媒介

在武汉发作新型冠状病毒疫情的布景下，各公司都已经启动了节后在家办公的机造，中国正演出一场全球最大规模的在家远程办公，志同道合战疫情。为了使远程办公的员工安全、便捷地接见公司内网资源，使用VPN技术是最相宜的选择。

什么是VPN技术？VPN属于远程接见技术，单一地说就是利用公用网络架设专用网络。远程办公的员工能够通过VPN在互联网上架设一条安全的通路到公司的内网并接见公司资源。

随着VPN技术的发展，当前存在很多分歧的VPN技术，若是依照业务用处能够将VPN分为“站点到站点VPN”和“端到站点VPN”两类。站点到站点VPN常用于两个公司之间的网络互通，典型的场景是总部和分支之间，好比L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站点VPN常用于远程办公人员和公司网络互通，好比PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文从端到站点VPN的概想简述、技术选择、部署与使用这三面进行发展解说，但愿可能援手各位读者深刻相识到若何部署远程办公网络。

iSlot官方网站支持VPN的设备有好多种，分歧设备对各VPN技术的支持情况略有差距，本文以iSlot官方网站网关设备为例给各人解说VPN的选择与部署，如读者使用其他设备欢迎联系iSlot官方网站工程师或到iSlot官方网站官网征询，感激。

▲ 图1：常见企业VPN接入拓扑模型

端到站点VPN技术简述

1、PPTP VPN技术

PPTP最早由微软等厂商主导开发的一种点对点二层隧路技术，PPTP通讯必要成立两个衔接，节造衔接和隧路衔接，节造衔接使用TCP和谈（TCP端标语1723）创建节造通路来发送节造号令，隧路衔接利用GRE通路（IP和谈号47）来封装PPP数据包来发送数据。

▲ 图2：PPTP报文体式（节造报文）

▲ 图3：PPTP报文体式（数据报文）

PPTP VPN技术当前存在一些不及，首先PPTP VPN只能在IP网络上使用；其次由于正常情况下GRE报文无法通过NAT，使得NAT设备必要支持利用层网关（Application Layer Gateway，ALG）职能能力部署；最后PPTP VPN对传输的数据不加密，安全性较低，所以微软已经不再建议使用这个和谈。

ALG：通常NAT实现了对UDP或TCP报文中的IP地址及端口转换，但对利用层数据载荷中的字段力所不及，导致一些和谈不能被NAT，好比DNS、FTP、H323、PPTP、TFTP、SIP。ALG技术能对多通路和谈进行利用层报文信息的解析和地址转换，将载荷中必要进行地址转换的IP地址和端口或者需特殊处置的字段进行相应的转换和处置，从此保障以上和谈NAT后的正确性。

2、L2TP VPN技术和L2TP over IPSec VPN技术

L2TP和PPTP一样也提供一种逾越原始数据网络（如IP网络）构建二层隧路的机造，L2TP结合了PPTP和L2F这两种和谈的利益。关于L2TP和PPTP作者时时被问到一个问题，PPTP和L2TP是否是统一个技术、两者有什么分歧？其实它们是实现一样职能的分歧技术，都是作为隧路技术实现对PPP数据帧的封装，总结来说有如下三点差距：

a、L2TP通讯使用的节造衔接和隧路衔接都是UDP和谈（UDP端标语1701），使得L2TP比PPTP能更好地穿越NAT设备

b、L2TP支持对隧路的验证及包头压缩，而PPTP不支持

c、L2TP支持在IP网络、以太网等多和谈之上传输，而PPTP只支持在IP网络中传输

L2TP VPN传输的数据仍未进行加密，为解决L2TP VPN的安全性问题，L2TP over IPSec VPN技术结合了L2TP和IPSec两种技术的优势，吓酌L2TP封装再用IPSec封装，通过L2TP实现用户验证和地址分配，并利用IPSec保险数据的安全性。

▲ 图4：L2TP报文体式（节造报文和数据报文一样体式）

▲ 图5：L2TP over IPSec报文体式

3、SSL VPN技术

SSL VPN是基于SSL和谈成立远程安全接见通路的VPN技术，SSL和谈成立好底层的VPN隧路，交互的数据封装在隧路中传输。

SSL VPN相迸宗另表三种VPN技术有如下四点优势：

a、客户端部署单一：用户若是使用WEB方式接入SSL VPN，终端无需进行配置，可直接使用浏览器接见HTTP资源；若是使用安全隧路方式接入SSL VPN，只需第一次使用时装置SSL VPN客户端，后续直接使用客户端登录即可

b、精准的用户权限节造：可对使用SSL VPN的分歧用户或用户组授权基于IP、和谈、端口等分配分歧资源权限

c、部署方便矫捷：相迸宗PPTP VPN和L2TP VPN只能使用和谈默认的TCP 1723和UDP 1701端口，SSL VPN能够使用肆意端口，且由于SSL和谈位于传输层与利用层之间不会扭转IP报文和TCP报文，所以使得SSL VPN能够矫捷穿透NAT设备

d、较高的安全性：SSL VPN使用加密和署名技术，保障了传输数据的安全性和齐全性，并支持使用数字证书对身份源进行验证，可实现对传输数据进行加密、齐全性校验和身份源验证三沉安全；

端到站点VPN技术选择

端到站点VPN技术看起来好多，其实选择一个适合自己企业的VPN技术并不难。读者可从安全性、使用VPN的终端类型、部署网络环境这三个角度进行判断便能急剧确定出合用的VPN技术。

首先，要关注使用VPN隧路传输的数据是否必要加密。其次，要关注使用VPN的终端类型，分歧的VPN技术当前支持的终端类型有所分歧。最后，要关注VPN设备是作为出口NAT设备还是穿透出口NAT设备，如图6所示。

▲ 图6：VPN设备部署方式模型图

▲ 表1：VPN技术支持情况一览表

端到站点VPN技术部署与使用

本节重要解惑两个问题：

1、 若何在VPN设备上部署VPN技术

2、 若何在终端上进行VPN配置

本文沉点为各人介绍当前推荐使用的两种VPN技术，L2TP over IPSec VPN和SSL VPN的配置步骤。

VPN部署步骤

VPN设备部署在出口NAT设备之下场景，配置时通常有如下三个步骤：

1)  出口NAT设备进行端口映射,下表列出各VPN技术使用的端口以供参考

2)  增长路由，保障VPN网段的内网可达

3)  VPN设备进行VPN配置

iSlot官方网站网关SSL VPN在默认情况下使用TCP443端口和UDP443端口，端标语可批改。其中TCP端口用于提供HTTPS服务，如用户接见SSL VPN登录页面，而UDP端口用于提供安全隧路服务,如隧路协商、IP地址分配等。所以若是只使用SSL VPN的WEB接入时仅映射TCP端口即可，若是使用SSL VPN的安全隧路接入（SSL VPN客户端接入）时需同时映射TCP和UDP端口。

VPN设备作为出口NAT设备场景配置时只需配置以上步骤二和步骤三即可。

▲ 表2：VPN技术使用的端口情况

VPN设备配置及使用

1、L2TP over IPSec VPN

1)   登录设备的WEB界面，单击“网络”“VPN设置”进入VPN配置界面，单击“我在总部”下面的“起头配置”

▲ 图7：iSlot官方网站网关设备VPN配置界面

2)   随后进入VPN配置向导界面，单击“L2TP IPSec”。没有经验的使用者能够凭据自身需要单击“隧路需加密”“支持IOS终端”“支持安卓终端”“支持WIN使用”其中的一项或多项，设备会推荐最相宜的VPN类型

▲ 图8：VPN类型选择配置界面

3)   在进行VPN根基信息的配置时必要把稳，客户端使用地址要确保未在局域网中使用，不然会造成通讯异常，此表建议DNS服务器配置成和局域网用户一样的DNS预防资源接见异常

▲ 图9：VPN基础配置界面

4)   对于VPN用户身份源，能够使用“本地账号”或“Radius服务器账号”，读者能够凭据企业自身情况矫捷选择

▲ 图10：VPN用户账号配置界面

5)   在配置IPSec的IKE战术和转换集时必要把稳，要提前确认好VPN终端支持的IPSec协商参数，确保所有VPN终端都能够和VPN设备IPSec协商成功，若是无法确认能够使用以下的协商参数（IKE战术：DES-SHA-Group1，转换集：ESP-DES、ESP-SHA-HMAC），目前大无数主流的终端设备都支持该协商参数

▲ 图11：L2TP IPSec参数配置界面

6)   在L2TP over IPSec VPN配置成功界面有终端配置指南的链接，网络治理员可将链接同步给VPN使用者，便于领导VPN使用者若何在终端上进行VPN配置

▲ 图12：VPN配置实现界面

2、SSL VPN

1)   登录设备的WEB界面，单击“网络”“SSLVPN设置”进入SSL VPN配置页面，单击“起头配置”

▲ 图13：iSlot官方网站网关设备SSL VPN配置界面

2)   随后进入SSL VPN配置向导界面，单击“典型利用”，该部署模式合用于终端远程办公场景

▲ 图14：SSL VPN部署模式配置界面

3)   在进行SSL VPN根基信息的配置时，可自行界说SSL VPN服务端口，此表建议DNS服务器配置成和局域网用户一样的DNS预防有些资源接见异常。对于SSL VPN用户认证方式，能够使用“本地认证”、“Radius服务器”和“优先本地认证”三种方式，读者能够凭据企业自身情况矫捷选择

▲ 图15：SSL VPN根基配置界面

4)   在进行SSL VPN客户端网段的配置时必要把稳，客户端使用地址要确保未在局域网中使用，不然会造成通讯异常

▲ 图16：SSL VPN接入资源配置界面

5)   SSL VPN可对分歧用户或用户组授权分歧资源，在用户登录SSL VPN后SSL VPN设备就会把授权的资源下发到终端（SSL VPN设备以下发路由的大局下发到终端的路由表中）。网关默认有两个资源“所有网络”和“局域网”（当给用户授权“所有网络”SSL VPN设备会给终端下发一条0.0.0.0/0下一跳是SSL VPN设备的默认路由，当给用户授权“局域网”SSL VPN设备会给终端下发10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条下一跳是SSL VPN设备的路由）读者可凭据网络现实环境基于IP、和谈、端口界说分歧的资源授权给用户。用户登录SSL VPN成功后能够通过查看本机的路由表查看到下发的路由（Windows终端在CMD上通过route print号令能够查看本机路由表）。

▲ 图17：SSL VPN用户资源授权配置界面

6)   在SSL VPN配置成功界面会显示SSL VPN地址，网络治理员将SSL VPN地址同步给VPN使用者，VPN使用者装置好SSL VPN客户端输入SSL VPN地址实现SSL VPN接入

▲ 图18：SSL VPN配置实现界面

7)   VPN使用者能够通过“WEB接入”或“安全隧路接入”的方式接入SSL VPN。必要把稳的是WEB接入的资源容易受到网站的限度，推荐读者使用“安全隧路接入”方式

iSlot官方网站网关11.1（6）B9及以上版本除部门高端型号（EG2000UE/2000XE/3000XE）表其他型号已不再支持WEB接入方式

a) WEB接入

VPN用户使用WEB浏览器登录，登录成功后能够使用浏览器直接接见网络治理员提前设置好的基于HTTP的利用法式

▲ 图19：iSlot官方网站网关设备SSLVPN WEB登录页面

▲ 图20：WEB接入后可接见快捷资源或其他网络权限领域内的资源

b) 安全隧路接入

VPN用户使用SSL VPN客户端登录，登录成功后从VPN设备获取一个虚构IP地址用于与公司内网资源通讯，实现远程接入用户与内网服务器，像在局域网一样在网络层（即IP层）之上的安全通讯，蕴含TCP、UDP、ICMP类型的利用等

▲ 图21：iSlot官方网站网关SSLVPN客户端登录页面

8)   VPN使用者可通过以下两种方式获取SSL VPN客户端：

a)   网络治理员登录iSlot官方网站官网（具体地址：http://www.ruijie.com.cn/fw/wt/82396/）下载SSL VPN客户端同步给VPN使用者

b)   VPN使用者使用浏览器登录SSL VPN地址，在WEB接入界面首页可下载SSL VPN客户端

▲ 图22：VPN使用者可通过浏览器登录SSL VPN地址下载SSL VPN客户端

 

 

有关推荐：

• 站点间IPSec VPN网络技术深度解析
• 企业办公网接入认证技术详解
• 居安思危，自动改革 ——浅析园区办公网络的建设