 3G 业务的开通,现代企业可以通过结合 3G 宽带上网和企业 VPN 技术,搭建一个快速、高效、稳定的综合远程网络办公平台。而在企业中,目前大多通过虚拟专用网(VPN)对企业内部网进行扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。在 2009 年 7 月,我公司对防火墙进行了升级,采用了方正 FA3000-NP200 防火
2、墙,系统集成了 VPN 模块,能够实现 VPN 与防火墙策略的无缝集成,同时不需要给所有进入 VPN 的内部客户添加特殊路由。我公司原来的无线上网业务是采用中国联通的 CDMA 1X(2G)无线上网业务,虽说在无线宽带(1X)网络下,可提供最高速度达 153.6k 速率的网络连接带宽,但是在实际应用中,只能进行上网、收邮件等服务。如果要通过 VPN 接入公司的内部服务器,连接公司的业务系统,就会出现数据库连接超时、数据连接断开的现象。3G 业务开通以来,终端设备的上网速度和服务质量都得到大幅提升。使用中国电信的 3G 业务,我们可以随时方便稳定地接入高速移动互联网,并将享受多种宽带互联网服务。
3、这使得企业通过无线方式进行 VPN 接入成为可能。而我们也对此进行了有效地探索,方法如下。第一步:在防火墙上设置 PPTP VPN 服务器端到端隧道协议(PPTP)是微软基于 PPP 协议开发的隧道协议,在 Windows 系统中广泛使用。由于我公司采用的 NP200 方正防火墙全面支持 PPTP/L2TP VPN 服务器的架设,同时目前的 Windows XP 和 Windows Vista 都支持 PPTP/L2TP VPN 的客户端架设,为此我们选择了易于管理和建设的 PPTP 端到端隧道协议来架设 VPN 服务器。配置界面如图 1 所示。VPN 服务器的外部 IP 为防火墙的外网口 I
4、P,即电信局为我公司分配的静态 IP 地址 。第二步:设置 VPN 客户端在操作系统中设置 VPN 客户端的方法是:在桌面找到“网上邻居”、右键“属性”;打开的“网络连接”窗体上,点击左栏的“创建一个新的连接”;打开的“新建连接向导”的窗体上点击“下一步”、然后选择“连接到我的工作场所的网络”(如图 2)、再点“下一步”、选择“虚拟专用网络连接”(如图 3),接着依次点击“下一步”,分别填入“公司名”、VPN 服务器(建议直接填写 IP 地址,也就是上面提到的 VPN 服务器的外部静态 IP )、最后点击“完成”,结束 VPN 客户端的创建。第三步:远程办公先将华为天翼 3G 上网卡正确安装在
5、电脑上,然后点击桌面“无线宽带”图标,出现“中国电信无线宽带”的窗体,在“网络连接”页面,有三种无线连接方式,选择中间的“无线宽带(3G)”,点击“连接”按钮;稍等片刻后会出现连接成功的提示,然后会自动转到“网络状态”页面,显示速度为3.1Mbps。网络正确连接以后,可以打开 IE 浏览器,进入我公司的 OA 办公系统和 MDaemon 企业邮箱的主页,明显地感觉到现在页面刷新的速度比以前快了很多,页面上的一些 Flash 插件和图片都能够在短时间内快速地显示出来,邮件的收发也顺畅了很多。不会再出现“页面无法显示”或 “服务器无法连接”等错误提示。运行上面已成功建立的 Windows VPN
6、客户端,在登录界面上输入用户名和密码。如果用户名和密码被远程 VPN 服务器验证通过后,桌面右下角就会出现成功连接的图标。由于我公司啤酒分销系统和生产管理系统的服务器是放在内网,采用的是内部私用 IP ,所以为了保证可访问性,先对啤酒分销系统和生产管理系统中的服务器设置作一更改,由机器名改为 IP 地址(如图4)。当上述工程全部完成以后,我们就可以正常运行啤酒分销系统和生产管理系,数据的刷新速度比较顺畅,不会再出现“数据库超时”等错误提示。通过结合 3G 无线上网和防火墙的 VPN 技术,我公司成功搭建了自己的高速网络办公平台,为企业远程办公提供了一个迅捷的方法。链接点对点隧道协议(PPTP)
7、点对点隧道协议(PPTP)是一种网络协议,通过跨越基于 TCP/IP 的数据网络创建 VPN, 实现了从远程客户端到专用企业服务器之间数据的传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。第二层隧道协议 (L2TP)第二层隧道协议(L2TP)是一种工业标准 Internet 隧道协议,可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。L2TP 允许加密 IP 通信,然后在任何支持点到点数据报交付的媒体
8、(如 IP)上进行发送。Microsoft 的 L2TP 使用 Internet 协议安全(IPSec)加密来保护从 VPN 客户端到 VPN 服务器之间的数据流。IPSec 隧道模式允许加密 IP 数据包,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。PPTP 连接只要求通过基于 PPP 的身份验证协议进行用户级身份验证。IPSec 上的 L2TP 连接不仅需要相同的用户级身份验证,而且还需要使用计算机凭据进行计算机级身份验证。Internet 协议安全(IPSec)隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。隧道与数据保密性结合使用时,在网络上窃听通信的人将无法获取原始数据包数据(以及原始的源和目标)。隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。
