再谈企业VPN大联网
酷龙
2004-2-6
背景:我是一家公司竹木制品公司的网管,当然不是专职的,只负责做一些维护这类,现在我公司正在做ERP项目,现在我公司的情况是这样了,公司总部有15个客户端,另外在外地有一家大的分支机构,有10个客户端,其它零星分支机构专卖店分布全国,请问,你能不能教我怎样将外地的10个客户的分支联进公司的总部局域网,比如做VPN之类,另外的其他零星全国机构又该如何操作?具体要配置哪些硬件。(注,公司总部和处地的分支机构均已建成局域网,都能正常上网!
需求分析
在INTERNET,宽带路由器,VPN没有大规模商用之前。联网这个词在老百姓的认识也许只有在银行这样的大机构才会有,而这种联网是通过申请电信公司的专线来运行的,这种专线月租金丰常昂贵,对于普通企业来说是基本没法用。但是现在这种情况已一去不复返。运用VPN技术,我们可以在公共互联网上跑我们企业的“虚拟专网”,运用“隧道”和各种安全的“加密”、“身份认证”技术达到在公网上通信的安全目的,如同在茫茫的广域网络中为用户拉出一条专线。我们已经看到中小企业运用这种最经济的联网个案越来越多。
这位网友所在公司的需求就是一个中型企业跨地域联网的生动例子,所需的硬件设备也就是经济的较容易管理的具有VPN功能的宽带路由器或VPN防火墙。我们注意到这家竹木制品公司的生意蒸蒸日上,不仅在外地有一个较大分支机构,而且生意还扩展至全国。这样的公司要在当今激烈的市场竞争中要取得优势,整个公司集团就需要有紧密的联系才能对市场做出快速的反映,捕捉到商机。因为要将企业网络的“神经末梢”延伸至全国,这就需要总部有较多的VPN“隧道”才能胜任,所以我们建议网友的总部应配备具有较多的专业VPN网关设备,它要具有高性能的硬件和能支持较多的VPN条数,而分支只需支持几条VPN的产品就可以了。由于网友所在公司以及分支机构都已经建立起了各自的局域网,所以应该采用LAN-TO-LAN的VPN组网方式,也就是在各局域网的网关处装备有专门的上述VPN设备。
VPN的三种部署方案
1. 采用纯软件方式,总部安装VPN总部网关,分部安装VPN分部网关,移动用户(包括在外的笔记本和远程的单机)安装VPN客户端。这种方案有用微软的NT系统和桌面系统来做的,也有第三方开发的VPN服务与客户端软件。
2. 总部采用带VPN功能防火墙,分部用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装防火墙带的VPN客户端。VPN防火墙这类设备相对一般的带VPN功能的宽带路由器来说比较专业。较著名的产品比如有:NetScreen,Nokia, 安氏等。这些产品都能支持100条以上的VPN,数据吞吐率有较高表现,适用于企业机构的网络核心。
3. 总部采用带VPN功能宽带路由器,分部能上宽带的用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装WINDOWS带的VPN客户端。
对于较大的企业来说可以选择第二种方案,在网络性能方面有更高考虑。因为在使用VPN加解密技术后,数据的传送速度将相应下降。小企业一般采用第三种方案就足够了,市面上的产品丰常丰富。由于采用宽带路由器的VPN组网方案,小酷在这篇文章之前已经介绍过VIGOR的方案。所以本文我们将介绍第二种方案,采用的是NETGEAR的VPN防火墙解决方案。这个方案也较适合于类似网友所在公司的成长性潜在要求,能适应将来的分支机构增多的趋势,而且业务的发展,将来也可以接入一些商业伙伴的网络,实现安全的B2B电子商务。
NETGEAR FVS318和FVL328
美国网件公司(NETGEAR)秉承着创新的精神,为中小型商业企业应用提供优质和有效的解决方案,FVL328 和FVS318就是它面向中小企业级应用的两款重要产品。它们是集成了宽带路由器、防火墙、VPN一起的性能高,价格实惠的带SPI防火墙功能的路由器。网件公司的VPN解决方案采用IPSec 和FQDN 技术。基于IPSEC 协议的接入方式,可以在网络中心为远程接入系统的进行安全完整性扫描和数字证书验证,这样确保了远程用户的安全接入,使企业员工和合作伙伴能够远程安全访问企业的网络应用。NETGEAR公司创新地采用FQDN技术,并与国内最大的DDNS(动态域名解析服务)运营公司(网域科技)结盟,在上述产品里集成了花生壳客户端。用户可免费从网域科技申请到DDNS,在组建VPN网络时就可以支持网络两端均为动态的IP地址的情况,从而可低成本地组建VPN网络。客户机完整性扫描是NETGEAR FVL328特有的功能。通过扫描远端设备开放的TCP端口、坏文件、好文件以及激活的流程,为企业数据提供安全保护。
·NETGEAR的FVS318 VPN防火墙是一款真正的防火墙(见图1),它装备有如下主要硬件。
处理器: 50MHz,ARM7。内存: 1M 闪存,16Mb DRAM 。广域网端口:1个10M RJ45端口,可连接任何宽带接入。局域网端口:8个10/100M自适应RJ45 端口。
主要功能:
1.协议支持: TCP/IP、UDP、ICMP、静态IP路由、RIP-1、RIP-2、PPPoE、DHCP(Client&Server)、IPSec (ESP)、MD5、SHA-1、DES、3DES、IKE。另外还支持虚拟DMZ、虚拟服务器能力、特殊程序应用、DDNS等
2.防火墙:SPI(状态数据包过滤)可防止拒绝服务 (DoS) 攻击,入侵检测系统 (IDS) ,日志记录、汇报和电子邮件告警,Web URL 内容过滤。该设备甚至还配备了一个称着: Kensington Lock™ 防盗插槽。通过免费提供的 Freedom™ 防病毒和隐私保护软件,FVS318 VPN 防火墙可针对网络安全威胁提供最优的价值和最佳的防御。
3.VPN 功能:8条专用 VPN 隧道;手动密钥和 IKE 分配;56 位 (DES) 或 168 位 (3DES) IPsec 加密算法;MD5 或 SHA-1 鉴别算法;预共享密钥;密钥寿命和 IKE 寿命时间设置;防止重放攻击;远程接入 VPN(PC-TO-LAN)、LAN-TO-LAN VPN。
·NETGEAR的FVL328VPN防火墙(见图2)它装备有如下主要硬件:
处理器: 150MHz MIPS32。2M 闪存,16Mb DRAM 。广域网端口:1个10M RJ45端口,可连接任何宽带接入。局域网端口:8个10/100M自适应RJ45 端口。
FVL328VPN防火墙由于配置了更加强大的CPU,所以它具有同时处理100路VPN隧道的能力,也就是说可以和100个局域网进行联网运行,这对于分支机构不断扩张的企业来说具有极大的扩展性。在网络吞吐率比FVS318更胜一筹,达到50+M WAN到LAN的吞吐量,15+M 3DES VPN通道,LAN内最大用户数是253个。除此以外的网络功能和FVS318基本相似。
解决方案
我们都知道这样的事实:目前在国内,要想能申请静态公网IP得付出高昂的费用。而一般的宽带接入最普及的是拨号的ADSL,这种接入方式的最大好处是能拥有动态的公网IP地址,它不仅费用低廉,而且速度还很快(1M的ADSL已经普及,2M的ADSL将得到很快发展),有了公网IP,我们就可以部署跨越INTERNET的端到端通信,这就是我们所想要的——动态VPN。所以本案例也是针对采用支持VPN隧道双方均为动态ADSL接入(动态公网IP地址)的VPN产品与方案——以总部为中心连接全国多个分支机构的VPN网络,用于传输企业内部的数据、语音、视频业务(例如:ERP、OA、财务管理、内部实时消息、VoIP,视频会议等),整个网络是将VPN架载在数据通信运营商的公网上。总部配备一台NETGEAR的FVL328VPN,其他分支机构各配备一台FVS318 VPN,而移动用户和在家工作的员工可以通过安装特定的VPN CLIENT软件(SAFENET客户端拔号软件)连接至总部网络。
一.关于软件升级
假定您的NETGEAR FVL328设备已升级了最新的“固件”(firmware 版本1.4),已经植入花生壳动态域名解析服务客户端(关于最新版本的问题可咨询NETGEAR中国公司)。也可到以下地址下载集成了花生壳的内核:(http://www.netland.com.cn/cgi-bin/DnLoad.asp?Type=Driver&ID=1215)
产品升级步聚:
1、 进入FVL328的设置管理界面,打开Router Upgrade工具栏,打开对应的产品升级文件,点击Upload按钮。
2、 进入Dynamic DNS工具栏,点击oray.net链接,注册一个花生壳帐号即可。
3、 再去建VPN,就可以建立双方都是动态的IPSEC VPN了。
假定您的NETGEAR FVS318设备已升级了最新的“固件”(firmware 版本1.1),已经植入花生壳动态域名解析服务客户端。可到以下地址下载集成了花生壳的内核:(http://www.netland.com.cn/cgi-bin/DnLoad.asp?Type=Driver&ID=1216)。升级步骤同上。
二. VPN设置
本案将采用LAN-TO-LAN的VPN组网方式,总部采用NETGEAR FVL328,而分支采用NETGEAR FVS318。限于篇幅和主题,我们这里专注于VPN部分的设置。我们假设关于WAN和LAN部分的参数已经设好,已能正常上INTERNET。以下是总部和其中的一个分支采用的IP编址及动态域名方案:
1.总部
动态域名:head.xicp.net (广域网接口)
网络号:192.168.0.0
子网掩码:255.255.255.0
局域网接口:192.168.0.1
2.分部
动态域名:office1.xicp.net
网络号:192.168.1.0
子网掩码:255.255.255.0
局域网接口:192.168.1.1
NETGEAR方案的VPN网络结构图如下:(见图3)
(一)FVS318的设置:
1.登录FVS318,FVS318缺省的局域网地址是:http://192.168.0.1,用户名:admin,密码:password。因为在本案例中我将给FVS318分配了192.168.1.0的网络,所以要将这个局域网地址改为192.168.1.1。
2.点击左边设置管理界面的Dynamic DNS,进行动态域名设置。(见图4)选定Use a dynamic DNS service选项。从Select Service Provider下拉选框,选择我们的动态域名服务提供商www.oray.net(花生壳网站)。从Domain Name下拉选框选择动态域名后缀xicp.net。在Host Name填入我们申请的主机名office1。在User Name填入动态域名服务的用户名office1_user,在Password填入密码。点击Apply按钮启用动态域名服务。
3. 点击左边设置管理界面的VPN Settings进入VPN设置界面(见图5)。选定第一条VPN之前的单选钮,然后点击Edit按钮进入VPN Settings – Main ModeVPN设置画面(见图6、7)。在Connection Name方框填入我们为这条VPN隧道起的唯一的名字toFVL328。在Local IPSec Identifier方框填入office1.xicp.net作为IPSec的本地标识符。在Remote IPSec Identifier方框填入head.xicp.net作为IPSec的远程标识符。在Tunnel can be accessed from下拉选框选择a subnet from local address选项。在Local LAN start IP Address填入本地局域网起始地址192.168.1.1,在Local LAN finish IP Address填入0.0.0.0。在Local LAN IP Subnetmask填入255.255.255.0。在Tunnel can access下拉选框选择a subnet from local address,在Remote LAN Start IP Address方框填入远程局域网的起始IP192.168.0.1,在Remote LAN Finish IP Address填入0.0.0.0,在Remote LAN IP Subnetmask填入255.255.255.0。在Remote WAN IP or FQDN填入远程广域网线路的动态域名head.xicp.net(总部)。在Secure Association方框选择Main Mode,Perfect Forward Secrecy选择Enabled,在Encryption Protocol VPN加密协议下拉选框选择3DES加密方式。在PreShared Key公钥方框填入唯一的字符串hr5xb84l6aa9r6作为总部网关和分支网关的共享密钥,我们必须保证两边网关的这个公钥字符串完全相同。在Key Life填入公钥存活时间为3600秒,在 IKE Life填入互联网钥匙存活时间为28800秒。点击Apply按钮保存设置。
4. 返回如下画面,设置完成(见图8)。注意选定Enable。
(二)FVL328的设置
1.登录FVL328,FVS328缺省的局域网地址同样是:http://192.168.0.1,用户名:admin,密码:password。由于我们分配给总部的网络号刚好是192.168.0.1,所以这里就不用改了。
2.点击左边设置管理界面的IKE Policies打开互联网密钥交换策略配置画面(见图9、10)。在Policy Name方框输入一个适当的策略名字,这里我们用FVS318。在Direction/Type下拉选框选择Both Directions,双向VPN。在Exchange Mode下拉选框选择Main Mode。在Local Identity下拉选框选择Fully Qualified Domain Name,在Local Identity Data框填入本地的动态域名head.xicp.net。Remote Identity下拉选框选择Fully Qualified Domain Name,Remote Identity Data框填入远程的动态域名office1.xicp.net(分支机构1)。在Encryption Algorithm加密法则下拉选框选择3DES加密方式。在Authentication Algorithm鉴定法则下拉选框选择MD5。在Authentication Method鉴定方法单选Pre-shared Key,在方框内填入前面的FVS318上设置的公钥hr5xb84l6aa9r6。在Diffie-Hellman (DH) Group身份验证下拉选框选择Group 1 (768 Bit)。在SA Life Time field填入28800秒。
3.点击Apply按钮保存改变,返回如下画面:(见图11)
4.点击左边设置管理栏的VPN Policies打开VPN策略菜单页,单击Add Auto Policy添加自动策略,打开新的画面VPN – Auto Policy(见图12、13)。在Policy Name填入策略名to318。在IKE policy下拉选框选择上面设置的IKE策略FVS318。在Remote VPN Endpoint Address Type下拉选框选择Fully Qualified Domain Name,在Address Data填入远程动态域名office1.xicp.net。在SA Life Time (Seconds)框填入300秒。SA Life Time (Kbytes)填入0。选中IPSec PFS,在PFS Key Group下拉选框选择Group 2 (1024 Bit)。在. Traffic Selector Local IP下拉选框选择Subnet address子网地址,在Start IP Address框内填入192.168.0.1。Finish IP Address填入0.0.0.0,在Subnet Mask填入255.255.255.0。在Traffic Selector Remote IP下拉选框选择Subnet address,在Start IP Address填入192.168.1.1,在Finish IP Address填入0.0.0.0,在Subnet Mask填入255.255.255.0。在AH Configuration Authentication Algorithm下拉选框选择MD5,选定ESP Configuration Enable Encryption并在下拉选框选择并选择3DES,选定ESP Configuration Enable Authentication并在下拉选框选择并选择MD5,
5. 确保Enable 已被选中。点击Apply应用按钮,保存修改并返回VPN Policies页(见图14)。
至此,采用NETGEAR专业VPN防火墙网关设备的VPN组网方案已经介绍完毕。我们可以看到这些VPN设置相对软件实现方式简洁,易于管理。若网友采用NETGEAR方案,他的10个客户机的分支机构已能通过VPN访问总部内网,那么其它分布在全国零星机构,也可按同样的原理用FVS318连入总部的FVL328。FVL328能处理100个这样的分支机构。
ERP软件技术平台的发展历史,经历了三个阶段:从文件/服务器(F/S)体系结构,到客户机/服务器(C/S)体系结构,再到浏览器/服务器(B/S)体系结构。目前最后一种是广泛采用的体系结构,所以网友提出的是能跨WEB运行的ERP,小酷认为网友的ERP体系结应是最后一种,客户端基于浏览器方式。这样在总部的局域网内若已建设了ERP服务器,比如这台服务器的IP是:192.168.0.10,远程的分支用户用浏览器打开192.168.0.10,经过相应的身份验证就可以访问ERP服务。这就是VPN的功劳。
小结:本方案介绍了较专业的VPN实现方式,采用了VPN防火墙来实现VPN,它实际上还是一台网关设备,除了能解决局域网共享上广域网(INTERNET)以外,在VPN方面,和防火墙还有特殊的设计,在加解密方面采用了较安全的方案,保证用户的数据通信绝对安全。本文介绍的NETGEAR VPN实现方案适用于中型企业总分支机构的跨地域联网,在硬件性能和软件功能上足够强大。NETGEAR单独选用IPSec VPN方式,在加密方面推荐使用3DES(128 位加密),MD5 或 SHA-1 鉴别算法;预共享密钥;密钥寿命和 IKE 寿命时间设置,防止重放攻击。
本文地址:http://com.8s8s.com/it/it33885.htm