

现在许多单位都组建了VPN服务器,其管理方便、性能良好。但许多网管在VPN客户端IP地址分配方面存在一定的误区,以致VPN客户端能登录VPN服务器,却不能访问内网所需资源。如何又快又准地分配VPN客户端IP地址呢?
前几天有个朋友给我打电话,说现在开始负责单位的VPN服务器,发现VPN客户端不能访问内网的其他服务器,只能访问VPN服务器。通过多次沟通、看对方的拓扑图,发现是VPN客户端地址划分以及三层交换机的设置问题。让其更改VPN客户端地址后,问题解决。
现在许多单位都组建了自己的VPN服务器,而Windows Server 2003内置的路由和远程访问服务或者Microsoft ISA Server安装调试简单、管理方便、性能良好,成为组建VPN服务器的首选。但许多网管在怎样为VPN客户端分配IP地址方面存在一定的误区,这就造成:VPN客户端已经能登录VPN服务器,但不能访问内网所需要的资源。实际上,要让VPN客户端访问内网资源,除了要正确的配置VPN服务器、设置VPN客户端地址外,有的时候还要对网络中的核心交换机或者服务器进行调试,VPN客户端才能正常访问内网资源。而是否要对核心交换机或者服务器进行调试,要看当前网络的拓扑结构或者VPN服务器的设置。
VPN网络拓扑结构
在组建VPN服务器时,根据单位的计算机数量、单位网络带宽等不同,VPN服务器通常有以下三种方式:
1. 单接口VPN服务器。让单位的核心路由器或防火墙转发到Internet并对外提供服务,这种方式网络拓扑结构如图1所示。VPN客户端在呼叫VPN时的地址就是路由器或防火墙的外网地址。