小型企业无线VPN解决方案

在上一期，针对没有分支机构的小型企业，我们根据不同的应用需求推荐了几套无线解决方案。随着公司业务的扩张，会不断成立驻外办事处或分公司，需要在总部网络与分部网络之间架起沟通的桥梁，让分部员工可以通过互联网访问企业内部网络的资料。对于这类正在向中型企业过渡的小型企业而言，什么样的无线解决方案才能实现快速灵活的无线网络部署、高安全性的内网访问和具有一定冗余的负载能力呢？本文不但会告诉你答案，并且还会手把手教你实施该方案。

兼顾需求与发展，为小型企业定制VPN解决方案

需求分析

进入成熟期的小型企业往往迈开了向外扩张的步伐，不断地在外地成立办事处或分公司。此时总部与分部之间需要传输、共享和备份内部的机密资料，因此在互联网上建立企业自己的VPN隧道，让分部可以通过这条隧道安全地访问总部的内部网就变得十分必要。

在企业内部，办公电脑(或者说员工)和各种服务器的数量随着业务的扩张而快速增长，仅仅依靠无线路由器或有线路由器的数据交换能力显然不够，必须配置交换机。

此外，为了让企业网络具有较高的弹性，能够自由调整网络结构和随意增减工位，提供随时随地的企业网络资源访问，提高办公的效率，还需要为整个企业的办公空间部署完全覆盖的无线网络。

解决方案

为了满足上述需求，小型企业无线VPN的网络拓扑结构中至少应包括VPN防火墙路由器、智能交换机和无线AP（即无线接入点）。企业也可以根据自己的实际情况在VPN防火墙路由器的后端增加专用网络管理设备、RADIUS认证服务器等。在VPN防火墙路由器的选择上，既要满足企业的现有需求，也要具有一定的冗余性能以适应企业未来的扩张需要。

在前端，与互联网相连的是VPN防火墙路由器。它必须支持IPSec VPN服务器功能，并且至少提供50条VPN隧道。IPSec VPN是用于驻外办事处或分公司与总部内部网之间的高安全性连接。另外，VPN防火墙路由器还应具有多种访问过滤、SPI防火墙、防止DOS(拒绝服务)攻击等功能，以减少来自外部和内部的安全威胁。

小型企业无线VPN的网络拓扑结构图

在数据交换部分，我们建议使用智能交换机。相比普通的非网管交换机，智能交换机支持基于Web的图形化管理和基于SNMP的网络管理标准协议，把网络管理员从复杂的CLI命令行、Telnet或本地控制台等传统管理方式中解放出来，可以更加轻松、高效地对交换机进行管理和维护，并且智能交换机的价格比非网管交换机也贵不了多少。更高端、功能全面但价格高昂的全网管交换机则不适合小型企业使用。在性能上，好使用支持线速转发的交换机，以便让内部网络在繁忙时也畅通无阻。

在网络布线方面，可以采用无线网络加上少量的布线，根据建筑结构布置无线AP以实现为移动用户提供网络服务，各种应用服务器（例如邮件服务器、打印机服务器等）和存储设备（例如
NAS、磁盘阵列等）则通过百兆或千兆有线网连接智能交换机。并且按照无线网络在同一区域多支持3个独立信道的原则（我国无线网络规定了13个信道，其中1、6、11三个信道独立，互不干扰），在每层楼按照蜂窝结构多布置3个无线AP，并且实现无缝漫游。同时再对无线AP设置
WPA2加密功能以保证无线网络的安全。

Tips：必须了解的交换机知识之一

常用单位：在交换机的参数指标中，常见的单位有Gbps 和Mpps。1Gbps就是每秒1Gigabit＝1024Mbps＝128MB/s，大家常说的千兆网卡的速度就是1Gbps。Mpps即“Million packetper
secend（百万包/秒）”，在交换机上指包转发率，转发1个64Byte包的实际开销为84Byte＝672bit，因此换算下来，100Mbps＝0.1488Mpps，1Gbps＝1.488Mpps。

Tips：必须了解的交换机知识之二

背板带宽：交换机的背板带宽，是指交换机接口处理器或接口卡和数据总线之间的大数据吞吐量，这和处理器的前端总线带宽的概念很相似。背板带宽标志了交换机总的数据交换能力，单位为Gbps，也叫交换带宽，一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高，所能处理数据的能力就越强，但同时价格也越高。

第一步：设置VPN防火墙路由器

企业用户按照网络拓扑结构图连接好各个设备后，还需要对设备的访问控制、VPN接入、限速和安全加密等功能进行设置，这样才能让整个企业无线办公网络运行起来。首先我们需要对VPN防火墙路由器进行设置，其中基础的互联网连接请参考4月上的《小型企业高速无线解决方案》，设置方法是类似的。

排除异己——MAC地址过滤

如何拒绝陌生的电脑接入企业网络？很简单，每张网卡访问网络时都必须提供MAC地址，使用MAC地址过滤功能，把企业全部办公电脑、服务器的MAC地址添加到允许访问的列表中，并禁止其它MAC地址的访问。这样就只有企业内部的设备可以访问网络，其它的电脑则被阻挡在外（图1~3）。

在浏览器中登录VPN防火墙路由器的Web管理界面后，点击“Security”、“Address Filter”，在“Do you want to enable Source MAC Address Filtering?”下方选择“Yes”开启MAC地址过滤功能，并在“Policy for MAC Addresses listed below:”右侧的下拉菜单中选择“Permit and Block the rest”。

点击Windows操作系统的开始菜单，选择“附件”、“命令提示符”，在DOS窗口中输入“
ipconfig/all”并回车，可以看到电脑的MAC地址。

接着在下方的“ MAC Address”地址栏中依次输入企业每台电脑的MAC地址（如“00-03-25-
5A-45-0B”）并点击右侧的“add”按键。后点击“Apply”，这样就只有MAC地址在该列表中的电脑才能访问企业网络。

避免IP地址冲突，防止ARP病毒——IP/MAC地址绑定

在企业网络中，由于各种原因造成IP地址冲突的情况时有发生；并且ARP病毒肆虐，伪装成
DNS服务器导致电脑无法正常访问互联网。企业用户可以使用IP/MAC地址绑定功能来解决这些让网管头痛的问题。将企业所有的网络设备进行IP/MAC地址绑定之后，IP地址和MAC地址会一一对应，就不会再发生IP地址冲突，或者ARP病毒窃取IP地址、假冒DNS服务器的情况了（图4~5）。

点击“Network Configuration”、“LAN Setting”、“LAN Groups”，点击“select all”选中所有已发现的PC设备，然后点“save binding”即可将IP地址和MAC地址绑定起来。如果需要自定义IP地址和MAC地址的对应关系，在该界面下方的“Add Known PCs and Devices:”中填写IP地址和MAC地址，点击“add”按键即可。

在“Security”、“Address Filter”、“IP/MAC Binding”中可以查看已经绑定的IP/MAC地址，同时也可以在此添加绑定列表。

禁止部分电脑访问互联网——访问控制列表

MAC地址过滤和IP/MAC地址绑定主要用来加强内网安全，而控制企业员工对互联网的访问则要使用访问控制列表（ACL）。例如禁止财务部门、R&D部门的电脑访问互联网，减少这些电脑中毒的危险，避免机密资料泄露（图6~7）。

选择“Secur ity”、“Firewall”、“LAN WAN Rules”，一般来说企业的办公电脑只有少数不允许访问互联网、只准访问内网，因此在“Default Outbound Policy”缺省出站规则中选择“Allow
Always”允许访问，然后在“Outbound Service”中点击“add”按键。

在“Service Name”中选择“Any”，“Filter”选择“Block Always”，在“LAN User”中输入禁止访问互联网的电脑的IP地址（如192.168.1.2），“WAN User”填写路由器WAN接口的IP地址（如1.1.1.1）即可。这样，所有在“LAN User”中输入了IP地址的企业办公电脑都不能访问互联网。

Tips：必须了解的交换机知识之三

线速转发：线速转发是衡量交换机转发能力的一个标准，达到该标准的交换机可以支持所有端口同时全速转发数据，实现“无阻塞”设计。为了达到该标准，交换机的总数据交换能力必须大于所有端口的带宽总和的2倍（全双工）。

访问总部内网——VPN接入

驻外办事处或分公司要通过互联网访问企业总部的内网资料，可以建立安全的IPSec VPN隧道来实现，这也是VPN防火墙路由器重要的功能。当然，这只是VPN客户端到VPN网关的应用方式。除此之外，企业的VPN应用还包括总部和分部之间相互访问对方的内网（即VPN网关之间的互联），以及在外出差人员通过网络浏览器临时访问企业内网（即SSL VPN）等方式。这部分内容我们将在今后为大家详细介绍（图8~16）。

点击“VPN”、“VPN Wizard”，选择“VPN Client”，即VPN客户端到VPN网关的应用方式。再依次为该VPN隧道命名（如tunnelA）和设置密码（如123456789），点击“Apply”即可。

接着在“VPN”、“Policies”、“VPN Policies”，检查VPN隧道是否生效，以及设置是否正确。

再点击“VPN”、“Policies”、“IKE Policies”，可以看到路由器自动为刚刚建立的VPN隧道生成了对应的加密和认证策略。

接着安装各品牌专用的VPN客户端软件(Windows操作系统自带的VPN客户端软件不支持IPSec VPN)。运行专用的VPN客户端软件“Security Policy Editor”，在菜单栏选择“Edit”、“Add”、“Connection”会建立一个新的连接“New Connection”。

选中“New Connection”，在右侧的“ID”中选“IP Subnet”，在下方的“Subnet”中填写企业内网的子网号（如192.168.1.0），“Mask”中填写子网掩码“255.255.255.0”，“Protocol”选择“
All”，在“Use”左侧方框中打钩，下方的“ID”选“Any”，并填写WAN接口的IP地址（如1.1.1.1）。

展开“ New Connection”，选择“My Identity”，“Select”选择“None”，“ID”选“Domain
Name”，下方填写“fvx_remote.com”，其它默认，再点击右上角的“Pre-Shared Key”按键。

在弹出的“Pre-Shared Key”窗口中点击“Enter Key”，然后输入我们在建立VPN服务器时设置的密码“123456789”并点击“OK”。

在左边栏选择“Security Policies”，右侧选择“Aggressive Mode”，点击左上角的“保存”图标。再选择菜单栏的“File”、“Save”就完成了VPN客户端的配置。

后用右键点击任务栏右下角的VPN客户端图标，选择“Connect”、“My Connection/New
Connection”，当桌面右上角弹出“Successfully connected to My ConnectionNew connection”时就表示连接成功。此时用户就能像在内网中一样，通过互联网访问企业内网共享的文件资料了。

第二步：设置智能交换机

在完成VPN防火墙路由器的设置后，接下来就需要在智能交换机上将企业中不同部门的电脑隔离开来，例如将财务部、市场部、R&D等部门的电脑划分到不同的子网，提高企业机密的安全性，并不能影响电脑正常上网。同时网络管理员还可以针对交换机的端口带宽进行分配，防止少数员工占用大量带宽，影响其它员工的正常工作。

隔离不同的部门——VLAN

智能交换机和非网管交换机明显的区别在于，智能交换机支持Web管理方式，而非网管交换机只能用CLI命令进行管理。并且智能交换机一般提供了向导软件，可以在企业内网中搜索智能交换机，对其进行基础设置、密码更改、固件升级和Web管理的快捷方式。如果没有向导软件，网络管理员直接在浏览器中输入智能交换机的IP地址同样也可以进入其Web管理界面（图17~18）。

在智能交换机的Web管理界面中，选择“Bridge”、“VLAN”、“Port-Based VLAN”，在“
Name”输入VLAN的名称（如vlan2），“Group ID”输入新建VLAN的序号（如2），然后在下方的交换机图中把属于该VLAN的端口打钩，点击“OK”保存设置。重复该步骤建立全部所需的虚拟子网络。

后在“Bridge”、“Default Port VLAN & CoS”中，将所有属于各个VLAN的端口的PVID改为对应VLAN的序号（即建立VLAN时设置的VLAN ID）。点击“OK”就能对各个部门进行划分。

合理分配带宽——端口限速

中小型企业经常饱受BT、蠕虫对局域网络的摧残，进行端口限速可以有效降低BT等P2P软件对网络的影响，合理规划网络带宽的使用，保证员工的正常工作。例如要对1号LAN接口进行限速，上传限速为2Mbps，下载限速为8Mbps（图19）。

在智能交换机的Web管理界面中，在“Bridge”、“Bandwidth Control”中，“Port”选“1”，将“Ingress Bandwidth Control”的“Control”改为“Enable”，“Limit Rate”设为2048（即2Mbps）；将“Egress Bandwidth Control”的“Control”改为“Enable”,将“Limit Rate”设为8196(即8Mbps)，后点击“OK”即可。

第三步：设置无线AP

在设置完路由和交换部分后，对于办公区域的无线覆盖还需要设置无线AP。这里重要的是为相邻区域的三个无线AP分配互不干扰的无线信道实现无线漫游，以及为无线网络进行高级别加密，提高无线网络的稳定性和安全性。

开启高级的WPA2安全加密

无线网络设备的安全加密级别从低到高有WEP、WPA和WPA2，为了大程度地保护企业无线网络的安全，网络管理员应该选择使用WPA2（图20）。

在无线AP的Web管理界面中选择“无线”、“界面”，在“认证方式”中选择“WPA-PSK/
WPA2-PSK”，“WPA加密”选“AES”，在“WPA金钥”中设置密码，点击“应用”保存。

错开无线信道，实现无缝漫游

由于三个无线AP均连接在智能交换机上，因此只要错开各自的无线信道，设置相同的SSID和安全加密级别、密码即可，不需要设置复杂的WDS桥接就能实现无缝漫游，用户可以随意移动而不掉线（图21）。

同样在“无线”、“界面”，将三个无线AP的SSID都设置成相同（如default），然后将“频道”分别设为“1”、“6”和“11”，加密设置也保持相同，后点击“保存”即可。

写在后

通过VPN防火墙路由器、智能交换机和无线AP的设置，网络管理员就能为企业建立一个灵活、安全和具有一定冗余性能的无线网络办公环境。本文提供的产品和设置方法适用于大多数具有分支机构的小型企业，但不同的企业在应用需求上差异很大，我们将在今后为大家一一分析。如果你在中小企业组网方面有成功经验，并愿意投稿，可以写信至fengl@cniti.cn。此外，你认为本文对你的学习和工作有无帮助，或有任何意见和建议，都可登录编辑的博客：blog.mcplive.cn/fl参与调查和讨论，我们期待你的参与。

NETGEAR FVS338

网件中国 010-82158080 www.netgear.com.cn 3800元

FVS338是一款多支持50个VPN隧道、具有8个百兆LAN口的VPN防火墙路由器。它的处理器频率为266MHz，内存和闪存容量分别为32MB和16MB，支持DES和3DES加密算法的IPSec VPN，还提供了NETGEAR VPN01L软件帮助用户快速设置VPN。

在安全方面，它具有SPI防火墙、网址过滤、ActiveX过滤、JAVA过滤、Cookie禁止、安全策略、日志和监控等功能。在管理上，FVS338支持Web管理、Telnet和远程管理，并提供了针对
SNMP网络管理标准协议优化的NETGEAR NMS100软件。

思科RV042

思科中国 800-810-5704 www.cisco.com.cn 1600元

思科RV042是一款支持50个VPN隧道的、具有4个百兆LAN口的VPN防火墙路由器。它大的特点是具有双WAN接口，小型企业用户既可以让第二条Internet连接作为备份链路以确保Internet连接不会中断；也可以同时使用两个不同的Internet连接，利用负载平衡以保障大带宽效率。

此外，第二个WAN接口还可以作为DMZ端口使用，提供无阻碍的互联网访问通道，便于建立网站或FTP服务器。它支持DES和3DES加密算法的IPSec VPN，具有IP过滤功能和SPI防火墙，还支持Web、SNMP和安装向导等管理方式，易于网络管理员进行配置和维护。

NETGEAR FS728TS

网件中国 010-82158080 www.netgear.com.cn 4800元

NETGEAR FS728TS智能交换机提供了24个百兆端口、4个千兆端口和2个小型可热插拔（
SFP）GBIC光纤模块插槽。它大可堆叠6台交换机，总共可提供192个百兆端口，并且所有堆叠单元可以通过单一IP地址管理，能够应对中小企业规模不断增长时网络扩容的需求。

安全性方面，FS728TS支持端口限速、端口和MAC地址绑定和第三层优先级别区分等高级安全功能，并且加入了802.1x端口认证技术，支持RADIUS认证服务器。在管理上，它不但支持SNMP v1/v2c/v3网络管理协议，还提供了NETGEAR NMS100网管软件，让网络管理员更加轻松地配置和维护交换机。

华硕GigaX1024i+

华硕中国 800-820-6655 www.asus.com.cn 6500元

华硕GigaX1024i+智能交换机提供了24个百兆端口、2个千兆端口和2个小型可热插拔（SFP）GBIC光纤模块插槽，高支持256组VLAN。在网络服务上，它支持端口的优先级控制，每个端口具有四个优先队列，它还支持网络流量控制和QoS，以保证网络顺畅。

安全方面，它支持802.1x端口认证技术，可让用户通过RADIUS认证服务器进行远程验证。在管理方面，GigaX1024i+支持SNMP v1/v2c/v3网络管理协议，也提供了Web图形管理界面。

华硕WL320gP

华硕中国 800-820-6655 www.asus.com.cn 6800元

华硕WL320gP支持IEEE802.11g无线网络标准和125Mbps 增强型速率,工作频段为2.4GHz,具有两根可拆卸的5dBi外置天线和20dBm高功率输出，还支持全面的WDS功能。

它大的特点是支持多SSID和VLAN功能，可以在智能交换机VLAN的基础上，对无线网络用户进行更深入的细分。在安全和管理上，它同时支持WPA2安全加密和802.1x端口认证技术，支持端口、IP地址、协议和URL关键字过滤功能，以及SNMP 3.0网络管理协议。

NETGEAR WG302

网件中国 010-82158080 www.netgear.com.cn 2000元

NETGEAR WG302支持IEEE802.11g无线网络标准和108Mbps增强型速率，工作频段为2.4GHz，两根可拆卸的5dBi外置天线可以保证它在提供高速服务时具有更大的信号覆盖范围。

在安全上，它支持WPA2安全加密和802.1x端口认证技术，这种双向认证可以确保非企业
RADIUS服务器授权的客户端无法接入网络。它还支持多256个用户的访问控制列表和VPN穿透，以及WDS桥接和中继模式。同时它也提供了Web管理、控制接口、FTP远程配置和NMS100软件等多种管理方式。