将工控机变为VPN路由器(上)
网络设备
公司总部与分公司之间一直采用DDN专线进行连接,共用一套ERP系统,而其他分支机构和出差在外的移动用户只能采用传统的电话、E-mail等方式与总部联系。因此,对功能众多的VPN的需求出现了。
部署VPN之后,公司可拆除昂贵的DDN专线,实现各分支机构、移动用户与总部的互联,还可在VPN的基础上部署VOIP系统,实现公司内部“零”话费通讯。然而,VPN设备的经费和调试为公司带来了难题,我们需要一种全新的解决方案。
“工控机+RouterOS”可以为我们提供低价位高质量的VPN级服务,更能节省近4/5的资金。
VPN设备的缺陷
在企业网络环境中,实现VPN一般是通过带VPN功能的路由器(也可由通用操作系统来完成,但稳定性与安全性欠佳)来完成的,如Cisco 3600系列、Quidway AR46系列等。此类路由器功能强大、运行稳定,但价格非常昂贵,标准配置的(不包含扩展模块)市场价格在四万元以上(某些工控机的价格只有它的1/5),调试也需要专业人员来完成,所以并不能大规模应用于中小型企业。
解决方案
低价位、多功能、高效率,是我们追求的目标,也是我们选择解决方案的标准。经过多方面的考量,我们最终选择了软路由方案。所谓软路由,就是通过计算机配合软件形成的路由解决方案,依靠特定的软件完成路由器的功能。
然而,“普通PC+操作系统+路由软件”方案难以保证长时间无故障运行,最终我们采用了“工控机+RouterOS”方案。该方案既可降低构建VPN的成本,又可利用工控机所具备的服务器、路由器特性。原本价格不菲的VPN路由器设备就可用“工控机+RouterOS”来代替。
小知识:何为工控机?
工控机即工业控制计算机(IPC),是一种采用总线结构,对生产过程及其机电设备、工艺装备进行检测与控制的工具总称。它具有重要的计算机属性和特征,如:具有计算机CPU、硬盘、内存、外设及接口。
它可以作为一个工业控制器在工业环境中可靠运行。早在上世纪80年代初期,美国AD公司就推出了类似IPC的MAC-150,随后美国IBM公司正式推出工业个人计算机IBM7532。由于性能可靠、软件丰富、价格低廉,在工控机中异军突起,后来居上,应用日趋广泛。目前,IPC已被广泛应用于通讯、工业控制现场、路桥收费、医疗、环保以及人们生活的方方面面。
实现功能
支持TCP/IP、PPPoE、DHCP、ICMP、NAT、802.11a/b/g、PPTP、L2TP、IPsec协议;
支持带宽控制、VLAN功能;
内建DHCP、PPPoE和PPTP服务器,内置完整的防火墙设置功能,实现WEB认证管理网络功能;
支持UPnP、静态路由,支持VPN,支持端口映射、DMZ主机;
IP电话、异步Radius计费功能;
远程WinBox、WEB管理,telnet/ssh/serial管理员控制台;
配置文件的导入与导出功能,支持在线升级。
设备选型
硬件准备:公司总部采用两台FW-6750工控机互作备份,各分支机构各使用一台FW-6750。
软件准备:RouterOS
工控机可选择FW-6750,它是专为路由器、防火墙设计的一款基于X86架构的产品,与我们平时使用的电脑在结构上大致相同,采用19英寸1U 机架式结构,自带LCD,可方便查看当前工作状态。FW-6750在元器件选择、电路板设计、电源设计、通风散热设计、防电磁干扰设计、结构坚固度、标准机架安装等各个方面都针对企业进行设计,从而保证了稳定性和可靠性。
我们定制了五台FW-6750(见图),采购价格为每台8000元,仅为传统路由器的五分之一,具体配置如下:CPU为Mobile Intel Pentium Ⅲ-M 1.2MHz处理器、815EP主板、256MB SDRAM内存、1个10/100/1000Mbps以太网网口和4个10/100Mbps以太网网口、128MB DOM电子硬盘。该产品有一个空闲的PCI插槽,可选配语音卡,从而实现功能扩展。这样的配置对于路由器来说只能用强悍来形容,性能与稳定性也经过长时间高负荷的测试,结果令人满意。
在路由系统的选择上,我们选择了RouterOS。该系统号称ISP级别的路由系统,基于Linux内核构建,经过多次更新和改进,功能已非常完善,在无线、认证、策略路由、带宽控制、防火墙过滤和虚拟路由冗余等方面有着极其出色的表现。
为了保证网络的高可靠性,我们采用两台安装RouterOS的FW-6750作为公司总部的中心路由器,通过在两台中心路由器上运行VRRP(Virtual Router Redundancy Protocol,虚拟冗余路由协议)协议为用户提供一个唯一的默认网关。当任何一台中心路由器发生故障时,通过VRRP协议,另一台中心路由器立即接管所有的工作,基本实现了网络的高可靠性,彻底消除或部分消除了网络的单点故障。
硬件部分的准备工作已经完成了,接下来我们就得开始对工控机进行改造了。下一期,我们就将开始具体的改造工作,改造工作主要集中在安装RouterOS之后对Server端和客户端的改造,只要按照我们所介绍的步骤循序渐进即可。请关注下一期的精彩内容。