走出VPN客户端地址分配的误区2

走出VPN客户端地址分配的误区2

2. 双接口VPN服务器。许多单位具有多个公网地址，在为了减少核心路由器或者防火墙的负担时，采用这种方式，网络拓扑结构如图2所示。这种方式下，VPN客户端访问内网是直接通过VPN服务器访问，并不通过路由器。

　　3. VPN服务器同时做代理服务器。这种方式是在原来代理服务器(或者防火墙)的基础上，启用VPN服务器，或者是直接采用ISA Server作为代理服务器，在ISA Server上启用VPN服务器并且代替原来的防火墙与路由器。在现在网络改造中，这种情况是比较多的，网络拓扑结构如图3所示。

　　客户端地址分配原则

　　首先介绍为VPN客户端分配IP地址的原则。当VPN服务器所处的网络位置不同时，分配IP地址的方式也不同。

　　如果VPN服务器属于图1所示的结构，为VPN客户端分配IP地址时，VPN客户端可以使用与VPN服务器同一网段的地址，也可以使用不在同一网段的地址。如果VPN客户端分配的地址与VPN服务器在同一网段时，VPN客户端只能访问VPN服务器及VPN服务器所属网段。此时VPN客户端访问内网计算机时，会由于路由问题而造成访问失败。

　　而如果VPN服务器属于图2、图3所示的结构，在为VPN客户端分配IP地址的时候，要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、外网的地址冲突，这是一个基本的原则。因为在图2、图3所示的网络拓扑结构中，VPN客户端数量比较多，另外，VPN客户端大多需要访问内网，如果为VPN客户端分配的IP地址与VPN服务器所属网络的内、外网地址冲突，则VPN客户端在访问内网时，会造成寻址问题而不能访问。

　　例如，在上面的图2、图3中，如果VPN服务器内网IP地址是192.168.1.0～192.168.100.0/24，防火墙使用了10.10.10.0/24与202.206.192.0/24的地址，则为VPN客户端分配IP地址的时候，就要使用此地址之外的地址，例如，可以使用10.11.1.0～10.255.255.255或172.16.0.0～172.31.255.255的地址。在为客户端分配这些地址时，需要在三层交换机上，增加一条静态路由(假设VPN服务器地址是192.168.1.1，为VPN客户端分配的地址是172.16.0.1～172.16.255.255)：