走出VPN客户端地址分配的误区

　　现在许多单位都组建了VPN服务器，其管理方便、性能良好。但许多网管在VPN客户端IP地址分配方面存在一定的误区，以致VPN客户端能登录VPN服务器，却不能访问内网所需资源。如何又快又准地分配VPN客户端IP地址呢?

　　前几天有个朋友给我打电话，说现在开始负责单位的VPN服务器，发现VPN客户端不能访问内网的其他服务器，只能访问VPN服务器。通过多次沟通、看对方的拓扑图，发现是VPN客户端地址划分以及三层交换机的设置问题。让其更改VPN客户端地址后，问题解决。

　　现在许多单位都组建了自己的VPN服务器，而Windows Server 2003内置的路由和远程访问服务或者Microsoft ISA Server安装调试简单、管理方便、性能良好，成为组建VPN服务器的首选。但许多网管在怎样为VPN客户端分配IP地址方面存在一定的误区，这就造成：VPN客户端已经能登录VPN服务器，但不能访问内网所需要的资源。实际上，要让VPN客户端访问内网资源，除了要正确的配置VPN服务器、设置VPN客户端地址外，有的时候还要对网络中的核心交换机或者服务器进行调试，VPN客户端才能正常访问内网资源。而是否要对核心交换机或者服务器进行调试，要看当前网络的拓扑结构或者VPN服务器的设置。

　　VPN网络拓扑结构

　　在组建VPN服务器时，根据单位的计算机数量、单位网络带宽等不同，VPN服务器通常有以下三种方式：

　　1. 单接口VPN服务器。让单位的核心路由器或防火墙转发到Internet并对外提供服务，这种方式网络拓扑结构如图1所示。VPN客户端在呼叫VPN时的地址就是路由器或防火墙的外网地址。

　　2. 双接口VPN服务器。许多单位具有多个公网地址，在为了减少核心路由器或者防火墙的负担时，采用这种方式，网络拓扑结构如图2所示。这种方式下，VPN客户端访问内网是直接通过VPN服务器访问，并不通过路由器。

　　3. VPN服务器同时做代理服务器。这种方式是在原来代理服务器(或者防火墙)的基础上，启用VPN服务器，或者是直接采用ISA Server作为代理服务器，在ISA Server上启用VPN服务器并且代替原来的防火墙与路由器。在现在网络改造中，这种情况是比较多的，网络拓扑结构如图3所示。

　　客户端地址分配原则

　　首先介绍为VPN客户端分配IP地址的原则。当VPN服务器所处的网络位置不同时，分配IP地址的方式也不同。

　　如果VPN服务器属于图1所示的结构，为VPN客户端分配IP地址时，VPN客户端可以使用与VPN服务器同一网段的地址，也可以使用不在同一网段的地址。如果VPN客户端分配的地址与VPN服务器在同一网段时，VPN客户端只能访问VPN服务器及VPN服务器所属网段。此时VPN客户端访问内网计算机时，会由于路由问题而造成访问失败。

　　而如果VPN服务器属于图2、图3所示的结构，在为VPN客户端分配IP地址的时候，要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、外网的地址冲突，这是一个基本的原则。因为在图2、图3所示的网络拓扑结构中，VPN客户端数量比较多，另外，VPN客户端大多需要访问内网，如果为VPN客户端分配的IP地址与VPN服务器所属网络的内、外网地址冲突，则VPN客户端在访问内网时，会造成寻址问题而不能访问。

　　例如，在上面的图2、图3中，如果VPN服务器内网IP地址是192.168.1.0～192.168.100.0/24，防火墙使用了10.10.10.0/24与202.206.192.0/24的地址，则为VPN客户端分配IP地址的时候，就要使用此地址之外的地址，例如，可以使用10.11.1.0～10.255.255.255或172.16.0.0～172.31.255.255的地址。在为客户端分配这些地址时，需要在三层交换机上，增加一条静态路由(假设VPN服务器地址是192.168.1.1，为VPN客户端分配的地址是172.16.0.1～172.16.255.255)：

　　ip route-static 172.16.0.0 255.255.0.0 192.168.1.1

　　VPN服务器设置

　　在用ISA Server做VPN服务器时，可以控制VPN客户端访问内网、外网、以及VPN服务器本身，或者控制VPN客户端访问任意的地址。在VPN客户端访问内网、外网以及任意IP地址时，有两种形式：即NAT方式和路由方式。如果使用NAT方式，则VPN客户端可以单向访问所需要的网络，例如，VPN客户端可以访问内网计算机，但内网计算机不能访问VPN客户端。如果使用路由方式，则访问关系是双向的，VPN客户端既可以访问内网，内网也可以访问VPN客户端。

　　通常来说，VPN客户端与外网的关系要设置为NAT，VPN客户端与内网的关系，可以根据需要与实际情况，选择NAT或者路由的关系。如果要使用路由方式，则需要满足如下两种条件：

　　1. VPN客户端地址与VPN服务器及VPN服务器所属网段地址不冲突。

　　2. 需要在三层交换机(即VPN服务器所属的三层交换机或单位核心交换机)上增加到VPN客户端地址所属网段的静态路由，路由的目标(网关)地址是VPN服务器所属内网地址(假设VPN服务器地址是192.168.1.1，为VPN客户端分配的地址是172.16.0.1～172.16.255.255)：

　　ip route-static 172.16.0.0 255.255.0.0 192.168.1.1

　　如果条件不允许对三层交换机进行调试，则需要在与VPN客户端互访的每一台计算机或服务器上，使用Route命令添加静态路由，其格式为：

　　route add -p 172.16.0.0 mask 255.255.0.0 192.168.1.1

　　如果网络拓扑是图3所示结构，其三层交换机(或者核心交换机)中已经包含了这条路由，不需要再添加类似的静态路由。

　　在默认情况下，ISA Server中VPN客户端与内网的关系是路由。所以，一般情况下，不需要更改ISA Server的设置。但是，如果你的三层交换机不允许调试，并且在目标服务器也不能增加静态路由，或者你的VPN客户端地址与VPN服务器内网地址在同一网段，你可以在ISA Server管理控制台中，在配置→网络→网络规则中，双击该条策略，将网络关系修改为NAT方式。