前言

在武漢爆發(fā)新型冠狀病毒疫情的背景下，各公司都已經(jīng)啟動了節(jié)后在家辦公的機(jī)制，中國正上演一場全球最大規(guī)模的在家遠(yuǎn)程辦公，同舟共濟(jì)戰(zhàn)疫情。為了使遠(yuǎn)程辦公的員工安全、便捷地訪問公司內(nèi)網(wǎng)資源，使用VPN技術(shù)是最合適的選擇。

什么是VPN技術(shù)？VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。遠(yuǎn)程辦公的員工可以通過VPN在互聯(lián)網(wǎng)上架設(shè)一條安全的通道到公司的內(nèi)網(wǎng)并訪問公司資源。

隨著VPN技術(shù)的發(fā)展，當(dāng)前存在許多不同的VPN技術(shù)，如果按照業(yè)務(wù)用途可以將VPN分為“站點到站點VPN”和“端到站點VPN”兩類。站點到站點VPN常用于兩個公司之間的網(wǎng)絡(luò)互通，典型的場景是總部和分支之間，比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站點VPN常用于遠(yuǎn)程辦公人員和公司網(wǎng)絡(luò)互通，比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文從端到站點VPN的概念簡述、技術(shù)選擇、部署與使用這三面進(jìn)行展開講解，希望能夠幫助各位讀者深入了解到如何部署遠(yuǎn)程辦公網(wǎng)絡(luò)。

銳捷支持VPN的設(shè)備有很多種，不同設(shè)備對各VPN技術(shù)的支持情況略有差異，本文以銳捷網(wǎng)關(guān)設(shè)備為例給大家講解VPN的選擇與部署，如讀者使用其他設(shè)備歡迎聯(lián)系銳捷工程師或到銳捷官網(wǎng)咨詢，感謝。

▲ 圖1：常見企業(yè)VPN接入拓?fù)淠Ｐ?/p>

端到站點VPN技術(shù)簡述

1、PPTP VPN技術(shù)

PPTP最早由微軟等廠商主導(dǎo)開發(fā)的一種點對點二層隧道技術(shù)，PPTP通信需要建立兩個連接，控制連接和隧道連接，控制連接使用TCP協(xié)議（TCP端口號1723）創(chuàng)建控制通道來發(fā)送控制命令，隧道連接利用GRE通道（IP協(xié)議號47）來封裝PPP數(shù)據(jù)包來發(fā)送數(shù)據(jù)。

▲ 圖2：PPTP報文格式（控制報文）

▲ 圖3：PPTP報文格式（數(shù)據(jù)報文）

PPTP VPN技術(shù)當(dāng)前存在一些不足，首先PPTP VPN只能在IP網(wǎng)絡(luò)上使用；其次因為正常情況下GRE報文無法通過NAT，使得NAT設(shè)備需要支持應(yīng)用層網(wǎng)關(guān)（Application Layer Gateway，ALG）功能才能部署；最后PPTP VPN對傳輸?shù)臄?shù)據(jù)不加密，安全性較低，所以微軟已經(jīng)不再建議使用這個協(xié)議。

ALG：普通NAT實現(xiàn)了對UDP或TCP報文中的IP地址及端口轉(zhuǎn)換，但對應(yīng)用層數(shù)據(jù)載荷中的字段無能為力，導(dǎo)致一些協(xié)議不能被NAT，比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技術(shù)能對多通道協(xié)議進(jìn)行應(yīng)用層報文信息的解析和地址轉(zhuǎn)換，將載荷中需要進(jìn)行地址轉(zhuǎn)換的IP地址和端口或者需特殊處理的字段進(jìn)行相應(yīng)的轉(zhuǎn)換和處理，從此保證以上協(xié)議NAT后的正確性。

2、L2TP VPN技術(shù)和L2TP over IPSec VPN技術(shù)

L2TP和PPTP相同也提供一種跨越原始數(shù)據(jù)網(wǎng)絡(luò)（如IP網(wǎng)絡(luò)）構(gòu)建二層隧道的機(jī)制，L2TP結(jié)合了PPTP和L2F這兩種協(xié)議的優(yōu)點。關(guān)于L2TP和PPTP作者經(jīng)常被問到一個問題，PPTP和L2TP是否是同一個技術(shù)、兩者有什么不同？其實它們是實現(xiàn)相同功能的不同技術(shù)，都是作為隧道技術(shù)實現(xiàn)對PPP數(shù)據(jù)幀的封裝，總結(jié)來說有如下三點差異：

a、L2TP通信使用的控制連接和隧道連接都是UDP協(xié)議（UDP端口號1701），使得L2TP比PPTP能更好地穿越NAT設(shè)備

b、L2TP支持對隧道的驗證及包頭壓縮，而PPTP不支持

c、L2TP支持在IP網(wǎng)絡(luò)、以太網(wǎng)等多協(xié)議之上傳輸，而PPTP只支持在IP網(wǎng)絡(luò)中傳輸

L2TP VPN傳輸?shù)臄?shù)據(jù)仍未進(jìn)行加密，為解決L2TP VPN的安全性問題，L2TP over IPSec VPN技術(shù)結(jié)合了L2TP和IPSec兩種技術(shù)的優(yōu)勢，先用L2TP封裝再用IPSec封裝，通過L2TP實現(xiàn)用戶驗證和地址分配，并利用IPSec保障數(shù)據(jù)的安全性。

▲ 圖4：L2TP報文格式（控制報文和數(shù)據(jù)報文相同格式）

▲ 圖5：L2TP over IPSec報文格式

3、SSL VPN技術(shù)

SSL VPN是基于SSL協(xié)議建立遠(yuǎn)程安全訪問通道的VPN技術(shù)，SSL協(xié)議建立好底層的VPN隧道，交互的數(shù)據(jù)封裝在隧道中傳輸。

SSL VPN相比于另外三種VPN技術(shù)有如下四點優(yōu)勢：

a、客戶端部署簡單：用戶如果使用WEB方式接入SSL VPN，終端無需進(jìn)行配置，可直接使用瀏覽器訪問HTTP資源；如果使用安全隧道方式接入SSL VPN，只需第一次使用時安裝SSL VPN客戶端，后續(xù)直接使用客戶端登錄即可

b、精準(zhǔn)的用戶權(quán)限控制：可對使用SSL VPN的不同用戶或用戶組授權(quán)基于IP、協(xié)議、端口等分配不同資源權(quán)限

c、部署方便靈活：相比于PPTP VPN和L2TP VPN只能使用協(xié)議默認(rèn)的TCP 1723和UDP 1701端口，SSL VPN可以使用任意端口，且因為SSL協(xié)議位于傳輸層與應(yīng)用層之間不會改變IP報文和TCP報文，所以使得SSL VPN可以靈活穿透NAT設(shè)備

d、較高的安全性：SSL VPN使用加密和簽名技術(shù)，保證了傳輸數(shù)據(jù)的安全性和完整性，并支持使用數(shù)字證書對身份源進(jìn)行驗證，可實現(xiàn)對傳輸數(shù)據(jù)進(jìn)行加密、完整性校驗和身份源驗證三重安全保護(hù)

端到站點VPN技術(shù)選擇

端到站點VPN技術(shù)看起來很多，其實選擇一個適合自己企業(yè)的VPN技術(shù)并不難。讀者可從安全性、使用VPN的終端類型、部署網(wǎng)絡(luò)環(huán)境這三個角度進(jìn)行判斷便能快速確定出適用的VPN技術(shù)。

首先，要關(guān)注使用VPN隧道傳輸?shù)臄?shù)據(jù)是否需要加密。其次，要關(guān)注使用VPN的終端類型，不同的VPN技術(shù)當(dāng)前支持的終端類型有所不同。最后，要關(guān)注VPN設(shè)備是作為出口NAT設(shè)備還是穿透出口NAT設(shè)備，如圖6所示。

▲ 圖6：VPN設(shè)備部署方式模型圖

▲ 表1：VPN技術(shù)支持情況一覽表

端到站點VPN技術(shù)部署與使用

本節(jié)主要解惑兩個問題：

1、 如何在VPN設(shè)備上部署VPN技術(shù)

2、 如何在終端上進(jìn)行VPN配置

本文重點為大家介紹當(dāng)前推薦使用的兩種VPN技術(shù)，L2TP over IPSec VPN和SSL VPN的配置方法。

VPN部署步驟

VPN設(shè)備部署在出口NAT設(shè)備之下場景，配置時通常有如下三個步驟：

1)  出口NAT設(shè)備進(jìn)行端口映射,下表列出各VPN技術(shù)使用的端口以供參考

2)  添加路由，保證VPN網(wǎng)段的內(nèi)網(wǎng)可達(dá)

3)  VPN設(shè)備進(jìn)行VPN配置

銳捷網(wǎng)關(guān)SSL VPN在默認(rèn)情況下使用TCP443端口和UDP443端口，端口號可修改。其中TCP端口用于提供HTTPS服務(wù)，如用戶訪問SSL VPN登錄頁面，而UDP端口用于提供安全隧道服務(wù),如隧道協(xié)商、IP地址分配等。所以如果只使用SSL VPN的WEB接入時僅映射TCP端口即可，如果使用SSL VPN的安全隧道接入（SSL VPN客戶端接入）時需同時映射TCP和UDP端口。

VPN設(shè)備作為出口NAT設(shè)備場景配置時只需配置以上步驟二和步驟三即可。

▲ 表2：VPN技術(shù)使用的端口情況

VPN設(shè)備配置及使用

1、L2TP over IPSec VPN

1)   登錄設(shè)備的WEB界面，單擊“網(wǎng)絡(luò)”“VPN設(shè)置”進(jìn)入VPN配置界面，單擊“我在總部”下面的“開始配置”

▲ 圖7：銳捷網(wǎng)關(guān)設(shè)備VPN配置界面

2)   隨后進(jìn)入VPN配置向?qū)Ы缑妫瑔螕?ldquo;L2TP IPSec”。沒有經(jīng)驗的使用者可以根據(jù)自身需求單擊“隧道需加密”“支持IOS終端”“支持安卓終端”“支持WIN使用”其中的一項或多項，設(shè)備會推薦最合適的VPN類型

▲ 圖8：VPN類型選擇配置界面

3)   在進(jìn)行VPN基本信息的配置時需要注意，客戶端使用地址要確保未在局域網(wǎng)中使用，否則會造成通信異常，此外建議DNS服務(wù)器配置成和局域網(wǎng)用戶相同的DNS避免資源訪問異常

▲ 圖9：VPN基礎(chǔ)配置界面

4)   對于VPN用戶身份源，可以使用“本地賬號”或“Radius服務(wù)器賬號”，讀者可以根據(jù)企業(yè)自身情況靈活選擇

▲ 圖10：VPN用戶賬號配置界面

5)   在配置IPSec的IKE策略和轉(zhuǎn)換集時需要注意，要提前確認(rèn)好VPN終端支持的IPSec協(xié)商參數(shù)，確保所有VPN終端都可以和VPN設(shè)備IPSec協(xié)商成功，如果無法確認(rèn)可以使用以下的協(xié)商參數(shù)（IKE策略：DES-SHA-Group1，轉(zhuǎn)換集：ESP-DES、ESP-SHA-HMAC），目前大多數(shù)主流的終端設(shè)備都支持該協(xié)商參數(shù)

▲ 圖11：L2TP IPSec參數(shù)配置界面

6)   在L2TP over IPSec VPN配置成功界面有終端配置指南的鏈接，網(wǎng)絡(luò)管理員可將鏈接同步給VPN使用者，便于指導(dǎo)VPN使用者如何在終端上進(jìn)行VPN配置

▲ 圖12：VPN配置完成界面

2、SSL VPN

1)   登錄設(shè)備的WEB界面，單擊“網(wǎng)絡(luò)”“SSLVPN設(shè)置”進(jìn)入SSL VPN配置頁面，單擊“開始配置”

▲ 圖13：銳捷網(wǎng)關(guān)設(shè)備SSL VPN配置界面

2)   隨后進(jìn)入SSL VPN配置向?qū)Ы缑妫瑔螕?ldquo;典型應(yīng)用”，該部署模式適用于終端遠(yuǎn)程辦公場景

▲ 圖14：SSL VPN部署模式配置界面

3)   在進(jìn)行SSL VPN基本信息的配置時，可自行定義SSL VPN服務(wù)端口，此外建議DNS服務(wù)器配置成和局域網(wǎng)用戶相同的DNS避免有些資源訪問異常。對于SSL VPN用戶認(rèn)證方式，可以使用“本地認(rèn)證”、“Radius服務(wù)器”和“優(yōu)先本地認(rèn)證”三種方式，讀者可以根據(jù)企業(yè)自身情況靈活選擇

▲ 圖15：SSL VPN基本配置界面

4)   在進(jìn)行SSL VPN客戶端網(wǎng)段的配置時需要注意，客戶端使用地址要確保未在局域網(wǎng)中使用，否則會造成通信異常

▲ 圖16：SSL VPN接入資源配置界面

5)   SSL VPN可對不同用戶或用戶組授權(quán)不同資源，在用戶登錄SSL VPN后SSL VPN設(shè)備就會把授權(quán)的資源下發(fā)到終端（SSL VPN設(shè)備以下發(fā)路由的形式下發(fā)到終端的路由表中）。網(wǎng)關(guān)默認(rèn)有兩個資源“所有網(wǎng)絡(luò)”和“局域網(wǎng)”（當(dāng)給用戶授權(quán)“所有網(wǎng)絡(luò)”SSL VPN設(shè)備會給終端下發(fā)一條0.0.0.0/0下一跳是SSL VPN設(shè)備的默認(rèn)路由，當(dāng)給用戶授權(quán)“局域網(wǎng)”SSL VPN設(shè)備會給終端下發(fā)10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條下一跳是SSL VPN設(shè)備的路由）讀者可根據(jù)網(wǎng)絡(luò)實際環(huán)境基于IP、協(xié)議、端口定義不同的資源授權(quán)給用戶。用戶登錄SSL VPN成功后可以通過查看本機(jī)的路由表查看到下發(fā)的路由（Windows終端在CMD上通過route print命令可以查看本機(jī)路由表）。

▲ 圖17：SSL VPN用戶資源授權(quán)配置界面

6)   在SSL VPN配置成功界面會顯示SSL VPN地址，網(wǎng)絡(luò)管理員將SSL VPN地址同步給VPN使用者，VPN使用者安裝好SSL VPN客戶端輸入SSL VPN地址完成SSL VPN接入

▲ 圖18：SSL VPN配置完成界面

7)   VPN使用者可以通過“WEB接入”或“安全隧道接入”的方式接入SSL VPN。需要注意的是WEB接入的資源容易受到網(wǎng)站的限制，推薦讀者使用“安全隧道接入”方式

銳捷網(wǎng)關(guān)11.1（6）B9及以上版本除部分高端型號（EG2000UE/2000XE/3000XE）外其他型號已不再支持WEB接入方式

a) WEB接入

VPN用戶使用WEB瀏覽器登錄，登錄成功后可以使用瀏覽器直接訪問網(wǎng)絡(luò)管理員提前設(shè)置好的基于HTTP的應(yīng)用程序

▲ 圖19：銳捷網(wǎng)關(guān)設(shè)備SSLVPN WEB登錄頁面

▲ 圖20：WEB接入后可訪問快捷資源或其他網(wǎng)絡(luò)權(quán)限范圍內(nèi)的資源

b) 安全隧道接入

VPN用戶使用SSL VPN客戶端登錄，登錄成功后從VPN設(shè)備獲取一個虛擬IP地址用于與公司內(nèi)網(wǎng)資源通信，實現(xiàn)遠(yuǎn)程接入用戶與內(nèi)網(wǎng)服務(wù)器，像在局域網(wǎng)一樣在網(wǎng)絡(luò)層（即IP層）之上的安全通信，包括TCP、UDP、ICMP類型的應(yīng)用等

▲ 圖21：銳捷網(wǎng)關(guān)SSLVPN客戶端登錄頁面

8)   VPN使用者可通過以下兩種方式獲取SSL VPN客戶端：

a)   網(wǎng)絡(luò)管理員登錄銳捷官網(wǎng)（具體地址：http://www.czab.cn/fw/wt/82396/）下載SSL VPN客戶端同步給VPN使用者

b)   VPN使用者使用瀏覽器登錄SSL VPN地址，在WEB接入界面首頁可下載SSL VPN客戶端

▲ 圖22：VPN使用者可通過瀏覽器登錄SSL VPN地址下載SSL VPN客戶端

 

 

相關(guān)推薦：

• 站點間IPSec VPN網(wǎng)絡(luò)技術(shù)深度解析
• 企業(yè)辦公網(wǎng)接入認(rèn)證技術(shù)詳解
• 居安思危，主動革新 ——淺析園區(qū)辦公網(wǎng)絡(luò)的建設(shè)