神州数码（中国）有限公司
密级：内部保密文件仅限内部使用
所级ARP网络及应用联调测试方案
（最新详细版）
文档编号：
DC-
文档名称：
联调方案
编写：
李雷
编写日期：
审核：
审核日期：
批准：
批准日期：
神州数码（中国）有限公司所级ARP网络（VPN）及应用联调测试方案
测试目的：
1、所级基建项目客户端需要访问院级系统。
2、所级ARP上线前保证所级ARP网络可用。
测试准备：
将ARP网络设备（安胜防火墙、交换机）全部加电启动。
确保物理网络畅通（网线等）。
确定ARP网络设备参数，如VPN内网及外网地址，ARP网关，DNS服务器地址等等。
确定所内网络类型
说明：所级的现有网络中的客户端地址可能会有三种情况
A、内网地址：例如：192.168.*.*或其他
B、外网地址：例如：159.226.*.*
C、ARP区地址：例如：172.31.*.*
本次测试内网地址客户端和外网地址客户端都必须分别进行测试，如果只有一种网络类型，则只测一种。ARP区地址段不用测试。
ARP网络说明：
中科院ARP项目的整体网络拓普结构（简图）如下：
网络情况详细说明:
ARP网络由院级和所级组成，在整体上构成ARP广域网，其中的应用服务器地址段为172.31.x.x，例如院级服务器的地址为172.31.0.*，数学所的服务器地址为172.31.2.*。
ARP网络与外网及所内其他网络之间通过防火墙阻隔，不直接与外网及其他网络直接相连。
在ARP网络内部，各个所及院级之间也通过防火墙阻隔，但已经开放可以互相访问。
所内的客户端可以分为三种类型
ARP区客户端：客户端在ARP网络内部，与ARP服务器具有相同地址段，即地址是172.31.*.*的。这种情况很少。
内网地址客户端：具有非ARP区内网地址，例如192.168.*.*
外网地址客户端：具有外网地址，例如159.226.*.*
ARP区客户端被认为可信任的，无需登录VPN可以直接访问所级及院级ARP应用。
非ARP区客户端包括内网地址客户端和外网地址客户端，需要通过VPN客户端（windows软件）登录到本所的VPN防火墙，建立与本所ARP网络的加密隧道后访问所级和院级ARP应用。
各个所内部配备专为ARP应用的DNS服务器，负责解析ARP应用的域名及地址，
各别所没有专门采购DNS服务器，可以利用原有的其他DNS服务器。
目前所级客户端通过登录院级VPN访问院级系统，但是这是非正常方式，马上将被禁止，本次测试的目的是测试登录本所VPN的连通情况。
测试目的说明：
由于基建项目部署在院级，而且下周就要进行全院的测试，所以要求所有所的客户端都要能够访问院级系统，连接的方式就是登录本所的VPN。
本次测试不允许登录院级VPN，原因是安全问题及流量问题。
本次测试也是为后期的所级ARP系统上线作好准备。
测试范围
内网地址客户端：如果有必须需测试1-2台
外网地址客户端：如果有必须需测试1-2台
ARP区客户端：无需测试
测试步骤
确定本所安胜VPN防火墙的配置信息
所有所的防火墙应当是已经配置好的，配置信息应当在神码公司前期硬件实施过程中移交给了所IT负责人，如果没有请察看安胜防火墙配置文档或直接联系厂商解决。
需要的配置信息有：
1、VPN防火墙的外网地址，此地址即是VPN客户端登录的地址。
2、VPN防火墙的内网地址。
确定并配置本所DNS服务器
确定本所ARP专用或公用的DNS服务器地址。
保证客户端能够使用此DNS服务器
在DNS服务器加两条域名解析：
172.31.0.6acportal1.arp
172.31.0.10acapp1.arp
如果确实没有DNS服务器，就需要在每台客户机的C:\WINNT\system32\drivers\etc\hosts文件中加入以上两条信息.
在所有需要测试的客户端上安装VPN客户端软件
见《VPN客户端安装》
保证所有需要测试的客户端都能够访问外网（internet）
因为要登录的VPN防火墙地址是外网地址，因此必须是能够访问外网是测试的前提。

测试内网地址客户端
一、点击“安胜VPN客户端”执行程序，进入如下界面：