媒介

在武汉发作新型冠状病毒疫情的布景下，，，，，，，各公司都已经启动了节后在家办公的机造，，，，，，，中国正演出一场全球最大规模的在家远程办公，，，，，，，志同道合战疫情。。。。。。。。为了使远程办公的员工安全、便捷地接见公司内网资源，，，，，，，使用VPN技术是最相宜的选择。。。。。。。。

什么是VPN技术？？？？？？？VPN属于远程接见技术，，，，，，，单一地说就是利用公用网络架设专用网络。。。。。。。。远程办公的员工能够通过VPN在互联网上架设一条安全的通路到公司的内网并接见公司资源。。。。。。。。

随着VPN技术的发展，，，，，，，当前存在很多分歧的VPN技术，，，，，，，若是依照业务用处能够将VPN分为“站点到站点VPN”和“端到站点VPN”两类。。。。。。。。站点到站点VPN常用于两个公司之间的网络互通，，，，，，，典型的场景是总部和分支之间，，，，，，，好比L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。。。。。。。。端到站点VPN常用于远程办公人员和公司网络互通，，，，，，，好比PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。。。。。。。。本文从端到站点VPN的概想简述、技术选择、部署与使用这三面进行发展解说，，，，，，，但愿可能援手各位读者深刻相识到若何部署远程办公网络。。。。。。。。

全发国际支持VPN的设备有好多种，，，，，，，分歧设备对各VPN技术的支持情况略有差距，，，，，，，本文以全发国际网关设备为例给各人解说VPN的选择与部署，，，，，，，如读者使用其他设备迎接联系全发国际工程师或到全发国际官网征询，，，，，，，感激。。。。。。。。

▲ 图1：常见企业VPN接入拓扑模型

端到站点VPN技术简述

1、PPTP VPN技术

PPTP最早由微软等厂商主导开发的一种点对点二层隧路技术，，，，，，，PPTP通讯必要成立两个衔接，，，，，，，节造衔接和隧路衔接，，，，，，，节造衔接使用TCP和谈（TCP端标语1723）创建节造通路来发送节造号令，，，，，，，隧路衔接利用GRE通路（IP和谈号47）来封装PPP数据包来发送数据。。。。。。。。

▲ 图2：PPTP报文体式（节造报文）

▲ 图3：PPTP报文体式（数据报文）

PPTP VPN技术当前存在一些不及，，，，，，，首先PPTP VPN只能在IP网络上使用；；；；；；；其次由于正常情况下GRE报文无法通过NAT，，，，，，，使得NAT设备必要支持利用层网关（Application Layer Gateway，，，，，，，ALG）职能能力部署；；；；；；；最后PPTP VPN对传输的数据不加密，，，，，，，安全性较低，，，，，，，所以微软已经不再建议使用这个和谈。。。。。。。。

ALG：通常NAT实现了对UDP或TCP报文中的IP地址及端口转换，，，，，，，但对利用层数据载荷中的字段力所不及，，，，，，，导致一些和谈不能被NAT，，，，，，，好比DNS、FTP、H323、PPTP、TFTP、SIP。。。。。。。。ALG技术能对多通路和谈进行利用层报文信息的解析和地址转换，，，，，，，将载荷中必要进行地址转换的IP地址和端口或者需特殊处置的字段进行相应的转换和处置，，，，，，，从此保障以上和谈NAT后的正确性。。。。。。。。

2、L2TP VPN技术和L2TP over IPSec VPN技术

L2TP和PPTP一样也提供一种逾越原始数据网络（如IP网络）构建二层隧路的机造，，，，，，，L2TP结合了PPTP和L2F这两种和谈的利益。。。。。。。。关于L2TP和PPTP作者时时被问到一个问题，，，，，，，PPTP和L2TP是否是统一个技术、两者有什么分歧？？？？？？？其实它们是实现一样职能的分歧技术，，，，，，，都是作为隧路技术实现对PPP数据帧的封装，，，，，，，总结来说有如下三点差距：

a、L2TP通讯使用的节造衔接和隧路衔接都是UDP和谈（UDP端标语1701），，，，，，，使得L2TP比PPTP能更好地穿越NAT设备

b、L2TP支持对隧路的验证及包头压缩，，，，，，，而PPTP不支持

c、L2TP支持在IP网络、以太网等多和谈之上传输，，，，，，，而PPTP只支持在IP网络中传输

L2TP VPN传输的数据仍未进行加密，，，，，，，为解决L2TP VPN的安全性问题，，，，，，，L2TP over IPSec VPN技术结合了L2TP和IPSec两种技术的优势，，，，，，，吓酌L2TP封装再用IPSec封装，，，，，，，通过L2TP实现用户验证和地址分配，，，，，，，并利用IPSec保险数据的安全性。。。。。。。。

▲ 图4：L2TP报文体式（节造报文和数据报文一样体式）

▲ 图5：L2TP over IPSec报文体式

3、SSL VPN技术

SSL VPN是基于SSL和谈成立远程安全接见通路的VPN技术，，，，，，，SSL和谈成立好底层的VPN隧路，，，，，，，交互的数据封装在隧路中传输。。。。。。。。

SSL VPN相迸宗另表三种VPN技术有如下四点优势：

a、客户端部署单一：用户若是使用WEB方式接入SSL VPN，，，，，，，终端无需进行配置，，，，，，，可直接使用浏览器接见HTTP资源；；；；；；；若是使用安全隧路方式接入SSL VPN，，，，，，，只需第一次使用时装置SSL VPN客户端，，，，，，，后续直接使用客户端登录即可

b、精准的用户权限节造：可对使用SSL VPN的分歧用户或用户组授权基于IP、和谈、端口等分配分歧资源权限

c、部署方便矫捷：相迸宗PPTP VPN和L2TP VPN只能使用和谈默认的TCP 1723和UDP 1701端口，，，，，，，SSL VPN能够使用肆意端口，，，，，，，且由于SSL和谈位于传输层与利用层之间不会扭转IP报文和TCP报文，，，，，，，所以使得SSL VPN能够矫捷穿透NAT设备

d、较高的安全性：SSL VPN使用加密和署名技术，，，，，，，保障了传输数据的安全性和齐全性，，，，，，，并支持使用数字证书对身份源进行验证，，，，，，，可实现对传输数据进行加密、齐全性校验和身份源验证三沉安全；；；；；；；

端到站点VPN技术选择

端到站点VPN技术看起来好多，，，，，，，其实选择一个适合自己企业的VPN技术并不难。。。。。。。。读者可从安全性、使用VPN的终端类型、部署网络环境这三个角度进行判断便能急剧确定出合用的VPN技术。。。。。。。。

首先，，，，，，，要关注使用VPN隧路传输的数据是否必要加密。。。。。。。。其次，，，，，，，要关注使用VPN的终端类型，，，，，，，分歧的VPN技术当前支持的终端类型有所分歧。。。。。。。。最后，，，，，，，要关注VPN设备是作为出口NAT设备还是穿透出口NAT设备，，，，，，，如图6所示。。。。。。。。

▲ 图6：VPN设备部署方式模型图

▲ 表1：VPN技术支持情况一览表

端到站点VPN技术部署与使用

本节重要解惑两个问题：

1、 若何在VPN设备上部署VPN技术

2、 若何在终端上进行VPN配置

本文沉点为各人介绍当前推荐使用的两种VPN技术，，，，，，，L2TP over IPSec VPN和SSL VPN的配置步骤。。。。。。。。

VPN部署步骤

VPN设备部署在出口NAT设备之下场景，，，，，，，配置时通常有如下三个步骤：

1)  出口NAT设备进行端口映射,下表列出各VPN技术使用的端口以供参考

2)  增长路由，，，，，，，保障VPN网段的内网可达

3)  VPN设备进行VPN配置

全发国际网关SSL VPN在默认情况下使用TCP443端口和UDP443端口，，，，，，，端标语可批改。。。。。。。。其中TCP端口用于提供HTTPS服务，，，，，，，如用户接见SSL VPN登录页面，，，，，，，而UDP端口用于提供安全隧路服务,如隧路协商、IP地址分配等。。。。。。。。所以若是只使用SSL VPN的WEB接入时仅映射TCP端口即可，，，，，，，若是使用SSL VPN的安全隧路接入（SSL VPN客户端接入）时需同时映射TCP和UDP端口。。。。。。。。

VPN设备作为出口NAT设备场景配置时只需配置以上步骤二和步骤三即可。。。。。。。。

▲ 表2：VPN技术使用的端口情况

VPN设备配置及使用

1、L2TP over IPSec VPN

1)   登录设备的WEB界面，，，，，，，单击“网络”“VPN设置”进入VPN配置界面，，，，，，，单击“我在总部”下面的“起头配置”

▲ 图7：全发国际网关设备VPN配置界面

2)   随后进入VPN配置向导界面，，，，，，，单击“L2TP IPSec”。。。。。。。。没有经验的使用者能够凭据自身需要单击“隧路需加密”“支持IOS终端”“支持安卓终端”“支持WIN使用”其中的一项或多项，，，，，，，设备会推荐最相宜的VPN类型

▲ 图8：VPN类型选择配置界面

3)   在进行VPN根基信息的配置时必要把稳，，，，，，，客户端使用地址要确保未在局域网中使用，，，，，，，不然会造成通讯异常，，，，，，，此表建议DNS服务器配置成和局域网用户一样的DNS预防资源接见异常

▲ 图9：VPN基础配置界面

4)   对于VPN用户身份源，，，，，，，能够使用“本地账号”或“Radius服务器账号”，，，，，，，读者能够凭据企业自身情况矫捷选择

▲ 图10：VPN用户账号配置界面

5)   在配置IPSec的IKE战术和转换集时必要把稳，，，，，，，要提前确认好VPN终端支持的IPSec协商参数，，，，，，，确保所有VPN终端都能够和VPN设备IPSec协商成功，，，，，，，若是无法确认能够使用以下的协商参数（IKE战术：DES-SHA-Group1，，，，，，，转换集：ESP-DES、ESP-SHA-HMAC），，，，，，，目前大无数主流的终端设备都支持该协商参数

▲ 图11：L2TP IPSec参数配置界面

6)   在L2TP over IPSec VPN配置成功界面有终端配置指南的链接，，，，，，，网络治理员可将链接同步给VPN使用者，，，，，，，便于领导VPN使用者若何在终端上进行VPN配置

▲ 图12：VPN配置实现界面

2、SSL VPN

1)   登录设备的WEB界面，，，，，，，单击“网络”“SSLVPN设置”进入SSL VPN配置页面，，，，，，，单击“起头配置”

▲ 图13：全发国际网关设备SSL VPN配置界面

2)   随后进入SSL VPN配置向导界面，，，，，，，单击“典型利用”，，，，，，，该部署模式合用于终端远程办公场景

▲ 图14：SSL VPN部署模式配置界面

3)   在进行SSL VPN根基信息的配置时，，，，，，，可自行界说SSL VPN服务端口，，，，，，，此表建议DNS服务器配置成和局域网用户一样的DNS预防有些资源接见异常。。。。。。。。对于SSL VPN用户认证方式，，，，，，，能够使用“本地认证”、“Radius服务器”和“优先本地认证”三种方式，，，，，，，读者能够凭据企业自身情况矫捷选择

▲ 图15：SSL VPN根基配置界面

4)   在进行SSL VPN客户端网段的配置时必要把稳，，，，，，，客户端使用地址要确保未在局域网中使用，，，，，，，不然会造成通讯异常

▲ 图16：SSL VPN接入资源配置界面

5)   SSL VPN可对分歧用户或用户组授权分歧资源，，，，，，，在用户登录SSL VPN后SSL VPN设备就会把授权的资源下发到终端（SSL VPN设备以下发路由的大局下发到终端的路由表中）。。。。。。。。网关默认有两个资源“所有网络”和“局域网”（当给用户授权“所有网络”SSL VPN设备会给终端下发一条0.0.0.0/0下一跳是SSL VPN设备的默认路由，，，，，，，当给用户授权“局域网”SSL VPN设备会给终端下发10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条下一跳是SSL VPN设备的路由）读者可凭据网络现实环境基于IP、和谈、端口界说分歧的资源授权给用户。。。。。。。。用户登录SSL VPN成功后能够通过查看本机的路由表查看到下发的路由（Windows终端在CMD上通过route print号令能够查看本机路由表）。。。。。。。。

▲ 图17：SSL VPN用户资源授权配置界面

6)   在SSL VPN配置成功界面会显示SSL VPN地址，，，，，，，网络治理员将SSL VPN地址同步给VPN使用者，，，，，，，VPN使用者装置好SSL VPN客户端输入SSL VPN地址实现SSL VPN接入

▲ 图18：SSL VPN配置实现界面

7)   VPN使用者能够通过“WEB接入”或“安全隧路接入”的方式接入SSL VPN。。。。。。。。必要把稳的是WEB接入的资源容易受到网站的限度，，，，，，，推荐读者使用“安全隧路接入”方式

全发国际网关11.1（6）B9及以上版本除部门高端型号（EG2000UE/2000XE/3000XE）表其他型号已不再支持WEB接入方式

a) WEB接入

VPN用户使用WEB浏览器登录，，，，，，，登录成功后能够使用浏览器直接接见网络治理员提前设置好的基于HTTP的利用法式

▲ 图19：全发国际网关设备SSLVPN WEB登录页面

▲ 图20：WEB接入后可接见快捷资源或其他网络权限领域内的资源

b) 安全隧路接入

VPN用户使用SSL VPN客户端登录，，，，，，，登录成功后从VPN设备获取一个虚构IP地址用于与公司内网资源通讯，，，，，，，实现远程接入用户与内网服务器，，，，，，，像在局域网一样在网络层（即IP层）之上的安全通讯，，，，，，，蕴含TCP、UDP、ICMP类型的利用等

▲ 图21：全发国际网关SSLVPN客户端登录页面

8)   VPN使用者可通过以下两种方式获取SSL VPN客户端：

a)   网络治理员登录全发国际官网（具体地址：http://www.ruijie.com.cn/fw/wt/82396/）下载SSL VPN客户端同步给VPN使用者

b)   VPN使用者使用浏览器登录SSL VPN地址，，，，，，，在WEB接入界面首页可下载SSL VPN客户端

▲ 图22：VPN使用者可通过浏览器登录SSL VPN地址下载SSL VPN客户端

 

 

有关推荐：

• 站点间IPSec VPN网络技术深度解析
• 企业办公网接入认证技术详解
• 居安思危，，，，，，，自动改革 ——浅析园区办公网络的建设