通天通地 实例演示部署IPSec-VPN网络

增强功能及注意事项

　　1、Mode Config

远程用户IP地址

　　上图截自H端的应用服务器（192.168.1.201），图中出现的IP地址192.168.0.2是本地笔者正在使用的电脑，笔者通过Client to Site的方式正在访问服务器的资源。由于用户可能在任何地方发起VPN连接，所以192.168.0.2这个IP地址可能是任何取值，这就给管理带来了一定的麻烦。另外出于安全考虑，管理员可能会在192.168.1.201这台服务器上设置访问策略，只允许特定子网地址进行访问，如果远程用户的IP地址是不可控的，那么这一安全策略便无法实施。

Mode Config

　　解决这些问题的一个方法是为Client to Site用户指派特定的IP，类似于我们熟悉的DHCP功能。当用户与H端建立VPN连接后，H端会指派一个虚拟IP给客户端，这样便可以实现可管理性。在FVS318G中这一功能称为Mode Config。

　　2、VPN Pass through

VPN Pass through

　　在路由器上经常可以看到VPN Pass through这一功能，这个功能不是与对端（VPN网关）建立VPN隧道，它的作用是允许内网用户发起的Client to Site VPN连接可以成功通过本地网关，否则VPN连接将无法建立。这一功能还是相当实用的，现在很多家庭都是通过路由器共享上网，这种情况下我们的电脑处于内网中，没有VPN Pass through功能，用户将无法建立Client to Site VPN连接。现在的路由器产品从低端至高端几乎都具备这一功能。

总结

　　IPSec VPN网络除了具有良好的传输安全性之外，另一大优势就是它可以承载所有基于IP的通信，对于上层应用程序来讲不需要做任何修改。IPSec技术本身比较复杂，不过，如何将技术变为易于使用的产品这就要看厂家的“功力”了，看完全文相信你会有这样一个感觉——中小企业组建VPN网络并不难。

　　最后再说一下成本问题，FVX538目前市场价格在4000左右，支持200条IPSec VPN隧道，比较适合部署在企业总部；FVS318G是全千兆接口，相比其上一代产品FVS318性能提升不少，由于是新品，目前我们还没拿到价格，FVS318目前售价在900元以内，推算一下FVS318G售价应该在1500-2000左右。如果用户比较在意成本，选用低端产品的话，组建IPSec VPN网络总体花费控制在2000元以内是没有问题的。[返回频道首页]