概述
随着互联网的飞速发展,跨越地域的沟通日益便利,商业世界也因此变得愈加平坦,越来越多的企业已使用互联网来作为对外提供服务的接口。如何通过廉价的互联网服务来实现跨越地域和国际的内部通讯网络建设,已成为众多企业的燃眉之急。
VPN(Virtual Private Network,虚拟个人网)是一种新的技术实现手段。使用该技术可以利用费用低廉的互联网线路将不同物理位置的办公场所互连,隐藏互联网中的具体传输过程,使得整个网络的逻辑架构类似直接互连。此外也可以在企业的互联网边界配置VPN接入服务器,为出差人员、移动用户、SOHO工作者提供简便快捷接入公司内网的手段。
VPN不仅仅可以将互联网虚拟成为企业内网的简单传输通道,还可以通过3DES/AES等强加密手段来实现数据的安全传送,避免在传输网络上的泄密。
适用场景
- 需要通过互联网来安全互连多个分支办公网络
- 需要基于互联网为移动/SOHO用户提供安全的企业内网接入
Cisco VPN可提供如下四类VPN接入模式,以满足用户不同的业务需求:
LAN-To-LAN IPSec VPN - 适合中小型分支或办事处同总部之间的完全互连
Remote Access VPN(EasyVPN)-具有小型分支或者办事处的中小企业/移动或出差用户需要访问内部网络
DMVPN(动态多点VPN)-中心端点拥有静态公网地址,各分支机构均为动态公网地址且分支端需要相互建立VPN通讯
SSL VPN - 移动或出差用户需要访问内部网络
功能及优势
- 更低的互连成本
借助现有的互联网,可以省去极为昂贵的每个月的专线租赁费用
- 安全性
思科IPSEC VPN支持DES/3DES高强度加密以防止数据被截获后破译,同时IPSEC具有身份验证和数据完整性校验功能,以反正数据中途被篡改和各种重放攻击。
- 私密性
通过一些列的安全加密算法和摘要校验步骤,极大的保障了数据传输的安全性,同时在VPN服务端和站点端建立了安全的隧道,这对于用户的访问几乎是透明的,从而达到近似于在局域网内的访问效果。
架构组成
VPN网关
VPN网关部署在企业总部,为其他VPN客户端提供接入服务,思科ISR路由器和ASA系列防火墙均可作为VPN网关。
认证服务器
提供并维护用户认证数据库,当VPN网关将用户认证信息发送至认证服务器时,认证服务器将用户信息与自身数据库的用户信息进行比对,如果认证通过,即给VPN网关发送认证成功信息以准许用户接入。
可作为认证服务器的设备包括:
- Windows IAS服务器
- 思科ACS服务器
- OpenLDAP服务器
- 其他的可提供标准的Radius服务的设备
固定客户端
VPN固定客户端部署在各分支机构,为本地流量至中心场点的通讯提供安全加密传输服务。思科ISR路由器和ASA系列防火墙均可作为固定硬件VPN客户端使用。
移动客户端
移动办公或者出差办公人员,可通过安装思科VPN Client软件,利用Remote VPN安全连接至VPN网关。也可利用浏览器安装SSL VPN客户端软件,使用SSL VPN功能安全访问企业内部网络。
典型配置
VPN网关或客户端 - 路由器:
- CISCO861-K9 Cisco 861 Ethernet Security Router
- CISCO1841 Modular Router w/2xFE, 2 WAN slots, 32 FL/128 DR
- CISCO2811 2811w/ACPWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D
- CISCO3825 3825 w/AC PWR, 2GE,1SFP, 2NME, 4HWIC, IP Base, 64F/256D
- ...
VPN网关或客户端 - ASA系列防火墙:
- ASA5505-50-BUN-K8 ASA5505 Appliance with SW, 50 Users, 8 ports, DES
- ASA5510-BUN-K9 ASA5510 Appliance with SW, 5FE,3DES/AES
- ASA5520-BUN-K9 ASA5520 Appliance with SW, HA, 4GE+1FE, 3DES/AES
- ...
VPN客户端软件:
- Cisco VPN Client
VPN认证服务器:
- CSACSE-1113-K9 Cisco Secure ACS 4.X Solution Engine 1113 Appliance
- Microsoft IAS Server