各公司都已经启动了节后在家办公的机制,中国正上演一场全球最大规模的在家远程办公,同舟共济战疫情。为了使远程办公的员工安全、便捷地访问公司内网资源,使用VPN技术是最合适的选择。
什么是VPN技术?VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。远程办公的员工可以通过VPN在互联网上架设一条安全的通道到公司的内网并访问公司资源。 随着VPN技术的发展,当前存在许多不同的VPN技术,如果按照业务用途可以将VPN分为“站点到站点VPN”和“端到站点VPN”两类。站点到站点VPN常用于两个公司之间的网络互通,典型的场景是总部和分支之间,比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站点VPN常用于远程办公人员和公司网络互通,比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文从端到站点VPN的概念简述、技术选择、部署与使用这三面进行展开讲解,希望能够帮助各位读者深入了解到如何部署远程办公网络。
锐捷支持VPN的设备有很多种,不同设备对各VPN技术的支持情况略有差异,本文以锐捷网关设备为例给大家讲解VPN的选择与部署。
▲ 图1:常见企业VPN接入拓扑模型
端到站点VPN技术简述
1、PPTP VPN技术
PPTP最早由微软等厂商主导开发的一种点对点二层隧道技术,PPTP通信需要建立两个连接,控制连接和隧道连接,控制连接使用TCP协议(TCP端口号1723)创建控制通道来发送控制命令,隧道连接利用GRE通道(IP协议号47)来封装PPP数据包来发送数据。
▲ 图2:PPTP报文格式(控制报文)
▲ 图3:PPTP报文格式(数据报文)
PPTP VPN技术当前存在一些不足,首先PPTP VPN只能在IP网络上使用;其次因为正常情况下GRE报文无法通过NAT,使得NAT设备需要支持应用层网关(Application Layer
Gateway,ALG)功能才能部署;最后PPTP VPN对传输的数据不加密,安全性较低,所以微软已经不再建议使用这个协议。
ALG:普通NAT实现了对UDP或TCP报文中的IP地址及端口转换,但对应用层数据载荷中的字段无能为力,导致一些协议不能被NAT,比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从此保证以上协议NAT后的正确性。
2、L2TP VPN技术和L2TP over IPSec VPN技术
L2TP和PPTP相同也提供一种跨越原始数据网络(如IP网络)构建二层隧道的机制,L2TP结合了PPTP和L2F这两种协议的优点。关于L2TP和PPTP作者经常被问到一个问题,PPTP和L2TP是否是同一个技术、两者有什么不同?其实它们是实现相同功能的不同技术,都是作为隧道技术实现对PPP数据帧的封装,总结来说有如下三点差异:
a、L2TP通信使用的控制连接和隧道连接都是UDP协议(UDP端口号1701),使得L2TP比PPTP能更好地穿越NAT设备
b、L2TP支持对隧道的验证及包头压缩,而PPTP不支持
c、L2TP支持在IP网络、以太网等多协议之上传输,而PPTP只支持在IP网络中传输 L2TP VPN传输的数据仍未进行加密,为解决L2TP VPN的安全性问题,L2TP over IPSec VPN技术结合了L2TP和IPSec两种技术的优势,先用L2TP封装再用IPSec封装,通过L2TP实现用户验证和地址分配,并利用IPSec保障数据的安全性。
▲ 图4:L2TP报文格式(控制报文和数据报文相同格式)
▲ 图5:L2TP over IPSec报文格式 3、SSL VPN技术
SSL VPN是基于SSL协议建立远程安全访问通道的VPN技术,SSL协议建立好底层的VPN隧道,交互的数据封装在隧道中传输。
SSL VPN相比于另外三种VPN技术有如下四点优势:
a、客户端部署简单:用户如果使用WEB方式接入SSL VPN,终端无需进行配置,可直接使用浏览器访问HTTP资源;如果使用安全隧道方式接入SSL VPN,只需第一次使用时安装SSL VPN客户端,后续直接使用客户端登录即可
b、精准的用户权限控制:可对使用SSL VPN的不同用户或用户组授权基于IP、协议、端口等分配不同资源权限
c、部署方便灵活:相比于PPTP VPN和L2TP VPN只能使用协议默认的TCP 1723和UDP 1701端口,SSL VPN可以使用任意端口,且因为SSL协议位于传输层与应用层之间不会改变IP报文和TCP报文,所以使得SSL VPN可以灵活穿透NAT设备
d、较高的安全性:SSL VPN使用加密和签名技术,保证了传输数据的安全性和完整性,并支持使用数字证书对身份源进行验证,可实现对传输数据进行加密、完整性校验和身份源验证三重安全保护 端到站点VPN技术选择
端到站点VPN技术看起来很多,其实选择一个适合自己企业的VPN技术并不难。读者可从安全性、使用VPN的终端类型、部署网络环境这三个角度进行判断便能快速确定出适用的VPN技术。
首先,要关注使用VPN隧道传输的数据是否需要加密。其次,要关注使用VPN的终端类型,不同的VPN技术当前支持的终端类型有所不同。最后,要关注VPN设备是作为出口
NAT设备还是穿透出口NAT设备,如图6所示。
▲ 图6:VPN设备部署方式模型图
▲ 表1:VPN技术支持情况一览表
端到站点VPN技术部署与使用
本节主要解惑两个问题:
1、 如何在VPN设备上部署VPN技术 2、 如何在终端上进行VPN配置
本文重点为大家介绍当前推荐使用的两种VPN技术,L2TP over IPSec VPN和SSL VPN的配置方法。