在几天前的《细说IPSec VPN技术与实现原理》这篇文章中,我们对企业部署VPN的优势及IPSec VPN的工作原理进行了描述,那篇文章前半部份可能看着比较“养眼”,因为说的都是VPN的优势之处,不过后半部分可能就比较无趣了,因为从技术角度讲,实现IPSec VPN真不是件轻松的事。不过话说回来,who care?! 只要VPN配置简单,工作稳定就好,相信很少有用户会关心IPSec VPN的技术实现细节,所以产品的易用性很重要!而接下来我们要做的,就是模拟实际应用,向您展示如何配置IPSec VPN网络。
本文我们将分两部分,分别演示组建Site to Site(站点到站点)VPN和Client to Site(客户端到站点)VPN,当然使用的都为IPSec VPN。这里还要对设备提供商Netgear(美国网件)公司表示一下感谢。先来看一下我们所使用的设备:
1、Netgear ProSafe FVS318G 8个千兆交换端口5隧道VPN防火墙
NETGEAR FVS318G图 库评 测论 坛报 价
FVS318G是网件近期推出的一款VPN产品,外形小巧(190 x 125 x 35 cm),但性能不俗,8个局域网端口与1个广域网站口全部为10/100/1000Mbps自适应Auto Uplink RJ-45端口。千兆速率为以后网络扩容提供了一定的冗余保障,可谓小巧精悍。
在VPN功能方面,FVS318G最大支持5条IPsec VPN隧道,可建立5个Site toSite或Clientto Site的VPN连接;支持IKE Security Association(SA)分配,支持3DES、AES、MD5、SHA-1等加密算法。在本次测试中我们将FVS318G模拟为放置在企业总部的网关设备,分支机构将与其建立Site to Site的VPN连接;远程移动用户将与其建立Client to Site的VPN连接。此端点在以下简称为H(headquarters)。
2、Netgear ProSafe FVX538 8个10/100交换端口200隧道VPN防火墙
NETGEAR FVX538图 库评 测论 坛报 价网购实价
FVX538是网件在05年推出的一款产品,不错的功能表现、足够数量的VPN隧道数(200条)以及相对实惠的价格,使其成为中小商用网络用户的不错选择。在功能上,FVX538与FVS318G非常相似(两者均为最新版固件),不过在硬件配置上,FVX538比FVS318G高出不少,性能自然也高出许多。在本次测试中我们将FVX538模拟为放置在分支机构的网关设备,其与总部的FVS318G建立Site to Site的VPN连接。此端点在以下简称为B(Branch)。>>
Site toSite VPN配置
VPN Diagram
我们首先来看一下网络拓扑结构。在H点,网络的核心是一台FVS318G VPN网关。对于有条件的企业来,可以向当地电信申请静态IP地址,这当然是最好的情况,但如果没有静态IP怎么办?在这种情况下可以借助动态域名(DDNS)来实现在INTERNET上寻址。FVS318G支持多种DDNS,包括:DynDNS、TZO、Oray、3322。在本次测试中,FVS318G使用ADSL拔号上网,由于是动态IP地址,我们为其设置了DDNS解析,域名为xiaemule.3322.org。FVS318G内网IP为192.168.1.102,内网服务器(模拟企业应用服务器)地址为192.168.1.201。
分支机构,B点的网络核心是一台FVX538 VPN网关,通过ADSL拔号连入INTERNET,使用动态IP,没有配置DDNS解析。在本例中,B点网络将通过VPN隧道与H点(总部)网络相连,使B点用户可以访问到位于H点的192.168.1.201这台服务器。FVX538内网IP地址192.168.0.101。
H端点:配置FVS318G
对于DDNS与ADSL拔号配置我们将不在这里进行说明。登录FVS318G,在VPN菜单下可以看到Policies、VPN Wizard等功能模块,在Policies中包含最重要的两个策略,IKE和VPN策略。您可以在《细说IPSec VPN技术与实现原理》这篇文章中了解到什么是IKE。当然,您可以通过手动方式分别配置IKE和VPN策略,不过笔者建议您不要那么做,我们可以使用VPN向导(VPN Wizard)来完成配置,这样做更快速,最主要的这可以避免不必要的失误,因为输错一个字符VPN连接可能就无法成功建立。所以我们推荐用户先使用向导生成策略,再手动修改策略。
策略
VPN配置向导(VPN Wizard)
VPN配置向导
因为我们要建立的是Site to Site的连接,所以在第一个选项中我们选择“Gateway”。
在第二个区域中,Connection name将作为IKE策略和VPN策略的名称,起标识作用。pre-shared在这里是12345678
在第三个End Point区域中,remote端,也就是B端,因为是没有固定IP的,所以我们可以输入一个用于标识设备的FQDN(主机域名全称),这里我们输入的是fvx538.com。Local端,也就是H端,需要填写固定的公共IP地址或INTERNET域名,这里我们输入的是xiaemule.3322.org。
在第四个区域中,这里填写的是remote端,也就是B端的IP地址和了网掩码。然后点击Apply,H端的VPN策略就完成一半了,下面我们来修改策略。配置向导仅有一个页面,使用起来还是很方便的。>>
修改IKE策略
IKE策略
IKE策略仅有两个地方需要修改,需要将Direction / Type由both改为responder,和Exchange Mode由main改为Aggressive,然后点击保存即可。
修改VPN策略
VPN策略
在第一个区域中将enable netBIOS取消选择,在第二个区域中,将Local IP和Remote IP修改为any,然后点击保存即可。至此,H端点配置完毕。
B端点:配置FVX538
VPN配置向导(VPN Wizard)
VPN配置向导
对比一下不难看出,B端设置与H端设置是非常相似的。只在第三、四部分有些不同。>>
修改IKE策略
IKE策略
IKE策略仅有两个地方需要修改,需要将Direction / Type由both改为Initiator,和Exchange Mode由main改为Aggressive,然后点击保存即可。
修改VPN策略
VPN策略
在第一个区域中将enable netBIOS取消选择,然后点击保存即可。至此,B端点配置完毕。在修改IKE策略前需要先停止相应的VPN策略,所以当修改完VPN策略后需要启用该策略,VPN策略启用后会自动进行连接。
在这里说一下Traffic Selection选项,简单的讲这是一个匹配筛选机制,当用户的IP地址在Local IP范围内,且要访问的目标地址在Remote IP范围内,这样的流量才会通过VPN隧道被传送至对端,在这里也就是H端,其余的流量仍然会通过NAT被传输至INTERNET。
Ping H端内网应用服务器
Ping H端广域网地址
在Ping H端内网应用服务器时有些许超时现象,响应时间也要稍长于直接PING H端广域网地址。这一方面可能是因为物理线路的问题,再有就是数包的封装、解封也会产生时延。>>
ClienttoSite VPN配置
VPN Diagram
我们再来看一下网络拓朴图,在ClienttoSite场景中,Client是用户的电脑,一般是笔记本,用户出差在外需要访问H端内网的服务器192.168.1.201。客户端软件安装在用户的电脑中,通过“拔号”可以与H端建立VPN连接,进而访问H端的内网资源。
H端点:配置FVS318G
VPN配置向导(VPN Wizard)
VPN配置向导
在ClienttoSite场景中,配置向导变得更加实用,当在区域一中点选VPN Client时,区域三中的信息将自动生成,区域四变为不可修改状态,用户只需填写区域二中Connection Name和pre-shared key即可,此处分别为remoteac和12345678。
修改VPN策略
VPN策略
使用VPN配置向导生成的IKE策略不需要做任何修改。唯一需要修改的是VPN策略中的Traffic Selection,只要将Local IP由Subnet改为Any即可。点击保存即完成了H端的配置。
虽然由向导生成的IKE策略无需修改,相应的VPN策略就可以工作,但这里有个问题,在用户通过客户端连接到H端时,默认的IKE策略是不要求用户进行额外验证的。我们打个比方,当别人使用你的电脑时,你可能不希望他通过VPN连到H端的内网中,但由于默认IKE策略是不要求用户二次验证的,所以你无法阻止他与H端建立VPN连接。
XAUTH Configuration
为了解决这类问题,FVS318G在IKE策略中提供了XAUTH(Extended Authentication)功能。XAUTH为那些需要区分每个用户进行身份验证的应用提供了一种身份认证机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。>>
在配置VPN的IKE策略的时候,选择要求使用XAUTH验证,就可以启用VPN的XAUTH功能。FVS318G提供了两种模式:IPsec Host — 作为客户端,在连接到中心时需要提供用户名和密码;Edge Device — 作为服务器端(中心),要求客户端必须进行口令验证。
网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程,如果用户不合法,则中断VPN连接。在本场景中我们将演示如何配置本地用户信息数据库。
VPN Client(本地用户信息数据库)
首先在Extended Authentication区域选择Edge Device,Authentication Type选择User Database,然后在VPN Client中填加用户信息即可,只需提供用户名和密码。
配置客户端软件
对于如何配置客户端软件笔者就不在这里详细描述了,要在四个页面中进行设置,一步一步很间单,网件公司也提供了标准的配置模板,建议用户先导入再修改。
左:XAUTH验证 右:ClienttoSite VPN连接已建立
因为我们修改了H端的IKE策略,启用了XAUTH验证,所以在建立ClienttoSite VPN连接时需要用户输入身份信息。客户端软件装好后会在系统托盘显示一个“S”图标,VPN连接建立后会在其上出现一个黄色的小钥匙图案,当有数据通过时,图标右侧会显示绿色。
Ping H端内网应用服务器
Ping H端广域网地址
从结果来看,Ping H端内网应用服务器与H端广域网地址表现非常接近,时延主要来自物理线路本身。>>
增强功能及注意事项
1、Mode Config
远程用户IP地址
上图截自H端的应用服务器(192.168.1.201),图中出现的IP地址192.168.0.2是本地笔者正在使用的电脑,笔者通过Client to Site的方式正在访问服务器的资源。由于用户可能在任何地方发起VPN连接,所以192.168.0.2这个IP地址可能是任何取值,这就给管理带来了一定的麻烦。另外出于安全考虑,管理员可能会在192.168.1.201这台服务器上设置访问策略,只允许特定子网地址进行访问,如果远程用户的IP地址是不可控的,那么这一安全策略便无法实施。
Mode Config
解决这些问题的一个方法是为Client to Site用户指派特定的IP,类似于我们熟悉的DHCP功能。当用户与H端建立VPN连接后,H端会指派一个虚拟IP给客户端,这样便可以实现可管理性。在FVS318G中这一功能称为Mode Config。
2、VPN Pass through
VPN Pass through
在路由器上经常可以看到VPN Pass through这一功能,这个功能不是与对端(VPN网关)建立VPN隧道,它的作用是允许内网用户发起的Client to Site VPN连接可以成功通过本地网关,否则VPN连接将无法建立。这一功能还是相当实用的,现在很多家庭都是通过路由器共享上网,这种情况下我们的电脑处于内网中,没有VPN Pass through功能,用户将无法建立Client to Site VPN连接。现在的路由器产品从低端至高端几乎都具备这一功能。
总结
IPSec VPN网络除了具有良好的传输安全性之外,另一大优势就是它可以承载所有基于IP的通信,对于上层应用程序来讲不需要做任何修改。IPSec技术本身比较复杂,不过,如何将技术变为易于使用的产品这就要看厂家的“功力”了,看完全文相信你会有这样一个感觉——中小企业组建VPN网络并不难。
最后再说一下成本问题,FVX538目前市场价格在4000左右,支持200条IPSec VPN隧道,比较适合部署在企业总部;FVS318G是全千兆接口,相比其上一代产品FVS318性能提升不少,由于是新品,目前我们还没拿到价格,FVS318目前售价在900元以内,推算一下FVS318G售价应该在1500-2000左右。如果用户比较在意成本,选用低端产品的话,组建IPSec VPN网络总体花费控制在2000元以内是没有问题的。[返回频道首页]
