技术盛宴丨VPN技术浅谈之如何部署远程办公网络

2020-02-19 11:37:13

来源:MOUU网络

前言

在武汉爆发新型冠状病毒疫情的背景下,各公司都已经启动了节后在家办公的机制,中国正上演一场全球最大规模的在家远程办公,同舟共济战疫情。为了使远程办公的员工安全、便捷地访问公司内网资源,使用VPN技术是最合适的选择。

什么是VPN技术?VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。远程办公的员工可以通过VPN在互联网上架设一条安全的通道到公司的内网并访问公司资源。

随着VPN技术的发展,当前存在许多不同的VPN技术,如果按照业务用途可以将VPN分为“站点到站点VPN”和“端到站点VPN”两类。站点到站点VPN常用于两个公司之间的网络互通,典型的场景是总部和分支之间,比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站点VPN常用于远程办公人员和公司网络互通,比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文从端到站点VPN的概念简述、技术选择、部署与使用这三面进行展开讲解,希望能够帮助各位读者深入了解到如何部署远程办公网络。

MOUU支持VPN的设备有很多种,不同设备对各VPN技术的支持情况略有差异,本文以MOUU网关设备为例给大家讲解VPN的选择与部署,如读者使用其他设备欢迎联系MOUU工程师或到MOUU官网咨询,感谢。

▲ 图1:常见企业VPN接入拓扑模型

端到站点VPN技术简述

1. PPTP VPN技术

PPTP最早由微软等厂商主导开发的一种点对点二层隧道技术,PPTP通信需要建立两个连接,控制连接和隧道连接,控制连接使用TCP协议(TCP端口号1723)创建控制通道来发送控制命令,隧道连接利用GRE通道(IP协议号47)来封装PPP数据包来发送数据。

▲ 图2:PPTP报文格式(控制报文)

▲ 图3:PPTP报文格式(数据报文)

PPTP VPN技术当前存在一些不足,首先PPTP VPN只能在IP网络上使用;其次因为正常情况下GRE报文无法通过NAT,使得NAT设备需要支持应用层网关(Application Layer Gateway,ALG)功能才能部署;最后PPTP VPN对传输的数据不加密,安全性较低,所以微软已经不再建议使用这个协议。

ALG:普通NAT实现了对UDP或TCP报文中的IP地址及端口转换,但对应用层数据载荷中的字段无能为力,导致一些协议不能被NAT,比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从此保证以上协议NAT后的正确性。

2. L2TP VPN技术和L2TP over IPSec VPN技术

L2TP和PPTP相同也提供一种跨越原始数据网络(如IP网络)构建二层隧道的机制,L2TP结合了PPTP和L2F这两种协议的优点。关于L2TP和PPTP作者经常被问到一个问题,PPTP和L2TP是否是同一个技术、两者有什么不同?其实它们是实现相同功能的不同技术,都是作为隧道技术实现对PPP数据帧的封装,总结来说有如下三点差异:

L2TP通信使用的控制连接和隧道连接都是UDP协议(UDP端口号1701),使得L2TP比PPTP能更好地穿越NAT设备

L2TP支持对隧道的验证及包头压缩,而PPTP不支持

L2TP支持在IP网络、以太网等多协议之上传输,而PPTP只支持在IP网络中传输

L2TP VPN传输的数据仍未进行加密,为解决L2TP VPN的安全性问题,L2TP over IPSec VPN技术结合了L2TP和IPSec两种技术的优势,先用L2TP封装再用IPSec封装,通过L2TP实现用户验证和地址分配,并利用IPSec保障数据的安全性。

▲ 图4:L2TP报文格式(控制报文和数据报文相同格式)

▲ 图5:L2TP over IPSec报文格式

3. SSL VPN技术

SSL VPN是基于SSL协议建立远程安全访问通道的VPN技术,SSL协议建立好底层的VPN隧道,交互的数据封装在隧道中传输。

SSL VPN相比于另外三种VPN技术有如下四点优势:

客户端部署简单:用户如果使用WEB方式接入SSL VPN,终端无需进行配置,可直接使用浏览器访问HTTP资源;如果使用安全隧道方式接入SSL VPN,只需第一次使用时安装SSL VPN客户端,后续直接使用客户端登录即可

精准的用户权限控制:可对使用SSL VPN的不同用户或用户组授权基于IP、协议、端口等分配不同资源权限

部署方便灵活:相比于PPTP VPN和L2TP VPN只能使用协议默认的TCP 1723和UDP 1701端口,SSL VPN可以使用任意端口,且因为SSL协议位于传输层与应用层之间不会改变IP报文和TCP报文,所以使得SSL VPN可以灵活穿透NAT设备

较高的安全性:SSL VPN使用加密和签名技术,保证了传输数据的安全性和完整性,并支持使用数字证书对身份源进行验证,可实现对传输数据进行加密、完整性校验和身份源验证三重安全保护

端到站点VPN技术选择

端到站点VPN技术看起来很多,其实选择一个适合自己企业的VPN技术并不难。读者可从安全性、使用VPN的终端类型、部署网络环境这三个角度进行判断便能快速确定出适用的VPN技术。

首先,要关注使用VPN隧道传输的数据是否需要加密。其次,要关注使用VPN的终端类型,不同的VPN技术当前支持的终端类型有所不同。最后,要关注VPN设备是作为出口NAT设备还是穿透出口NAT设备,如图6所示。

▲ 图6:VPN设备部署方式模型图

▲ 表1:VPN技术支持情况一览表

端到站点VPN技术部署与使用

本节主要解惑两个问题:

1、 如何在VPN设备上部署VPN技术

2、 如何在终端上进行VPN配置

本文重点为大家介绍当前推荐使用的两种VPN技术,L2TP over IPSec VPN和SSL VPN的配置方法。

VPN部署步骤

VPN设备部署在出口NAT设备之下场景,配置时通常有如下三个步骤:

1)  出口NAT设备进行端口映射,下表列出各VPN技术使用的端口以供参考

2)  添加路由,保证VPN网段的内网可达

3)  VPN设备进行VPN配置

MOUU网关SSL VPN在默认情况下使用TCP443端口和UDP443端口,端口号可修改。其中TCP端口用于提供HTTPS服务,如用户访问SSL VPN登录页面,而UDP端口用于提供安全隧道服务,如隧道协商、IP地址分配等。所以如果只使用SSL VPN的WEB接入时仅映射TCP端口即可,如果使用SSL VPN的安全隧道接入(SSL VPN客户端接入)时需同时映射TCP和UDP端口。

VPN设备作为出口NAT设备场景配置时只需配置以上步骤二和步骤三即可。

▲ 表2:VPN技术使用的端口情况

VPN设备配置及使用

1. L2TP over IPSec VPN

1)   登录设备的WEB界面,单击“网络”“VPN设置”进入VPN配置界面,单击“我在总部”下面的“开始配置”

▲ 图7:MOUU网关设备VPN配置界面

2)   随后进入VPN配置向导界面,单击“L2TP IPSec”。没有经验的使用者可以根据自身需求单击“隧道需加密”“支持IOS终端”“支持安卓终端”“支持WIN使用”其中的一项或多项,设备会推荐最合适的VPN类型

▲ 图8:VPN类型选择配置界面

3)   在进行VPN基本信息的配置时需要注意,客户端使用地址要确保未在局域网中使用,否则会造成通信异常,此外建议DNS服务器配置成和局域网用户相同的DNS避免资源访问异常

▲ 图9:VPN基础配置界面

4)   对于VPN用户身份源,可以使用“本地账号”或“Radius服务器账号”,读者可以根据企业自身情况灵活选择

▲ 图10:VPN用户账号配置界面

5)   在配置IPSec的IKE策略和转换集时需要注意,要提前确认好VPN终端支持的IPSec协商参数,确保所有VPN终端都可以和VPN设备IPSec协商成功,如果无法确认可以使用以下的协商参数(IKE策略:DES-SHA-Group1,转换集:ESP-DES、ESP-SHA-HMAC),目前大多数主流的终端设备都支持该协商参数

▲ 图11:L2TP IPSec参数配置界面

6)   在L2TP over IPSec VPN配置成功界面有终端配置指南的链接,网络管理员可将链接同步给VPN使用者,便于指导VPN使用者如何在终端上进行VPN配置

▲ 图12:VPN配置完成界面

2. SSL VPN

1)   登录设备的WEB界面,单击“网络”“SSLVPN设置”进入SSL VPN配置页面,单击“开始配置”

▲ 图13:MOUU网关设备SSL VPN配置界面

2)   随后进入SSL VPN配置向导界面,单击“典型应用”,该部署模式适用于终端远程办公场景

▲ 图14:SSL VPN部署模式配置界面

3)   在进行SSL VPN基本信息的配置时,可自行定义SSL VPN服务端口,此外建议DNS服务器配置成和局域网用户相同的DNS避免有些资源访问异常。对于SSL VPN用户认证方式,可以使用“本地认证”、“Radius服务器”和“优先本地认证”三种方式,读者可以根据企业自身情况灵活选择

▲ 图15:SSL VPN基本配置界面

4)   在进行SSL VPN客户端网段的配置时需要注意,客户端使用地址要确保未在局域网中使用,否则会造成通信异常

▲ 图16:SSL VPN接入资源配置界面

5)   SSL VPN可对不同用户或用户组授权不同资源,在用户登录SSL VPN后SSL VPN设备就会把授权的资源下发到终端(SSL VPN设备以下发路由的形式下发到终端的路由表中)。网关默认有两个资源“所有网络”和“局域网”(当给用户授权“所有网络”SSL VPN设备会给终端下发一条0.0.0.0/0下一跳是SSL VPN设备的默认路由,当给用户授权“局域网”SSL VPN设备会给终端下发10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条下一跳是SSL VPN设备的路由)读者可根据网络实际环境基于IP、协议、端口定义不同的资源授权给用户。用户登录SSL VPN成功后可以通过查看本机的路由表查看到下发的路由(Windows终端在CMD上通过route print命令可以查看本机路由表)。

▲ 图17:SSL VPN用户资源授权配置界面

6)   在SSL VPN配置成功界面会显示SSL VPN地址,网络管理员将SSL VPN地址同步给VPN使用者,VPN使用者安装好SSL VPN客户端输入SSL VPN地址完成SSL VPN接入

▲ 图18:SSL VPN配置完成界面

7)   VPN使用者可以通过“WEB接入”或“安全隧道接入”的方式接入SSL VPN。需要注意的是WEB接入的资源容易受到网站的限制,推荐读者使用“安全隧道接入”方式

MOUU网关11.1(6)B9及以上版本除部分高端型号(EG2000UE/2000XE/3000XE)外其他型号已不再支持WEB接入方式

WEB接入

VPN用户使用WEB浏览器登录,登录成功后可以使用浏览器直接访问网络管理员提前设置好的基于HTTP的应用程序

▲ 图19:MOUU网关设备SSLVPN WEB登录页面

▲ 图20:WEB接入后可访问快捷资源或其他网络权限范围内的资源

安全隧道接入

VPN用户使用SSL VPN客户端登录,登录成功后从VPN设备获取一个虚拟IP地址用于与公司内网资源通信,实现远程接入用户与内网服务器,像在局域网一样在网络层(即IP层)之上的安全通信,包括TCP、UDP、ICMP类型的应用等

▲ 图21:MOUU网关SSLVPN客户端登录页面

8)   VPN使用者可通过以下两种方式获取SSL VPN客户端:

a)   网络管理员登录MOUU官网(具体地址:http://www.ruijie.com.cn/fw/wt/82396/)下载SSL VPN客户端同步给VPN使用者

b)   VPN使用者使用浏览器登录SSL VPN地址,在WEB接入界面首页可下载SSL VPN客户端

▲ 图22:VPN使用者可通过浏览器登录SSL VPN地址下载SSL VPN客户端

索取“此产品”详细资料,请留言
  • *姓名:
  • *手机:
  • *邮寄地址:
<