2020-02-19 11:37:13
來源:MOUU網絡
前言
在武漢爆發新型冠狀病毒疫情的背景下,各公司都已經啟動了節后在家辦公的機制,中國正上演一場全球最大規模的在家遠程辦公,同舟共濟戰疫情。為了使遠程辦公的員工安全、便捷地訪問公司內網資源,使用VPN技術是最合適的選擇。
什么是VPN技術?VPN屬于遠程訪問技術,簡單地說就是利用公用網絡架設專用網絡。遠程辦公的員工可以通過VPN在互聯網上架設一條安全的通道到公司的內網并訪問公司資源。
隨著VPN技術的發展,當前存在許多不同的VPN技術,如果按照業務用途可以將VPN分為“站點到站點VPN”和“端到站點VPN”兩類。站點到站點VPN常用于兩個公司之間的網絡互通,典型的場景是總部和分支之間,比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站點VPN常用于遠程辦公人員和公司網絡互通,比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文從端到站點VPN的概念簡述、技術選擇、部署與使用這三面進行展開講解,希望能夠幫助各位讀者深入了解到如何部署遠程辦公網絡。
MOUU支持VPN的設備有很多種,不同設備對各VPN技術的支持情況略有差異,本文以MOUU網關設備為例給大家講解VPN的選擇與部署,如讀者使用其他設備歡迎聯系MOUU工程師或到MOUU官網咨詢,感謝。
▲ 圖1:常見企業VPN接入拓撲模型
端到站點VPN技術簡述
PPTP最早由微軟等廠商主導開發的一種點對點二層隧道技術,PPTP通信需要建立兩個連接,控制連接和隧道連接,控制連接使用TCP協議(TCP端口號1723)創建控制通道來發送控制命令,隧道連接利用GRE通道(IP協議號47)來封裝PPP數據包來發送數據。
▲ 圖2:PPTP報文格式(控制報文)
▲ 圖3:PPTP報文格式(數據報文)
PPTP VPN技術當前存在一些不足,首先PPTP VPN只能在IP網絡上使用;其次因為正常情況下GRE報文無法通過NAT,使得NAT設備需要支持應用層網關(Application Layer Gateway,ALG)功能才能部署;最后PPTP VPN對傳輸的數據不加密,安全性較低,所以微軟已經不再建議使用這個協議。
ALG:普通NAT實現了對UDP或TCP報文中的IP地址及端口轉換,但對應用層數據載荷中的字段無能為力,導致一些協議不能被NAT,比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技術能對多通道協議進行應用層報文信息的解析和地址轉換,將載荷中需要進行地址轉換的IP地址和端口或者需特殊處理的字段進行相應的轉換和處理,從此保證以上協議NAT后的正確性。
2. L2TP VPN技術和L2TP over IPSec VPN技術
L2TP和PPTP相同也提供一種跨越原始數據網絡(如IP網絡)構建二層隧道的機制,L2TP結合了PPTP和L2F這兩種協議的優點。關于L2TP和PPTP作者經常被問到一個問題,PPTP和L2TP是否是同一個技術、兩者有什么不同?其實它們是實現相同功能的不同技術,都是作為隧道技術實現對PPP數據幀的封裝,總結來說有如下三點差異:
L2TP通信使用的控制連接和隧道連接都是UDP協議(UDP端口號1701),使得L2TP比PPTP能更好地穿越NAT設備
L2TP支持對隧道的驗證及包頭壓縮,而PPTP不支持
L2TP支持在IP網絡、以太網等多協議之上傳輸,而PPTP只支持在IP網絡中傳輸
L2TP VPN傳輸的數據仍未進行加密,為解決L2TP VPN的安全性問題,L2TP over IPSec VPN技術結合了L2TP和IPSec兩種技術的優勢,先用L2TP封裝再用IPSec封裝,通過L2TP實現用戶驗證和地址分配,并利用IPSec保障數據的安全性。
▲ 圖4:L2TP報文格式(控制報文和數據報文相同格式)
▲ 圖5:L2TP over IPSec報文格式
3. SSL VPN技術
SSL VPN是基于SSL協議建立遠程安全訪問通道的VPN技術,SSL協議建立好底層的VPN隧道,交互的數據封裝在隧道中傳輸。
SSL VPN相比于另外三種VPN技術有如下四點優勢:
客戶端部署簡單:用戶如果使用WEB方式接入SSL VPN,終端無需進行配置,可直接使用瀏覽器訪問HTTP資源;如果使用安全隧道方式接入SSL VPN,只需第一次使用時安裝SSL VPN客戶端,后續直接使用客戶端登錄即可
精準的用戶權限控制:可對使用SSL VPN的不同用戶或用戶組授權基于IP、協議、端口等分配不同資源權限
部署方便靈活:相比于PPTP VPN和L2TP VPN只能使用協議默認的TCP 1723和UDP 1701端口,SSL VPN可以使用任意端口,且因為SSL協議位于傳輸層與應用層之間不會改變IP報文和TCP報文,所以使得SSL VPN可以靈活穿透NAT設備
較高的安全性:SSL VPN使用加密和簽名技術,保證了傳輸數據的安全性和完整性,并支持使用數字證書對身份源進行驗證,可實現對傳輸數據進行加密、完整性校驗和身份源驗證三重安全保護
端到站點VPN技術選擇
端到站點VPN技術看起來很多,其實選擇一個適合自己企業的VPN技術并不難。讀者可從安全性、使用VPN的終端類型、部署網絡環境這三個角度進行判斷便能快速確定出適用的VPN技術。
首先,要關注使用VPN隧道傳輸的數據是否需要加密。其次,要關注使用VPN的終端類型,不同的VPN技術當前支持的終端類型有所不同。最后,要關注VPN設備是作為出口NAT設備還是穿透出口NAT設備,如圖6所示。
▲ 圖6:VPN設備部署方式模型圖
端到站點VPN技術部署與使用
本節主要解惑兩個問題:
1、 如何在VPN設備上部署VPN技術
2、 如何在終端上進行VPN配置
本文重點為大家介紹當前推薦使用的兩種VPN技術,L2TP over IPSec VPN和SSL VPN的配置方法。
VPN部署步驟
VPN設備部署在出口NAT設備之下場景,配置時通常有如下三個步驟:
1) 出口NAT設備進行端口映射,下表列出各VPN技術使用的端口以供參考
2) 添加路由,保證VPN網段的內網可達
3) VPN設備進行VPN配置
MOUU網關SSL VPN在默認情況下使用TCP443端口和UDP443端口,端口號可修改。其中TCP端口用于提供HTTPS服務,如用戶訪問SSL VPN登錄頁面,而UDP端口用于提供安全隧道服務,如隧道協商、IP地址分配等。所以如果只使用SSL VPN的WEB接入時僅映射TCP端口即可,如果使用SSL VPN的安全隧道接入(SSL VPN客戶端接入)時需同時映射TCP和UDP端口。
VPN設備作為出口NAT設備場景配置時只需配置以上步驟二和步驟三即可。
▲ 表2:VPN技術使用的端口情況
VPN設備配置及使用
1) 登錄設備的WEB界面,單擊“網絡”“VPN設置”進入VPN配置界面,單擊“我在總部”下面的“開始配置”
▲ 圖7:MOUU網關設備VPN配置界面
2) 隨后進入VPN配置向導界面,單擊“L2TP IPSec”。沒有經驗的使用者可以根據自身需求單擊“隧道需加密”“支持IOS終端”“支持安卓終端”“支持WIN使用”其中的一項或多項,設備會推薦最合適的VPN類型
▲ 圖8:VPN類型選擇配置界面
3) 在進行VPN基本信息的配置時需要注意,客戶端使用地址要確保未在局域網中使用,否則會造成通信異常,此外建議DNS服務器配置成和局域網用戶相同的DNS避免資源訪問異常
▲ 圖9:VPN基礎配置界面
4) 對于VPN用戶身份源,可以使用“本地賬號”或“Radius服務器賬號”,讀者可以根據企業自身情況靈活選擇
▲ 圖10:VPN用戶賬號配置界面
5) 在配置IPSec的IKE策略和轉換集時需要注意,要提前確認好VPN終端支持的IPSec協商參數,確保所有VPN終端都可以和VPN設備IPSec協商成功,如果無法確認可以使用以下的協商參數(IKE策略:DES-SHA-Group1,轉換集:ESP-DES、ESP-SHA-HMAC),目前大多數主流的終端設備都支持該協商參數
▲ 圖11:L2TP IPSec參數配置界面
6) 在L2TP over IPSec VPN配置成功界面有終端配置指南的鏈接,網絡管理員可將鏈接同步給VPN使用者,便于指導VPN使用者如何在終端上進行VPN配置
▲ 圖12:VPN配置完成界面
2. SSL VPN
1) 登錄設備的WEB界面,單擊“網絡”“SSLVPN設置”進入SSL VPN配置頁面,單擊“開始配置”
▲ 圖13:MOUU網關設備SSL VPN配置界面
2) 隨后進入SSL VPN配置向導界面,單擊“典型應用”,該部署模式適用于終端遠程辦公場景
▲ 圖14:SSL VPN部署模式配置界面
3) 在進行SSL VPN基本信息的配置時,可自行定義SSL VPN服務端口,此外建議DNS服務器配置成和局域網用戶相同的DNS避免有些資源訪問異常。對于SSL VPN用戶認證方式,可以使用“本地認證”、“Radius服務器”和“優先本地認證”三種方式,讀者可以根據企業自身情況靈活選擇
▲ 圖15:SSL VPN基本配置界面
4) 在進行SSL VPN客戶端網段的配置時需要注意,客戶端使用地址要確保未在局域網中使用,否則會造成通信異常
▲ 圖16:SSL VPN接入資源配置界面
5) SSL VPN可對不同用戶或用戶組授權不同資源,在用戶登錄SSL VPN后SSL VPN設備就會把授權的資源下發到終端(SSL VPN設備以下發路由的形式下發到終端的路由表中)。網關默認有兩個資源“所有網絡”和“局域網”(當給用戶授權“所有網絡”SSL VPN設備會給終端下發一條0.0.0.0/0下一跳是SSL VPN設備的默認路由,當給用戶授權“局域網”SSL VPN設備會給終端下發10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條下一跳是SSL VPN設備的路由)讀者可根據網絡實際環境基于IP、協議、端口定義不同的資源授權給用戶。用戶登錄SSL VPN成功后可以通過查看本機的路由表查看到下發的路由(Windows終端在CMD上通過route print命令可以查看本機路由表)。
▲ 圖17:SSL VPN用戶資源授權配置界面
6) 在SSL VPN配置成功界面會顯示SSL VPN地址,網絡管理員將SSL VPN地址同步給VPN使用者,VPN使用者安裝好SSL VPN客戶端輸入SSL VPN地址完成SSL VPN接入
▲ 圖18:SSL VPN配置完成界面
7) VPN使用者可以通過“WEB接入”或“安全隧道接入”的方式接入SSL VPN。需要注意的是WEB接入的資源容易受到網站的限制,推薦讀者使用“安全隧道接入”方式
MOUU網關11.1(6)B9及以上版本除部分高端型號(EG2000UE/2000XE/3000XE)外其他型號已不再支持WEB接入方式
VPN用戶使用WEB瀏覽器登錄,登錄成功后可以使用瀏覽器直接訪問網絡管理員提前設置好的基于HTTP的應用程序
▲ 圖19:MOUU網關設備SSLVPN WEB登錄頁面
▲ 圖20:WEB接入后可訪問快捷資源或其他網絡權限范圍內的資源
VPN用戶使用SSL VPN客戶端登錄,登錄成功后從VPN設備獲取一個虛擬IP地址用于與公司內網資源通信,實現遠程接入用戶與內網服務器,像在局域網一樣在網絡層(即IP層)之上的安全通信,包括TCP、UDP、ICMP類型的應用等
▲ 圖21:MOUU網關SSLVPN客戶端登錄頁面
8) VPN使用者可通過以下兩種方式獲取SSL VPN客戶端:
a) 網絡管理員登錄MOUU官網(具體地址:http://www.ruijie.com.cn/fw/wt/82396/)下載SSL VPN客戶端同步給VPN使用者
b) VPN使用者使用瀏覽器登錄SSL VPN地址,在WEB接入界面首頁可下載SSL VPN客戶端
▲ 圖22:VPN使用者可通過瀏覽器登錄SSL VPN地址下載SSL VPN客戶端
