VPN技術淺談之如何部署遠程辦公網絡

【VPN技術】本文從端到站點VPN的概念簡述、技術選擇、部署與使用這三面進行展開講解，希望能夠幫助各位讀者深入了解到如何部署遠程辦公網絡。

發布時間：2020-02-17
點擊量：
點贊：

分享至

我想評論

前言

在武漢爆發新型冠狀病毒疫情的背景下，各公司都已經啟動了節后在家辦公的機制，中國正上演一場全球最大規模的在家遠程辦公，同舟共濟戰疫情。為了使遠程辦公的員工安全、便捷地訪問公司內網資源，使用VPN技術是最合適的選擇。

什么是VPN技術？VPN屬于遠程訪問技術，簡單地說就是利用公用網絡架設專用網絡。遠程辦公的員工可以通過VPN在互聯網上架設一條安全的通道到公司的內網并訪問公司資源。

隨著VPN技術的發展，當前存在許多不同的VPN技術，如果按照業務用途可以將VPN分為“站點到站點VPN”和“端到站點VPN”兩類。站點到站點VPN常用于兩個公司之間的網絡互通，典型的場景是總部和分支之間，比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站點VPN常用于遠程辦公人員和公司網絡互通，比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文從端到站點VPN的概念簡述、技術選擇、部署與使用這三面進行展開講解，希望能夠幫助各位讀者深入了解到如何部署遠程辦公網絡。

銳捷支持VPN的設備有很多種，不同設備對各VPN技術的支持情況略有差異，本文以銳捷網關設備為例給大家講解VPN的選擇與部署，如讀者使用其他設備歡迎聯系銳捷工程師或到銳捷官網咨詢，感謝。

▲ 圖1：常見企業VPN接入拓撲模型

端到站點VPN技術簡述

1、PPTP VPN技術

PPTP最早由微軟等廠商主導開發的一種點對點二層隧道技術，PPTP通信需要建立兩個連接，控制連接和隧道連接，控制連接使用TCP協議（TCP端口號1723）創建控制通道來發送控制命令，隧道連接利用GRE通道（IP協議號47）來封裝PPP數據包來發送數據。

▲ 圖2：PPTP報文格式（控制報文）

▲ 圖3：PPTP報文格式（數據報文）

PPTP VPN技術當前存在一些不足，首先PPTP VPN只能在IP網絡上使用；其次因為正常情況下GRE報文無法通過NAT，使得NAT設備需要支持應用層網關（Application Layer Gateway，ALG）功能才能部署；最后PPTP VPN對傳輸的數據不加密，安全性較低，所以微軟已經不再建議使用這個協議。

ALG：普通NAT實現了對UDP或TCP報文中的IP地址及端口轉換，但對應用層數據載荷中的字段無能為力，導致一些協議不能被NAT，比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技術能對多通道協議進行應用層報文信息的解析和地址轉換，將載荷中需要進行地址轉換的IP地址和端口或者需特殊處理的字段進行相應的轉換和處理，從此保證以上協議NAT后的正確性。

2、L2TP VPN技術和L2TP over IPSec VPN技術

L2TP和PPTP相同也提供一種跨越原始數據網絡（如IP網絡）構建二層隧道的機制，L2TP結合了PPTP和L2F這兩種協議的優點。關于L2TP和PPTP作者經常被問到一個問題，PPTP和L2TP是否是同一個技術、兩者有什么不同？其實它們是實現相同功能的不同技術，都是作為隧道技術實現對PPP數據幀的封裝，總結來說有如下三點差異：

a、L2TP通信使用的控制連接和隧道連接都是UDP協議（UDP端口號1701），使得L2TP比PPTP能更好地穿越NAT設備

b、L2TP支持對隧道的驗證及包頭壓縮，而PPTP不支持

c、L2TP支持在IP網絡、以太網等多協議之上傳輸，而PPTP只支持在IP網絡中傳輸

L2TP VPN傳輸的數據仍未進行加密，為解決L2TP VPN的安全性問題，L2TP over IPSec VPN技術結合了L2TP和IPSec兩種技術的優勢，先用L2TP封裝再用IPSec封裝，通過L2TP實現用戶驗證和地址分配，并利用IPSec保障數據的安全性。

▲ 圖4：L2TP報文格式（控制報文和數據報文相同格式）

▲ 圖5：L2TP over IPSec報文格式

3、SSL VPN技術

SSL VPN是基于SSL協議建立遠程安全訪問通道的VPN技術，SSL協議建立好底層的VPN隧道，交互的數據封裝在隧道中傳輸。

SSL VPN相比于另外三種VPN技術有如下四點優勢：

a、客戶端部署簡單：用戶如果使用WEB方式接入SSL VPN，終端無需進行配置，可直接使用瀏覽器訪問HTTP資源；如果使用安全隧道方式接入SSL VPN，只需第一次使用時安裝SSL VPN客戶端，后續直接使用客戶端登錄即可

b、精準的用戶權限控制：可對使用SSL VPN的不同用戶或用戶組授權基于IP、協議、端口等分配不同資源權限

c、部署方便靈活：相比于PPTP VPN和L2TP VPN只能使用協議默認的TCP 1723和UDP 1701端口，SSL VPN可以使用任意端口，且因為SSL協議位于傳輸層與應用層之間不會改變IP報文和TCP報文，所以使得SSL VPN可以靈活穿透NAT設備

d、較高的安全性：SSL VPN使用加密和簽名技術，保證了傳輸數據的安全性和完整性，并支持使用數字證書對身份源進行驗證，可實現對傳輸數據進行加密、完整性校驗和身份源驗證三重安全保護

端到站點VPN技術選擇

端到站點VPN技術看起來很多，其實選擇一個適合自己企業的VPN技術并不難。讀者可從安全性、使用VPN的終端類型、部署網絡環境這三個角度進行判斷便能快速確定出適用的VPN技術。

首先，要關注使用VPN隧道傳輸的數據是否需要加密。其次，要關注使用VPN的終端類型，不同的VPN技術當前支持的終端類型有所不同。最后，要關注VPN設備是作為出口NAT設備還是穿透出口NAT設備，如圖6所示。

▲ 圖6：VPN設備部署方式模型圖

▲ 表1：VPN技術支持情況一覽表

端到站點VPN技術部署與使用

本節主要解惑兩個問題：

1、如何在VPN設備上部署VPN技術

2、如何在終端上進行VPN配置

本文重點為大家介紹當前推薦使用的兩種VPN技術，L2TP over IPSec VPN和SSL VPN的配置方法。

VPN部署步驟

VPN設備部署在出口NAT設備之下場景，配置時通常有如下三個步驟：

1) 出口NAT設備進行端口映射,下表列出各VPN技術使用的端口以供參考

2) 添加路由，保證VPN網段的內網可達

3) VPN設備進行VPN配置

銳捷網關SSL VPN在默認情況下使用TCP443端口和UDP443端口，端口號可修改。其中TCP端口用于提供HTTPS服務，如用戶訪問SSL VPN登錄頁面，而UDP端口用于提供安全隧道服務,如隧道協商、IP地址分配等。所以如果只使用SSL VPN的WEB接入時僅映射TCP端口即可，如果使用SSL VPN的安全隧道接入（SSL VPN客戶端接入）時需同時映射TCP和UDP端口。

VPN設備作為出口NAT設備場景配置時只需配置以上步驟二和步驟三即可。

▲ 表2：VPN技術使用的端口情況

VPN設備配置及使用

1、L2TP over IPSec VPN

1) 登錄設備的WEB界面，單擊“網絡”“VPN設置”進入VPN配置界面，單擊“我在總部”下面的“開始配置”

▲ 圖7：銳捷網關設備VPN配置界面

2) 隨后進入VPN配置向導界面，單擊“L2TP IPSec”。沒有經驗的使用者可以根據自身需求單擊“隧道需加密”“支持IOS終端”“支持安卓終端”“支持WIN使用”其中的一項或多項，設備會推薦最合適的VPN類型

▲ 圖8：VPN類型選擇配置界面

3) 在進行VPN基本信息的配置時需要注意，客戶端使用地址要確保未在局域網中使用，否則會造成通信異常，此外建議DNS服務器配置成和局域網用戶相同的DNS避免資源訪問異常

▲ 圖9：VPN基礎配置界面

4) 對于VPN用戶身份源，可以使用“本地賬號”或“Radius服務器賬號”，讀者可以根據企業自身情況靈活選擇

▲ 圖10：VPN用戶賬號配置界面

5) 在配置IPSec的IKE策略和轉換集時需要注意，要提前確認好VPN終端支持的IPSec協商參數，確保所有VPN終端都可以和VPN設備IPSec協商成功，如果無法確認可以使用以下的協商參數（IKE策略：DES-SHA-Group1，轉換集：ESP-DES、ESP-SHA-HMAC），目前大多數主流的終端設備都支持該協商參數

▲ 圖11：L2TP IPSec參數配置界面

6) 在L2TP over IPSec VPN配置成功界面有終端配置指南的鏈接，網絡管理員可將鏈接同步給VPN使用者，便于指導VPN使用者如何在終端上進行VPN配置

▲ 圖12：VPN配置完成界面

2、SSL VPN

1) 登錄設備的WEB界面，單擊“網絡”“SSLVPN設置”進入SSL VPN配置頁面，單擊“開始配置”

▲ 圖13：銳捷網關設備SSL VPN配置界面

2) 隨后進入SSL VPN配置向導界面，單擊“典型應用”，該部署模式適用于終端遠程辦公場景

▲ 圖14：SSL VPN部署模式配置界面

3) 在進行SSL VPN基本信息的配置時，可自行定義SSL VPN服務端口，此外建議DNS服務器配置成和局域網用戶相同的DNS避免有些資源訪問異常。對于SSL VPN用戶認證方式，可以使用“本地認證”、“Radius服務器”和“優先本地認證”三種方式，讀者可以根據企業自身情況靈活選擇

▲ 圖15：SSL VPN基本配置界面

4) 在進行SSL VPN客戶端網段的配置時需要注意，客戶端使用地址要確保未在局域網中使用，否則會造成通信異常

▲ 圖16：SSL VPN接入資源配置界面

5) SSL VPN可對不同用戶或用戶組授權不同資源，在用戶登錄SSL VPN后SSL VPN設備就會把授權的資源下發到終端（SSL VPN設備以下發路由的形式下發到終端的路由表中）。網關默認有兩個資源“所有網絡”和“局域網”（當給用戶授權“所有網絡”SSL VPN設備會給終端下發一條0.0.0.0/0下一跳是SSL VPN設備的默認路由，當給用戶授權“局域網”SSL VPN設備會給終端下發10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條下一跳是SSL VPN設備的路由）讀者可根據網絡實際環境基于IP、協議、端口定義不同的資源授權給用戶。用戶登錄SSL VPN成功后可以通過查看本機的路由表查看到下發的路由（Windows終端在CMD上通過route print命令可以查看本機路由表）。