VPN技术浅谈之如何部署远程办公网络

【VPN技术】本文从端到站点VPN的概念简述、技术选择、部署与使用这三面进行展开讲解，希望能够帮助各位读者深入了解到如何部署远程办公网络。

发布时间：2020-02-17
点击量：
点赞：

分享至

我想评论

前言

在武汉爆发新型冠状病毒疫情的背景下，各公司都已经启动了节后在家办公的机制，中国正上演一场全球最大规模的在家远程办公，同舟共济战疫情。为了使远程办公的员工安全、便捷地访问公司内网资源，使用VPN技术是最合适的选择。

什么是VPN技术？VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。远程办公的员工可以通过VPN在互联网上架设一条安全的通道到公司的内网并访问公司资源。

随着VPN技术的发展，当前存在许多不同的VPN技术，如果按照业务用途可以将VPN分为“站点到站点VPN”和“端到站点VPN”两类。站点到站点VPN常用于两个公司之间的网络互通，典型的场景是总部和分支之间，比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站点VPN常用于远程办公人员和公司网络互通，比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文从端到站点VPN的概念简述、技术选择、部署与使用这三面进行展开讲解，希望能够帮助各位读者深入了解到如何部署远程办公网络。

锐捷支持VPN的设备有很多种，不同设备对各VPN技术的支持情况略有差异，本文以锐捷网关设备为例给大家讲解VPN的选择与部署，如读者使用其他设备欢迎联系锐捷工程师或到锐捷官网咨询，感谢。

▲ 图1：常见企业VPN接入拓扑模型

端到站点VPN技术简述

1、PPTP VPN技术

PPTP最早由微软等厂商主导开发的一种点对点二层隧道技术，PPTP通信需要建立两个连接，控制连接和隧道连接，控制连接使用TCP协议（TCP端口号1723）创建控制通道来发送控制命令，隧道连接利用GRE通道（IP协议号47）来封装PPP数据包来发送数据。

▲ 图2：PPTP报文格式（控制报文）

▲ 图3：PPTP报文格式（数据报文）

PPTP VPN技术当前存在一些不足，首先PPTP VPN只能在IP网络上使用；其次因为正常情况下GRE报文无法通过NAT，使得NAT设备需要支持应用层网关（Application Layer Gateway，ALG）功能才能部署；最后PPTP VPN对传输的数据不加密，安全性较低，所以微软已经不再建议使用这个协议。

ALG：普通NAT实现了对UDP或TCP报文中的IP地址及端口转换，但对应用层数据载荷中的字段无能为力，导致一些协议不能被NAT，比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从此保证以上协议NAT后的正确性。

2、L2TP VPN技术和L2TP over IPSec VPN技术

L2TP和PPTP相同也提供一种跨越原始数据网络（如IP网络）构建二层隧道的机制，L2TP结合了PPTP和L2F这两种协议的优点。关于L2TP和PPTP作者经常被问到一个问题，PPTP和L2TP是否是同一个技术、两者有什么不同？其实它们是实现相同功能的不同技术，都是作为隧道技术实现对PPP数据帧的封装，总结来说有如下三点差异：

a、L2TP通信使用的控制连接和隧道连接都是UDP协议（UDP端口号1701），使得L2TP比PPTP能更好地穿越NAT设备

b、L2TP支持对隧道的验证及包头压缩，而PPTP不支持

c、L2TP支持在IP网络、以太网等多协议之上传输，而PPTP只支持在IP网络中传输

L2TP VPN传输的数据仍未进行加密，为解决L2TP VPN的安全性问题，L2TP over IPSec VPN技术结合了L2TP和IPSec两种技术的优势，先用L2TP封装再用IPSec封装，通过L2TP实现用户验证和地址分配，并利用IPSec保障数据的安全性。

▲ 图4：L2TP报文格式（控制报文和数据报文相同格式）

▲ 图5：L2TP over IPSec报文格式

3、SSL VPN技术

SSL VPN是基于SSL协议建立远程安全访问通道的VPN技术，SSL协议建立好底层的VPN隧道，交互的数据封装在隧道中传输。

SSL VPN相比于另外三种VPN技术有如下四点优势：

a、客户端部署简单：用户如果使用WEB方式接入SSL VPN，终端无需进行配置，可直接使用浏览器访问HTTP资源；如果使用安全隧道方式接入SSL VPN，只需第一次使用时安装SSL VPN客户端，后续直接使用客户端登录即可

b、精准的用户权限控制：可对使用SSL VPN的不同用户或用户组授权基于IP、协议、端口等分配不同资源权限

c、部署方便灵活：相比于PPTP VPN和L2TP VPN只能使用协议默认的TCP 1723和UDP 1701端口，SSL VPN可以使用任意端口，且因为SSL协议位于传输层与应用层之间不会改变IP报文和TCP报文，所以使得SSL VPN可以灵活穿透NAT设备

d、较高的安全性：SSL VPN使用加密和签名技术，保证了传输数据的安全性和完整性，并支持使用数字证书对身份源进行验证，可实现对传输数据进行加密、完整性校验和身份源验证三重安全保护

端到站点VPN技术选择

端到站点VPN技术看起来很多，其实选择一个适合自己企业的VPN技术并不难。读者可从安全性、使用VPN的终端类型、部署网络环境这三个角度进行判断便能快速确定出适用的VPN技术。

首先，要关注使用VPN隧道传输的数据是否需要加密。其次，要关注使用VPN的终端类型，不同的VPN技术当前支持的终端类型有所不同。最后，要关注VPN设备是作为出口NAT设备还是穿透出口NAT设备，如图6所示。

▲ 图6：VPN设备部署方式模型图

▲ 表1：VPN技术支持情况一览表

端到站点VPN技术部署与使用

本节主要解惑两个问题：

1、如何在VPN设备上部署VPN技术

2、如何在终端上进行VPN配置

本文重点为大家介绍当前推荐使用的两种VPN技术，L2TP over IPSec VPN和SSL VPN的配置方法。

VPN部署步骤

VPN设备部署在出口NAT设备之下场景，配置时通常有如下三个步骤：

1) 出口NAT设备进行端口映射,下表列出各VPN技术使用的端口以供参考

2) 添加路由，保证VPN网段的内网可达

3) VPN设备进行VPN配置

锐捷网关SSL VPN在默认情况下使用TCP443端口和UDP443端口，端口号可修改。其中TCP端口用于提供HTTPS服务，如用户访问SSL VPN登录页面，而UDP端口用于提供安全隧道服务,如隧道协商、IP地址分配等。所以如果只使用SSL VPN的WEB接入时仅映射TCP端口即可，如果使用SSL VPN的安全隧道接入（SSL VPN客户端接入）时需同时映射TCP和UDP端口。

VPN设备作为出口NAT设备场景配置时只需配置以上步骤二和步骤三即可。

▲ 表2：VPN技术使用的端口情况

VPN设备配置及使用

1、L2TP over IPSec VPN

1) 登录设备的WEB界面，单击“网络”“VPN设置”进入VPN配置界面，单击“我在总部”下面的“开始配置”

▲ 图7：锐捷网关设备VPN配置界面

2) 随后进入VPN配置向导界面，单击“L2TP IPSec”。没有经验的使用者可以根据自身需求单击“隧道需加密”“支持IOS终端”“支持安卓终端”“支持WIN使用”其中的一项或多项，设备会推荐最合适的VPN类型

▲ 图8：VPN类型选择配置界面

3) 在进行VPN基本信息的配置时需要注意，客户端使用地址要确保未在局域网中使用，否则会造成通信异常，此外建议DNS服务器配置成和局域网用户相同的DNS避免资源访问异常

▲ 图9：VPN基础配置界面

4) 对于VPN用户身份源，可以使用“本地账号”或“Radius服务器账号”，读者可以根据企业自身情况灵活选择

▲ 图10：VPN用户账号配置界面

5) 在配置IPSec的IKE策略和转换集时需要注意，要提前确认好VPN终端支持的IPSec协商参数，确保所有VPN终端都可以和VPN设备IPSec协商成功，如果无法确认可以使用以下的协商参数（IKE策略：DES-SHA-Group1，转换集：ESP-DES、ESP-SHA-HMAC），目前大多数主流的终端设备都支持该协商参数

▲ 图11：L2TP IPSec参数配置界面

6) 在L2TP over IPSec VPN配置成功界面有终端配置指南的链接，网络管理员可将链接同步给VPN使用者，便于指导VPN使用者如何在终端上进行VPN配置

▲ 图12：VPN配置完成界面

2、SSL VPN

1) 登录设备的WEB界面，单击“网络”“SSLVPN设置”进入SSL VPN配置页面，单击“开始配置”

▲ 图13：锐捷网关设备SSL VPN配置界面

2) 随后进入SSL VPN配置向导界面，单击“典型应用”，该部署模式适用于终端远程办公场景

▲ 图14：SSL VPN部署模式配置界面

3) 在进行SSL VPN基本信息的配置时，可自行定义SSL VPN服务端口，此外建议DNS服务器配置成和局域网用户相同的DNS避免有些资源访问异常。对于SSL VPN用户认证方式，可以使用“本地认证”、“Radius服务器”和“优先本地认证”三种方式，读者可以根据企业自身情况灵活选择

▲ 图15：SSL VPN基本配置界面

4) 在进行SSL VPN客户端网段的配置时需要注意，客户端使用地址要确保未在局域网中使用，否则会造成通信异常

▲ 图16：SSL VPN接入资源配置界面

5) SSL VPN可对不同用户或用户组授权不同资源，在用户登录SSL VPN后SSL VPN设备就会把授权的资源下发到终端（SSL VPN设备以下发路由的形式下发到终端的路由表中）。网关默认有两个资源“所有网络”和“局域网”（当给用户授权“所有网络”SSL VPN设备会给终端下发一条0.0.0.0/0下一跳是SSL VPN设备的默认路由，当给用户授权“局域网”SSL VPN设备会给终端下发10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条下一跳是SSL VPN设备的路由）读者可根据网络实际环境基于IP、协议、端口定义不同的资源授权给用户。用户登录SSL VPN成功后可以通过查看本机的路由表查看到下发的路由（Windows终端在CMD上通过route print命令可以查看本机路由表）。