《硅谷》杂志:Easy VPN在企业中的实现与应用 |
| 2013-02-07 19:19 作者:李成渊 来源:硅谷网-《硅谷》杂志 HV: 编辑:GuiGu 【搜索试试】
|
|
据《硅谷》杂志2012年第22期刊文称,VPN(VirtualPrivateNetwork)即虚拟专用网,基于IPSecVPN技术的VPN主要目的是解决网络通信的安全性和在开放的Internet中实现异地的局域网之间虚拟连接的问题,为数据传输提供完整性、认证性和保密性,可应用于多种访问控制中。重点研究基于IPSecVPN技术用于远程访问的easyVPN的实现方式及其在现实中的应用,并以结合案例的方式提供若干相应解决方案,对部分有需求远程访问的中小企业提高办公效率有一定帮助。
0前言
计算机网络的社会化已成为了信息时代的主要推动力。伴随着网络技术和计算机技术的的快速发展,开放和自由的网络也为私密数据的被破坏或受侵犯提供了可能,因此网络信息安全逐步变得重要起来。
虚拟专用网络(VirtualPrivateNetwork,简称VPN)是在公用网络上建立起来的专用网络,提供了不同于传统专有网络中必须具备端对端物理连接要求的连接方式,而只需具备公用联网服务即可,如Internet、ATM之上的逻辑网络。
众多技术之中,IPSecVPN为企业用户提供了理想的解决方案。作为业界标准的安全协议,IPSec能为IP网提供透明的安全服务,使基于TCP/IP构建的通信网络免于遭窃听或篡改,进而增强网络通信的安全性能。
1EasyVPN概述
EasyVPN属Cisco专用VPN技术[1],分为EasyVPNServer和EasyVPNRemote两种。EasyVPNServer是Remote-AccessVPN专业设备,配置复杂,支持PolicyPushing等特性。现在的Pix、ASA等很多设备都支持。
EasyVPNRemote]迎合了分支机构所的需求,通过简单的命令,边可以Site-to-SiteVPN。[2]任何VPN配置操作都在服务器端进行,坐落在分支机构设备上客户端的具体设置则由服务器端来进行“推送”,主要是为了更为有效而正确进行分支机构的VPN配置。此类VPN并不支持路由和组播,所有的数据必须在IP网内工作,不能进行故障切换。
2EasyVPN实现
2.1案例企业需求
现有一家企业A,由于业务需要,该企业的近百家客户企业需要将各自的一台专门用于使用此企业业务的服务器放置于该企业A机房中,并需要达到所有客户企业的部分相关PC都能随时访问客户企业自己的服务器。同时,企业A中的部分人员需要能够随时在有网络的地方访问企业A机房中任何一家客户企业的服务器,以进行部分操作。
目前企业A网络为100M城域网接入,部分有条件的客户企业通过专线方式连入企业A机房中各自服务器。另外绝大多数企业须通过其他方式接入。
企业与客户的访问实现过程:
此企业采购两台ciscoasa5510-k8VPN防火墙,选用此VPN防火墙的原因在于此防火墙为思科产品,大品牌值得信任。此VPN防火墙性价比高,没有用户数限制,网络吞吐量大,能够支持的并发连接数为130000,完全满足企业A的需求以及后续的客户增加的需求。两台设备互相热备,一台设备若出现故障,会立刻切换至另一台设备,保证了业务的连续性。
客户企业的设备选定为ciscoasa5505-k8,10用户限制,足够中小客户企业使用。
企业A的公网IP为222.222.222.2/28,网关为222.222.222.1内网服务器IP段为192.168.0.0/24,其一家客户企业B公网IP为111.111.111.2/28,网关为111.111.111.1,客户企业B的服务器地址为192.168.0.2,使满足客户企业B的PC机IP设置为10.10.10.2-254/24时能够访问在企业A中的地址为192.168.0.2的服务器。
这样,当客户企业B将公网网线接入ASA5505设备的E0口后,其余PC接入其他口,IP地址设置为10.10.10.2-254,子网掩码为255.255.255.0,网关设置为10.10.10.1,DNS设置为相应DNS地址,即可远程访问企业A机房中的IP为192.168.0.2地址的服务器,但不可访问其他服务器。同样道理,客户企业也可通过将内部地址通过NAT转换成公网IP的方式,通过ASA5505设备实现到企业A的远程访问。两种方式如下图1~2所示:
图1ASA5505直接接入公网方式
图2ASA5505连接在企业内网
ASA5505以NAT方式将内网IP映射为公网IP的方式,两种方式均可使用。
2.2企业内部人员访问实现过程
2.2.1配置命令[3]
cryptoisakmppolicy10
encr3des
authenticationpre-share
group2
cryptoisakmpclientconfigurationgroupciscovpn
keycisco123
dns61.177.7.1
domaincisco.com
poolippool
acl101
aaanew-model
aaaauthenticationloginuserauthenlocal
aaaauthorizationnetworkgroupauthorlocal
usernamedaixinpassword0123456
iplocalpoolippool172.16.1.10172.16.1.20
cryptoipsectransform-setmysetesp-3desesp-md5-hmaccryptodynamic-mapdynmap10
settransform-setmyset
reverse-route
cryptomapclientmapclientauthenticationlistuserauthen
cryptomapclientmapisakmpauthorizationlistgroupauthor
cryptomapclientmapclientconfigurationaddressrespond
cryptomapclientmap10ipsec-isakmpdynamicdynmap
access-list101permitip192.168.1.00.0.0.255any
interfaceSerial1/0
ipaddress2.2.2.2255.255.255.0
serialrestart-delay0
cryptomapclientmap
2.2.2客户端连接方法
利用Ciscovpnclient软件进行配置,输入之前在ASA5510上配置的远程主机,组帐号,组密码。
图3ASA5510远程主机的配置
配置完成后保存,双击打开名为“test”的连接,输入之前配置的用户帐号以及用户密码,如图4所示。连接成功后,桌面任务栏出现已连接的图标。
图4测试连通性
此时,可以用网命令来测试与远程主机的连通性时,并通过mstsc命令来测试与远程桌面之间的连接。
利用这样的连接方式,可以实现企业A服务器管理人员在任何一个可以访问Internet的地方利用个人电脑安全高效率地远程访问机房内所有或者指定的服务器。
3总结
经过测试,EasyVPN在中小企业中能够很好很稳定地运行,通过运用相关技术。IPSecVPN[4]可以为处于开放Internet中的公司提供具有一定安全性虚拟异地连接服务,同时为网络通信、资源共享提供了完整性、认证性和保密性机制,并能够扩展应用于多种访问控制中去。
基金项目:无锡城市学院院级重点课题(WXCY-2012-GZ-006);
作者简介:
李成渊(1980-),男,讲师,主要研究群体智能算法、物联网应用。
|
|
|
|
【对“《硅谷》杂志:Easy VPN在企业中的实现与应用”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
