如何走出VPN客户端地址分配误区

    现在许多单位都组建了VPN服务器，其管理方便、性能良好。但许多网管在VPN客户端IP地址分配方面存在一定的误区，以致VPN客户端能登录VPN服务器，却不能访问内网所需资源。如何又快又准地分配VPN客户端IP地址呢？

    前几天有个朋友给我打电话，说现在开始负责单位的VPN服务器，发现VPN客户端不能访问内网的其他服务器，只能访问VPN服务器。通过多次沟通、看对方的拓扑图，发现是VPN客户端地址划分以及三层交换机的设置问题。让其更改VPN客户端地址后，问题解决。

    现在许多单位都组建了自己的VPN服务器，而Windows Server 2003内置的路由和远程访问服务或者Microsoft ISA Server安装调试简单、管理方便、性能良好，成为组建VPN服务器的首选。但许多网管在怎样为VPN客户端分配IP地址方面存在一定的误区，这就造成：VPN客户端已经能登录VPN服务器，但不能访问内网所需要的资源。实际上，要让VPN客户端访问内网资源，除了要正确的配置VPN服务器、设置VPN客户端地址外，有的时候还要对网络中的核心交换机或者服务器进行调试，VPN客户端才能正常访问内网资源。而是否要对核心交换机或者服务器进行调试，要看当前网络的拓扑结构或者VPN服务器的设置。

    ＶＰＮ网络拓扑结构

    在组建VPN服务器时，根据单位的计算机数量、单位网络带宽等不同，VPN服务器通常有以下三种方式：

    1． 单接口VPN服务器。让单位的核心路由器或防火墙转发到Internet并对外提供服务，这种方式网络拓扑结构如图1所示。VPN客户端在呼叫VPN时的地址就是路由器或防火墙的外网地址。

    2． 双接口VPN服务器。许多单位具有多个公网地址，在为了减少核心路由器或者防火墙的负担时，采用这种方式，网络拓扑结构如图2所示。这种方式下，VPN客户端访问内网是直接通过VPN服务器访问，并不通过路由器。

    3． VPN服务器同时做代理服务器。这种方式是在原来代理服务器（或者防火墙）的基础上，启用VPN服务器，或者是直接采用ISA Server作为代理服务器，在ISA Server上启用VPN服务器并且代替原来的防火墙与路由器。在现在网络改造中，这种情况是比较多的，网络拓扑结构如图3所示。

    客户端地址分配原则

    首先介绍为VPN客户端分配IP地址的原则。当VPN服务器所处的网络位置不同时，分配IP地址的方式也不同。

    如果VPN服务器属于图1所示的结构，为VPN客户端分配IP地址时，VPN客户端可以使用与VPN服务器同一网段的地址，也可以使用不在同一网段的地址。如果VPN客户端分配的地址与VPN服务器在同一网段时，VPN客户端只能访问VPN服务器及VPN服务器所属网段。此时VPN客户端访问内网计算机时，会由于路由问题而造成访问失败。

    而如果VPN服务器属于图2、图3所示的结构，在为VPN客户端分配IP地址的时候，要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、外网的地址冲突，这是一个基本的原则。因为在图2、图3所示的网络拓扑结构中，VPN客户端数量比较多，另外，VPN客户端大多需要访问内网，如果为VPN客户端分配的IP地址与VPN服务器所属网络的内、外网地址冲突，则VPN客户端在访问内网时，会造成寻址问题而不能访问。

    例如，在上面的图2、图3中，如果VPN服务器内网IP地址是192．168．1．0～192．168．100．0/24，防火墙使用了10．10．10．0/24与202．206．192．0/24的地址，则为VPN客户端分配IP地址的时候，就要使用此地址之外的地址，例如，可以使用10．11．1．0～10．255．255．255或172．16．0．0～172．31．255．255的地址。在为客户端分配这些地址时，需要在三层交换机上，增加一条静态路由（假设VPN服务器地址是192．168．1．1，为VPN客户端分配的地址是172．16．0．1～172．16．255．255）：

    ip route-static 172．16．0．0 255．255．0．0 192．168．1．1