http://www.sina.com.cn2009年10月31日09:51太平洋電腦網
在幾天前的《細說IPSec VPN技術與實現原理》這篇文章中,我們對企業部署VPN的優勢及IPSec VPN的工作原理進行瞭描述,那篇文章前半部份可能看著比較 養眼 ,因為說的都是VPN的優勢之處,不過後半部分可能就比較無趣瞭,因為從技術角度講,實現IPSec VPN真不是件輕松的事。不過話說回來,who care?! 隻要VPN配置簡單,工作穩定就好,相信很少有用戶會關心IPSec VPN的技術實現細節,所以產品的易用性很重要!而接下來我們要做的,就是模擬實際應用,向您展示如何配置IPSec VPN網絡。
本文我們將分兩部分,分別演示組建Site to Site(站點到站點)VPN和Client to Site(客戶端到站點)VPN,當然使用的都為IPSec VPN。這裡還要對設備提供商Netgear(美國網件)公司表示一下感謝。先來看一下我們所使用的設備:
1、Netgear ProSafe FVS318G 8個千兆交換端口5隧道VPN防火墻
NETGEAR FVS318G圖 庫評 測論 壇報 價
FVS318G是網件近期推出的一款VPN產品,外形小巧(190 x 125 x 35 cm),但性能不俗,8個局域網端口與1個廣域網站口全部為10/100/1000Mbps自適應Auto Uplink RJ-45端口。千兆速率為以後網絡擴容提供瞭一定的冗餘保障,可謂小巧精悍。
在VPN功能方面,FVS318G最大支持5條IPsec VPN隧道,可建立5個Site toSite或Clientto Site的VPN連接;支持IKE Security Association(SA)分配,支持3DES、AES、MD5、SHA-1等加密算法。在本次測試中我們將FVS318G模擬為放置在企業總部的網關設備,分支機構將與其建立Site to Site的VPN連接;遠程移動用戶將與其建立Client to Site的VPN連接。此端點在以下簡稱為H(headquarters)。
2、Netgear ProSafe FVX538 8個10/100交換端口200隧道VPN防火墻
NETGEAR FVX538圖 庫評 測論 壇報 價網購實價
FVX538是網件在05年推出的一款產品,不錯的功能表現、足夠數量的VPN隧道數(200條)以及相對實惠的價格,使其成為中小商用網絡用戶的不錯選擇。在功能上,FVX538與FVS318G非常相似(兩者均為最新版固件),不過在硬件配置上,FVX538比FVS318G高出不少,性能自然也高出許多。在本次測試中我們將FVX538模擬為放置在分支機構的網關設備,其與總部的FVS318G建立Site to Site的VPN連接。此端點在以下簡稱為B(Branch)。
Site toSite VPN配置
VPN Diagram
我們首先來看一下網絡拓撲結構。在H點,網絡的核心是一臺FVS318G VPN網關。對於有條件的企業來,可以向當地電信申請靜態IP地址,這當然是最好的情況,但如果沒有靜態IP怎麼辦?在這種情況下可以借助動態域名(DDNS)來實現在INTERNET上尋址。FVS318G支持多種DDNS,包括:DynDNS、TZO、Oray、3322。在本次測試中,FVS318G使用ADSL拔號上網,由於是動態IP地址,我們為其設置瞭DDNS解析,域名為xiaemule.3322.org。FVS318G內網IP為192.168.1.102,內網服務器(模擬企業應用服務器)地址為192.168.1.201。
分支機構,B點的網絡核心是一臺FVX538 VPN網關,通過ADSL拔號連入INTERNET,使用動態IP,沒有配置DDNS解析。在本例中,B點網絡將通過VPN隧道與H點(總部)網絡相連,使B點用戶可以訪問到位於H點的192.168.1.201這臺服務台中商標申請流程器。FVX538內網IP地址192.168.0.101。
H端點:配置FVS318G
對於DDNS與ADSL拔號配置我們將不在這裡進行說明。登錄FVS318G,在VPN菜單下可以看到Policies、VPN Wizard等功能模塊,在Policies中包含最重要的兩個策略,IKE和VPN策略。您可以在《細說IPSec VPN技術與實現原理》這篇文章中瞭解到什麼是IKE。當然,您可以通過手動方式分別配置IKE和VPN策略,不過筆者建議您不要那麼做,我們可以使用VPN向導(VPN Wizard)來完成配置,這樣做更快速,最主要的這可以避免不必要的失誤,因為輸錯一個字符VPN連接可能就無法成功建立。所以我們推薦用戶先使用向導生成策略,再手動修改策略。
策略
VPN配置向導(VPN Wizard)
VPN配置向導
因為我們要建立的是Site to Site的連接,所以在第一個選項中我們選擇 Gateway 。
在第二個區域中,Connection name將作為IKE策略和VPN策略的名稱,起標識作用。pre-shared在這裡是12345678
在第三個End Point區域中,remote端,也就是B端,因為是沒有固定IP的,所以我們可以輸入一個用於標識設備的FQDN(主機域名全稱),這裡我們輸入的是fvx538.com。Local端,也就是H端,需要填寫固定的公共IP地址或INTERNET域名,這裡我們輸入的是xiaemule.3322.org。
在第四個區域中,這裡填寫的是remote端,也就是B端的IP地址和瞭網掩碼。然後點擊Apply,H端的VPN策略就完成一半瞭,下面我們來修改策略。配置向導僅有一個頁面,使用起來還是很方便的。
修改IKE策略
IKE策略
IKE策略僅有兩個地方需要修改,需要將Direction / Type由both改為responder,和Exchange Mode由main改為Aggressive,然後點擊保存即可。
修改VPN策略
VPN策略
在第一個區域中將enable netBIOS取消選擇,在第二個區域中,將Local IP和Remote IP修改為any,然後點擊保存即可。至此,H端點配置完畢。
B端點:配置FVX538
VPN配置向導(VPN Wizard)
VPN配置向導
對比一下不難看出,B端設置與H端設置是非常相似的。隻在第三、四部分有些不同。
修改IKE策略
IKE策略
IKE策略僅有兩個地方需要修改,需要將Direction / Type由both改為Initiator,和Exchange Mode由main改為Aggressive,然後點擊保存即可。
修改VPN策略
VPN策略
在第一個區域中將enable netBIOS取消選擇,然後點擊保存即可。至此,B端點配置完畢。在修改IKE策略前需要先停止相應的VPN策略,所以當修改完VPN策略後需要啟用該策略,VPN策略啟用後會自動進行連接。
在這裡說一下Traffic Selection選項,簡單的講這是一個匹配篩選機制,當用戶的IP地址在Local IP范圍內,且要訪問的目標地址在Remote IP范圍內,這樣的流量才會通過VPN隧道被傳送至對端,在這裡也就是H端,其餘的流量仍然會通過NAT被傳輸至INTERNET。
Ping H端內網應用服務器
Ping H端廣域網地址
在Ping H端內網應用服務器時有些許超時現象,響應時間也要稍長於直接PING H端廣域網地址。這一方面可能是因為物理線路的問題,再有就是數包的封裝、解封也會產生時延。
ClienttoSite VPN配置
VPN Diagram台中商標申請查詢
我們再來看一下網絡拓樸圖,在ClienttoSite場景中,Client是用戶的電腦,一般是筆記本,用戶出差在外需要訪問H端內網的服務器192.168.1.201。客戶端軟件安裝在用戶的電腦中,通過 拔號 可以與H端建立VPN連接,進而訪問H端的內網資源。
H端點:配置FVS318G
VPN配置向導(VPN Wizard)
VPN配置向導
在ClienttoSite場景中,配置向導變得更加實用,當在區域一中點選VPN Client時,區域三中的信息將自動生成,區域四變為不可修改狀態,用戶隻需填寫區域二中Connection Name和pre-shared key即可,此處分別為remoteac和12345678。
修改VPN策略
VPN策略
使用VPN配置向導生成的IKE策略不需要做任何修改。唯一需要修改的是VPN策略中的Traffic Selection,隻要將Local IP由Subnet改為Any即可。點擊保存即完成瞭H端的配置。
雖然由向導生成的IKE策略無需修改,相應的VPN策略就可以工作,但這裡有個問題,在用戶通過客戶端連接到H端時,默認的IKE策略是不要求用戶進行額外驗證的。我們打個比方,當別人使用你的電腦時,你可能不希望他通過VPN連到H端的內網中,但由於默認IKE策略是不要求用戶二次驗證的,所以你無法阻止他與H端建立VPN連接。
XAUTH Configuration
為瞭解決這類問題,FVS318G在IKE策略中提供瞭XAUTH(Extended Authentication)功能。XAUTH為那些需要區分每個用戶進行身份驗證的應用提供瞭一種身份認證機制,該機制允許VPN網關使用Radius服務器或者本地數據庫記錄中的用戶信息對用戶進行身份認證。
在配置VPN的IKE策略的時候,選擇要求使用XAUTH驗證,就可以啟用VPN的XAUTH功能。FVS318G提供瞭兩種模式:IPsec Host 作為客戶端,在連接到中心時需要提供用戶名和密碼;Edge Device 作為服務器端(中心),要求客戶端必須進行口令驗證。
網關在接收到來自客戶端提供的用戶名和密碼之後首先在本地數據庫校驗信息是否合法,如果在本地數據庫找不到相對應的用戶名,則將信息轉發到RADIUS服務器進行校驗,如果判斷為合法,則繼續VPN的協商過程,如果用戶不合法,則中斷VPN連接。在本場景中我們將演示如何配置本地用戶信息數據庫。
VPN Client(本地用戶信息數據庫)
首先在Extended Authentication區域選擇Edge Device,Authentication Type選擇User Database,然後在VPN Client中填加用戶信息即可,隻需提供用戶名和密碼。
配置客戶端軟件
對於如何配置客戶端軟件筆者就不在這裡詳細描述瞭,要在四個頁面中進行設置,一步一步很間單,網件公司也提供瞭標準的配置模板,建議用戶先導入再修改。
左:XAUTH驗證 右:ClienttoSite VPN連接已建立
因為我們修改瞭H端的IKE策略,啟用瞭XAUTH驗證,所以在建立ClienttoSite VPN連接時需要用戶輸入身份信息。客戶端軟件裝好後會在系統托盤顯示一個 S 圖標,VPN連接建立後會在其上出現一個黃色的小鑰匙圖案,當有數據通過時,圖標右側會顯示綠色。
Ping H端內網應用服務器
Ping H端廣域網地址
從結果來看,Ping H端內網應用服務器與H端廣域網地址表現非常接近,時延主要來自物理線路本身。
增強功能及註意事項
1、Mode Config
遠程用戶IP地址
上圖截自H端的應用服務器(192.168.1.201),圖中出現的IP地址192.168.0.2是本地筆者正在使用的電腦,筆者通過Client to Site的方式正在訪問服務器的資源。由於用戶可能在任何地方發起VPN連接,所以192.168.0.2這個IP地址可能是任何取值,這就給管理帶來瞭一定的麻煩。另外出於安全考慮,管理員可能會在192.168.1.201這臺服務器上設置訪問策略,隻允許特定子網地址進行訪問,如果遠程用戶的IP地址是不可控的,那麼這一安全策略便無法實施。
Mode Config
解決這些問題的一個方法是為Client to Site用戶指派特定的IP,類似於我們熟悉的DHCP功能。當用戶與H端建立VPN連接後,H端會指派一個虛擬IP給客戶端,這樣便可以實現可管理性。在FVS318G中這一功能稱為Mode Config。
2、VPN Pass through
VPN Pass through
在路由器上經常可以看到VPN Pass through這一功能,這個功能不是與對端(VPN網關)建立VPN隧道,它的作用是允許內網用戶發起的Client to Site VPN連接可以成功通過本地網關,否則VPN連接將無法建立。這一功能還是相當實用的,現在很多傢庭都是通過路由器共享上網,這種情況下我們的電腦處於內網中,沒有VPN Pass through功能,用戶將無法建立Client to Site VPN連接。現在的路由器產品從低端至高端幾乎都具備這一功能。
總結
IPSec VPN網絡除瞭具有良好的傳輸安全性之外,另一大優勢就是它可以承載所有基於IP的通信,對於上層應用程序來講不需要做任何修改。IPSec技術本身比較復雜,不過,如何將技術變為易於使用的產品這就要看廠傢的 功力 瞭,看完全文相信你會有這樣一個感覺 中小企業組建VPN網絡並不難。
最後再說一下成本問題,FVX538目前市場價格在4000左右,支持200條IPSec VPN隧道,比較適合部署在企業總部;FVS318G是全千兆接口,相比其上一代產品FVS318性能提升不少,由於是新品,目前我們還沒拿到價格,FVS318目前售價在900元以內,推算一下FVS318G售價應該在1500-2000左右。如果用戶比較在意成本,選用低端產品的話,組建IPSec VPN網絡總體花費控制在2000元以內是沒有問題的。[返回頻道首頁]
台灣註冊商標查詢
文章標籤
全站熱搜
留言列表
