VPN技术浅谈之如何部署远程办公网络

前言

在武汉爆发新型冠状病毒疫情的背景下，各公司都已经启动了节后在家办公的机制，中国正上演一场全球最大规模的在家远程办公，同舟共济战疫情。为了使远程办公的员工安全、便捷地访问公司内网资源，使用VPN技术是最合适的选择。

什么是VPN技术？VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。远程办公的员工可以通过VPN在互联网上架设一条安全的通道到公司的内网并访问公司资源。

随着VPN技术的发展，当前存在许多不同的VPN技术，如果按照业务用途可以将VPN分为“站点到站点VPN”和“端到站点VPN”两类。站点到站点VPN常用于两个公司之间的网络互通，典型的场景是总部和分支之间，比如L2TP VPN、L2TP over IPSec VPN、IPSec VPN、GRE over IPSec VPN、SSL VPN等。端到站点VPN常用于远程办公人员和公司网络互通，比如PPTP VPN、L2TP VPN、L2TP over IPSec VPN、SSL VPN等。本文从端到站点VPN的概念简述、技术选择、部署与使用这三面进行展开讲解，希望能够帮助各位读者深入了解到如何部署远程办公网络。

尊龙时凯支持VPN的设备有很多种，不同设备对各VPN技术的支持情况略有差异，本文以尊龙时凯网关设备为例给大家讲解VPN的选择与部署，如读者使用其他设备欢迎联系尊龙时凯工程师或到尊龙时凯官网咨询，感谢。

▲ 图1：常见企业VPN接入拓扑模型

端到站点VPN技术简述

1、PPTP VPN技术

PPTP最早由微软等厂商主导开发的一种点对点二层隧道技术，PPTP通信需要建立两个连接，控制连接和隧道连接，控制连接使用TCP协议（TCP端口号1723）创建控制通道来发送控制命令，隧道连接利用GRE通道（IP协议号47）来封装PPP数据包来发送数据。

▲ 图2：PPTP报文格式（控制报文）

▲ 图3：PPTP报文格式（数据报文）

PPTP VPN技术当前存在一些不足，首先PPTP VPN只能在IP网络上使用；其次因为正常情况下GRE报文无法通过NAT，使得NAT设备需要支持应用层网关（Application Layer Gateway，ALG）功能才能部署；最后PPTP VPN对传输的数据不加密，安全性较低，所以微软已经不再建议使用这个协议。

ALG：普通NAT实现了对UDP或TCP报文中的IP地址及端口转换，但对应用层数据载荷中的字段无能为力，导致一些协议不能被NAT，比如DNS、FTP、H323、PPTP、TFTP、SIP。ALG技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从此保证以上协议NAT后的正确性。

2、L2TP VPN技术和L2TP over IPSec VPN技术

L2TP和PPTP相同也提供一种跨越原始数据网络（如IP网络）构建二层隧道的机制，L2TP结合了PPTP和L2F这两种协议的优点。关于L2TP和PPTP作者经常被问到一个问题，PPTP和L2TP是否是同一个技术、两者有什么不同？其实它们是实现相同功能的不同技术，都是作为隧道技术实现对PPP数据帧的封装，总结来说有如下三点差异：

a、L2TP通信使用的控制连接和隧道连接都是UDP协议（UDP端口号1701），使得L2TP比PPTP能更好地穿越NAT设备

b、L2TP支持对隧道的验证及包头压缩，而PPTP不支持

c、L2TP支持在IP网络、以太网等多协议之上传输，而PPTP只支持在IP网络中传输

L2TP VPN传输的数据仍未进行加密，为解决L2TP VPN的安全性问题，L2TP over IPSec VPN技术结合了L2TP和IPSec两种技术的优势，先用L2TP封装再用IPSec封装，通过L2TP实现用户验证和地址分配，并利用IPSec保障数据的安全性。

▲ 图4：L2TP报文格式（控制报文和数据报文相同格式）

▲ 图5：L2TP over IPSec报文格式

3、SSL VPN技术

SSL VPN是基于SSL协议建立远程安全访问通道的VPN技术，SSL协议建立好底层的VPN隧道，交互的数据封装在隧道中传输。

SSL VPN相比于另外三种VPN技术有如下四点优势：

a、客户端部署简单：用户如果使用WEB方式接入SSL VPN，终端无需进行配置，可直接使用浏览器访问HTTP资源；如果使用安全隧道方式接入SSL VPN，只需第一次使用时安装SSL VPN客户端，后续直接使用客户端登录即可

b、精准的用户权限控制：可对使用SSL VPN的不同用户或用户组授权基于IP、协议、端口等分配不同资源权限

c、部署方便灵活：相比于PPTP VPN和L2TP VPN只能使用协议默认的TCP 1723和UDP 1701端口，SSL VPN可以使用任意端口，且因为SSL协议位于传输层与应用层之间不会改变IP报文和TCP报文，所以使得SSL VPN可以灵活穿透NAT设备

d、较高的安全性：SSL VPN使用加密和签名技术，保证了传输数据的安全性和完整性，并支持使用数字证书对身份源进行验证，可实现对传输数据进行加密、完整性校验和身份源验证三重安全保护

端到站点VPN技术选择

端到站点VPN技术看起来很多，其实选择一个适合自己企业的VPN技术并不难。读者可从安全性、使用VPN的终端类型、部署网络环境这三个角度进行判断便能快速确定出适用的VPN技术。

首先，要关注使用VPN隧道传输的数据是否需要加密。其次，要关注使用VPN的终端类型，不同的VPN技术当前支持的终端类型有所不同。最后，要关注VPN设备是作为出口NAT设备还是穿透出口NAT设备，如图6所示。

▲ 图6：VPN设备部署方式模型图

▲ 表1：VPN技术支持情况一览表

端到站点VPN技术部署与使用

本节主要解惑两个问题：

1、如何在VPN设备上部署VPN技术

2、如何在终端上进行VPN配置

本文重点为大家介绍当前推荐使用的两种VPN技术，L2TP over IPSec VPN和SSL VPN的配置方法。

VPN部署步骤

VPN设备部署在出口NAT设备之下场景，配置时通常有如下三个步骤：

1) 出口NAT设备进行端口映射,下表列出各VPN技术使用的端口以供参考

2) 添加路由，保证VPN网段的内网可达

3) VPN设备进行VPN配置

尊龙时凯网关SSL VPN在默认情况下使用TCP443端口和UDP443端口，端口号可修改。其中TCP端口用于提供HTTPS服务，如用户访问SSL VPN登录页面，而UDP端口用于提供安全隧道服务,如隧道协商、IP地址分配等。所以如果只使用SSL VPN的WEB接入时仅映射TCP端口即可，如果使用SSL VPN的安全隧道接入（SSL VPN客户端接入）时需同时映射TCP和UDP端口。

VPN设备作为出口NAT设备场景配置时只需配置以上步骤二和步骤三即可。

▲ 表2：VPN技术使用的端口情况

VPN设备配置及使用

1、L2TP over IPSec VPN

1) 登录设备的WEB界面，单击“网络”“VPN设置”进入VPN配置界面，单击“我在总部”下面的“开始配置”

▲ 图7：尊龙时凯网关设备VPN配置界面

2) 随后进入VPN配置向导界面，单击“L2TP IPSec”。没有经验的使用者可以根据自身需求单击“隧道需加密”“支持IOS终端”“支持安卓终端”“支持WIN使用”其中的一项或多项，设备会推荐最合适的VPN类型

▲ 图8：VPN类型选择配置界面

3) 在进行VPN基本信息的配置时需要注意，客户端使用地址要确保未在局域网中使用，否则会造成通信异常，此外建议DNS服务器配置成和局域网用户相同的DNS避免资源访问异常

▲ 图9：VPN基础配置界面

4) 对于VPN用户身份源，可以使用“本地账号”或“Radius服务器账号”，读者可以根据企业自身情况灵活选择

▲ 图10：VPN用户账号配置界面

5) 在配置IPSec的IKE策略和转换集时需要注意，要提前确认好VPN终端支持的IPSec协商参数，确保所有VPN终端都可以和VPN设备IPSec协商成功，如果无法确认可以使用以下的协商参数（IKE策略：DES-SHA-Group1，转换集：ESP-DES、ESP-SHA-HMAC），目前大多数主流的终端设备都支持该协商参数

▲ 图11：L2TP IPSec参数配置界面

6) 在L2TP over IPSec VPN配置成功界面有终端配置指南的链接，网络管理员可将链接同步给VPN使用者，便于指导VPN使用者如何在终端上进行VPN配置

▲ 图12：VPN配置完成界面

2、SSL VPN

1) 登录设备的WEB界面，单击“网络”“SSLVPN设置”进入SSL VPN配置页面，单击“开始配置”

▲ 图13：尊龙时凯网关设备SSL VPN配置界面

2) 随后进入SSL VPN配置向导界面，单击“典型应用”，该部署模式适用于终端远程办公场景

▲ 图14：SSL VPN部署模式配置界面

3) 在进行SSL VPN基本信息的配置时，可自行定义SSL VPN服务端口，此外建议DNS服务器配置成和局域网用户相同的DNS避免有些资源访问异常。对于SSL VPN用户认证方式，可以使用“本地认证”、“Radius服务器”和“优先本地认证”三种方式，读者可以根据企业自身情况灵活选择

▲ 图15：SSL VPN基本配置界面

4) 在进行SSL VPN客户端网段的配置时需要注意，客户端使用地址要确保未在局域网中使用，否则会造成通信异常

▲ 图16：SSL VPN接入资源配置界面

5) SSL VPN可对不同用户或用户组授权不同资源，在用户登录SSL VPN后SSL VPN设备就会把授权的资源下发到终端（SSL VPN设备以下发路由的形式下发到终端的路由表中）。网关默认有两个资源“所有网络”和“局域网”（当给用户授权“所有网络”SSL VPN设备会给终端下发一条0.0.0.0/0下一跳是SSL VPN设备的默认路由，当给用户授权“局域网”SSL VPN设备会给终端下发10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条下一跳是SSL VPN设备的路由）读者可根据网络实际环境基于IP、协议、端口定义不同的资源授权给用户。用户登录SSL VPN成功后可以通过查看本机的路由表查看到下发的路由（Windows终端在CMD上通过route print命令可以查看本机路由表）。