走出VPN客户端地址分配的误区1

　　现在许多单位都组建了VPN服务器，其管理方便、性能良好。但许多网管在VPN客户端IP地址分配方面存在一定的误区，以致VPN客户端能登录VPN服务器，却不能访问内网所需资源。如何又快又准地分配VPN客户端IP地址呢?

　　前几天有个朋友给我打电话，说现在开始负责单位的VPN服务器，发现VPN客户端不能访问内网的其他服务器，只能访问VPN服务器。通过多次沟通、看对方的拓扑图，发现是VPN客户端地址划分以及三层交换机的设置问题。让其更改VPN客户端地址后，问题解决。

　　现在许多单位都组建了自己的VPN服务器，而Windows Server 2003内置的路由和远程访问服务或者Microsoft ISA Server安装调试简单、管理方便、性能良好，成为组建VPN服务器的首选。但许多网管在怎样为VPN客户端分配IP地址方面存在一定的误区，这就造成：VPN客户端已经能登录VPN服务器，但不能访问内网所需要的资源。实际上，要让VPN客户端访问内网资源，除了要正确的配置VPN服务器、设置VPN客户端地址外，有的时候还要对网络中的核心交换机或者服务器进行调试，VPN客户端才能正常访问内网资源。而是否要对核心交换机或者服务器进行调试，要看当前网络的拓扑结构或者VPN服务器的设置。

　　VPN网络拓扑结构

　　在组建VPN服务器时，根据单位的计算机数量、单位网络带宽等不同，VPN服务器通常有以下三种方式：

　　1. 单接口VPN服务器。让单位的核心路由器或防火墙转发到Internet并对外提供服务，这种方式网络拓扑结构如图1所示。VPN客户端在呼叫VPN时的地址就是路由器或防火墙的外网地址。