双线路VPN部署1

　　前言：

　　目前中国南方地区很多公司总部使用电信专线连接Internet，而其在北方的分公司或子公司使用网通专线，因为众说周知的电信与网通连接慢的问题，使得子公司访问总公司的服务器很慢。为此我们可以建立一个双线路VPN解决此问题。

　　服务器安装

　　1、可以使用windows2003 server或Linux，服务器具体2个IP地址，一个是电信地址，一个是网通地址。网络示意图如下：

　　2、获取电信及网通或其它ISP的IP地址段，运行如下程序或以获得

　　#!/bin/sh

　　FILE=/root/study/apnic/ip_apnic

　　rm -f $FILE

　　wget http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest -O $FILE

　　grep 'apnic|CN|ipv4|' $FILE | cut -f 4,5 -d'|'|sed -e 's/|/ /g' | while read ip cnt

　　do

　　echo $ip:$cnt

　　mask=$(cat <<EOF | bc | tail -1

　　pow=32;

　　define log2(x) {

　　if (x<=1) return (pow);

　　pow--;

　　return(log2(x/2));

　　}

　　log2($cnt)

　　EOF)

　　echo $ip/$mask>> cn.net

　　NETNAME=`whois $ip@whois.apnic.net | sed -e '/./{H;$!d;}' -e 'x;/netnum/!d' |grep ^netname | sed -e 's/.*: \(.*\)/\1/g' | sed -e 's/-.*//g'`

　　case $NETNAME in

　　CNC)

　　echo $ip/$mask >>CNCGROUP

　　;;

　　CHINANET|CNCGROUP)

　　echo $ip/$mask >>$NETNAME

　　;;

　　CHINANET|CNCGROUP)

　　echo $ip/$mask >>$NETNAME

　　;;

　　CHINATELECOM)

　　echo $ip/$mask >>CHINANET

　　;;

　　*)

　　echo $ip/$mask >>OTHER

　　;;

　　esac

　　done

　　3、 VPN服务配置完成后，可以在服务器上或网关上加载路由表。编辑上面获取的IP地址文件，修改为route add –net x.x.x.x/xx gw x.x.x.x（对于linux）或route add x.x.x.x mask x.x.x.x x.x.x.x（对于windows）格式的行，然后运行。并到启动项中。

　　4、 如果用户拨入VPN服务器后要求通过VPN服务器连接Internet，则需设置NAT规则。对于windows，设置网络地址转换，配置public接口和private接口。对于linux，可以加入iptables规则：iptables -t nat –A POSTROUTING –o eth2 –s x.x.x.x/xx –t SNAT --to IP (x.x.x.x/xx为客户端获取的IP地址段，IP为NAT转换后的IP地址)

　　5、 如果VPN服务器是某windows2003域中的一台服务器，准备采用域帐户进行验证，则需配置Internet验证服务（IAS）（除了验证外还可以设置访问权限）