思科业务VPN概述和最佳实践
目标
本文档旨在向思科业务新员工概述虚拟专用网络(VPN)最佳实践。
目录
简介
似乎很久以前,你唯一可以工作的地方就是办公室。你或许还记得,回到白天,不得不在周末去办公室解决工作问题。除非您在办公室,否则没有其他方法从公司资源获取数据。那些日子已经结束了。在当今时代,你可以在路上;在家、办公室、咖啡店甚至其他国家开展业务。缺点是黑客总是想要获取你的敏感数据。仅仅使用公共互联网并不安全。您可以采取什么措施来实现灵活性和安全性?设置VPN!
VPN连接允许用户通过公共或共享网络(例如Internet)访问、发送和接收数据到私有网络或从私有网络发送和接收数据,但仍然确保与底层网络基础设施的安全连接以保护私有网络及其资源。
VPN隧道建立一个专用网络,该专用网络可以使用加密来安全地发送数据以对数据进行编码,并通过身份验证来确保客户端的身份。公司办公室通常使用VPN连接,因为即使员工不在办公室,也允许其访问其专用网络既有用也有必要。
通常,站点到站点VPN将整个网络彼此连接。它们扩展了网络,并允许从一个位置获得计算机资源供其他位置使用。通过使用支持VPN的路由器,公司可以通过公共网络(如Internet)连接多个固定站点。
为VPN设置的客户端到站点允许远程主机或客户端像位于同一本地网络一样工作。在路由器配置了Internet连接后,可以在路由器和终端之间设置VPN连接。VPN客户端除了需要匹配的设置以建立连接外,还依赖于VPN路由器的设置。此外,某些VPN客户端应用是特定于平台的,它们也取决于操作系统(OS)版本。设置必须完全相同,否则无法通信。
VPN可以使用以下任一设置:
- 安全套接字层 (SSL)
- 互联网协议安全(IPSec)
- 点对点隧道协议(PPTP) — 不像SSL或IPSec那么安全
- 通用路由封装 (GRE)
- 第 2 层隧道协议 (L2TP)
如果您以前从未设置过VPN,您会在本文中收到许多新信息。本指南不是分步指南,而是概述以供参考。因此,在继续并尝试在网络上设置VPN之前,请阅读本文的全部内容。本文中提供了特定步骤的链接。
思科不支持第三方非思科产品,包括TheGreenBow、OpenVPN、Shrew Soft和EZ VPN。严格以指导为目的。如果您需要在文章之外的这些方面获得支持,应联系第三方寻求支持。
使用VPN连接的优势
- 使用VPN连接有助于保护机密网络数据和资源。
- 它为远程员工或公司员工提供方便和可访问性,因为他们将能够轻松访问主办公室资源,而不必亲临现场,同时还能维护专用网络及其资源的安全。
- 与其他远程通信方法相比,使用VPN连接的通信提供了更高级别的安全性。高级加密算法使这成为可能,从而保护专用网络免受未经授权的访问。
- 用户的实际地理位置受到保护,不会暴露于公共或共享网络(如Internet)。
- VPN允许添加新用户或用户组,而无需额外组件或复杂的配置。
使用VPN连接的风险
- 配置错误可能会带来安全风险。由于VPN的设计和实现可能非常复杂,因此需要将连接配置任务委托给知识渊博且经验丰富的专业人员来确保专用网络的安全不会受到损害。
- 它可能不太可靠。由于VPN连接需要Internet连接,因此必须拥有信誉经过验证和测试的提供商来提供卓越的Internet服务,并保证最短甚至不出现停机。
- 如果出现需要添加新基础架构或新配置集的情况,则可能会因不兼容而出现技术问题,尤其是如果不兼容的产品或供应商与您已经使用的产品或供应商不同。
- 连接速度可能会慢。如果您使用的ISP连接提供免费VPN服务,则可能预期您的连接也会变慢,因为这些提供商不会优先处理连接速度。请注意,VPN吞吐量取决于路由器的硬件功能。
有关VPN如何工作的详细信息,请单击此处。
配置VPN时使用的提示
- 在不同站点之间配置VPN时,在两端使用不同的LAN IP子网。例如,如果连接的站点使用192.168.x.x编址方案,则您需要使用10.x.x.x或172.16.x.x - 172.31.x.x子网。另一种选择是使用不同的子网掩码。当您更改路由器IP地址时,动态主机配置协议(DHCP)上的设备将自动获取该子网中的IP地址。
- 在路由器的WAN接口上使用静态公有IP来实现稳定的VPN连接。
- 请确保所选的加密和身份验证级别与要为VPN建立VPN隧道的路由器相同。
- 确保输入的PSK和密钥生存期与远程路由器相同。PSK可以是您想要的,它只需在站点上匹配,并在客户端在其计算机上设置为客户端时与客户端匹配即可。根据设备,可能有禁止使用的符号。Key Lifetime是系统更改密钥的频率。首选证书,因为它被认为更安全。
- 对于大多数VPN,客户端使用VPN不需要证书,它只是通过路由器进行验证。例如,OpenVPN需要客户端和站点证书。
- 在第I阶段设置SA生命期的时间长于第II阶段SA生命期。如果将第I阶段缩短到第II阶段,则您将不得不频繁重新协商隧道,而不是数据隧道。数据隧道需要更高的安全性,因此最好使第II阶段的寿命短于第I阶段。
- 将所有密码更改为更复杂的密码。
VPN类型
安全套接字层(SSL)
Cisco Business RV34x系列路由器使用AnyConnect支持SSL VPN。RV160和RV260可以选择使用OpenVPN,这是另一个SSL VPN。SSL VPN服务器允许远程用户使用Web浏览器建立安全VPN隧道。此功能允许使用通过SSL超文本传输协议安全(HTTPS)浏览器支持的本地超文本传输协议(HTTP)轻松访问各种Web资源和支持Web的应用。
SSL VPN允许用户通过加密网络流量,使用安全且经过身份验证的路径远程访问受限网络。
在SSL中设置访问有两个选项:
- 自签名证书:由其自己的创建者签名的证书。不建议使用,应仅用于测试环境。
- CA签名证书:这更加安全,而且强烈建议。第三方需要付费才能验证网络是否合法并创建CA证书,然后将其附加到站点。有关CA证书的详细信息,请参阅本文的证书部分。
本文档中包含有关AnyConnect的文章的链接。有关AnyConnect的概述,请单击此处。
IPSec 简档
Easy VPN(EZVPN)、TheGreenBow和Shrew Soft是Internet协议安全(IPSec)VPN。IPSec VPN在两个对等体之间或从客户端到站点提供安全隧道。被视为敏感的数据包应通过这些安全隧道发送。必须通过指定这些隧道的特征来定义用于保护这些敏感数据包的参数,包括哈希算法、加密算法、密钥生存期和模式。然后,当IPsec对等体看到此类敏感数据包时,它会建立适当的安全隧道并通过此隧道将数据包发送到远程对等体。
当IPsec在防火墙或路由器中实施时,它可提供强大的安全性,可应用于跨边界的所有流量。公司或工作组内的流量不会产生与安全相关的处理开销。
为了成功加密和建立VPN隧道的两端,两者需要就加密、解密和身份验证的方法达成一致。IPsec配置文件是IPsec中的中心配置,用于在自动模式和手动键控模式下为阶段I和II协商定义加密、身份验证和Diffie-Hellman(DH)组等算法。
IPsec的重要组件包括互联网密钥交换(IKE)第1阶段和第2阶段。
IKE第一阶段的基本目的是验证IPSec对等体,并在对等体之间设置安全通道以启用IKE交换。IKE第1阶段执行以下功能:
- 对IPSec对等体的身份进行身份验证和保护
- 在对等体之间协商匹配的IKE安全关联(SA)策略以保护IKE交换
- 使用匹配的共享密钥的最终结果执行经过身份验证的Diffie-Hellman交换
- 设置安全隧道以协商IKE阶段2参数
- 在主模式和主动模式两种模式下发生
IKE阶段2的目的是协商IPSec SA以设置IPSec隧道。IKE阶段2执行以下功能:
- 协商由现有IKE SA保护的IPSec SA参数
- 建立IPSec安全关联
- 定期重新协商IPSec SA以确保安全
- 可选地执行额外的Diffie-Hellman交换
- 仅使用一种快速模式
如果在IPSec策略中指定完全前向保密(PFS),则在每个快速模式下执行新的DH交换,提供具有更大熵(密钥材料寿命)的密钥材料,从而更大地抵抗密码攻击。每个DH交换都需要大的指数,从而增加CPU使用并提高性能成本。
点对点隧道协议 (PPTP)
PPTP是用于在公共网络之间创建VPN隧道的网络协议。PPTP服务器也称为虚拟专用拨号网络(VPDN)服务器。PPTP有时用于其他协议,因为它速度更快,能够在移动设备上工作。但是,必须注意的是,它不像其他类型的VPN那样安全。与PPTP类型帐户连接有多种方法。点击链接了解详情:
通用路由封装
通用路由封装(GRE)是一种隧道协议,它通过封装提供一种简单的通用方法,通过另一种协议传输一种协议的数据包。
GRE封装负载,即需要将内部数据包传送到外部IP数据包内的目的网络。GRE隧道作为虚拟点对点链路运行,该链路有两个端点,由隧道源地址和隧道目标地址标识。
隧道终端通过通过干预IP网络路由封装的数据包,通过GRE隧道发送负载。沿途的其他IP路由器不解析负载(内部数据包);它们只解析外部IP数据包,将其转发到GRE隧道终端。到达隧道终端后,GRE封装将被删除,负载将转发到数据包的最终目标。
在网络中封装数据报是出于多种原因,例如当源服务器希望影响数据包到达目的主机所经过的路由时。源服务器也称为封装服务器。
IP-in-IP封装涉及在现有IP报头上插入外部IP报头。外部IP报头中的源地址和目的地址指向IP-in-IP隧道的端点。如果网络管理员知道传输数据包的路由器的环回地址,则使用IP报头堆栈将数据包通过预定路径引导到目的地。
此隧道机制可用于确定大多数网络架构的可用性和延迟。需要注意的是,从源到目的地的整个路径不必包含在报头中,但可以选择网段来定向数据包。
第 2 层隧道协议
L2TP不为它通过的流量提供加密机制。相反,它依靠其他安全协议(如IPSec)来加密数据。
在L2TP接入集中器(LAC)和L2TP网络服务器(LNS)之间建立L2TP隧道。 IPSec 隧道也建立在这些设备之间,并使用 IPSec 对所有 L2TP 隧道流量进行加密。
L2TP的一些关键术语:
- CHAP — 质询握手身份验证协议。点对点身份验证协议(PPP)。
- L2TP接入集中器(LAC)- LAC可以是连接到公共交换电话网(PSTN)的思科网络接入服务器。 LAC只需实施介质即可通过L2TP运行。LAC可以使用局域网或广域网(如公共或专用帧中继)连接到LNS。LAC是传入呼叫的发起者和传出呼叫的接收者。
- L2TP网络服务器(LNS) — 几乎任何连接到局域网或广域网的Cisco路由器都可以充当LNS。它是L2TP协议的服务器端,必须在终止PPP会话的任何平台上运行。LNS是呼出呼叫的发起者和呼入呼叫的接收者。图1描述了LAC和LNS之间的呼叫例程。
- 虚拟专用拨号网络(VPDN)-一种使用PPP来提供服务的接入VPN。
如果您想要有关L2TP的详细信息,请点击以下链接:
与思科企业VPN路由器兼容的VPN
| RV34X | RV32X | RV160X/RV260X | |
|---|---|---|---|
| IPSec(IKEv1) | |||
| 史鲁软 | Yes | Yes | Yes |
| 格林博 | Yes | Yes | Yes |
| Mac内置客户端 | Yes | Yes | 无 |
| iPhone/iPad | Yes | Yes | 无 |
| Android | Yes | Yes | Yes |
| L2TP/IPSec | 是(PAP) | 无 | 无 |
| PPTP | 是(PAP) | 是* | 是(PAP) |
| Other(其他) | |||
| AnyConnect | Yes | 无 | 无 |
| OpenVPN | 无 | Yes | Yes |
| IKEv2 | |||
| Windows 窗口版本 | 是* | 无 | 是* |
| MAC | Yes | 无 | Yes |
| iPhone | Yes | 无 | Yes |
| Android | Yes | 无 | Yes |
| VPN 技术 |
支持的设备 |
支持的客户端* |
详细信息和警告 |
|---|---|---|---|
| IPSec(IKEv1) |
RV34X、RV32X、RV160X/RV260X |
本地:Mac、iPhone、iPad、Android 其他:EasyVPN(思科VPN客户端)、ShrewSoft、Greenbow |
易于设置、故障排除和支持。它适用于所有路由器,设置简单(大部分情况下),具有最佳日志记录以排除故障。并且包括大多数设备。这就是为什么我们通常推荐ShrewSoft(免费且有效)和Greenbow(不免费,但有效)。 对于Windows,我们有ShrewSoft和Greenbow客户端作为选项,因为Windows没有纯IPSec本地VPN客户端。对于史鲁软和格林博来说,这要多一点参与,但并不难。首次设置后,可以导出客户端配置文件,然后将其导入到其他客户端。 对于RV160X/RV260X路由器,由于我们没有Easy VPN选项,因此我们必须使用第三方客户端选项,该选项与Mac、iPhone或iPad不兼容。不过,我们可以设置ShrewSoft、Greenbow和Android客户端进行连接。对于Mac、iPhone和iPad客户端,我建议使用IKEv2(参见下文)。 |
| AnyConnect |
RV34X |
Windows、Mac、iPhone、iPad、Android |
一些客户要求提供完整的思科解决方案,仅此而已。设置简单,有日志记录,但了解日志可能比较困难。需要客户端许可要求产生成本。它是完整的思科解决方案,已更新。故障排除不像IPSec那么简单,但比其他VPN选项更好。 |
| L2TP/IPSec |
RV34X |
本地:Windows 窗口版本 |
这是我向需要在Windows中使用内置VPN客户端的客户推荐的。这有两个注意事项: |
| IPSec(IKEv2) |
RV34X、RV160X/RV260X |
本地:Windows、Mac、iPhone、iPad、Android |
IKEv2的Windows本地客户端需要证书身份验证,这需要PKI基础设施,因为路由器和所有客户端都需要来自同一CA(或另一个受信任CA)的证书。 对于希望使用IKEv2的用户,我们为其Mac、iPhone、iPad和Android设备设置IKEv1,并且我们通常为其Windows设备(ShrewSoft、Greenbow或L2TP/IPSec)设置IKEv1。 |
| 开放VPN |
RV32X、RV160X/RV260X |
Open VPN是客户端 |
设置难度大,故障排除和支持困难。在RV160X/RV260X和RV320上受支持。设置比IPSec或AnyConnect更复杂,尤其是如果它们使用的是大多数证书。由于路由器上没有任何有用的日志,并依赖客户端日志,故故障排除更困难。此外,OpenVPN客户端版本更新没有警告更改接受的证书。此外,我们发现Chromebooks不适用,必须使用IPSec解决方案。 |
*我们尽可能多地测试组合,如果有特定的硬件/软件组合,请到此处进行测试。否则,请参阅按设备列出的相关配置指南,了解最新测试的版本。
证书
您是否曾访问过某个网站,并收到过有关其不安全的警告?它不会让您确信您的私人信息是安全的,而且不是!如果站点是安全的,您会在站点名称前看到一个关闭的锁图标。这是站点已验证安全的标志。您想确保锁定图标已关闭。您的VPN也是如此。
设置VPN时,应从证书颁发机构(CA)获取证书。 证书从第三方站点购买并用于身份验证。这是证明您的站点是安全的官方方式。本质上,CA是可信赖的来源,用于验证您是合法企业且可信。对于VPN,您只需以最低成本获得较低级别的证书。CA会签出您,一旦他们验证您的信息,他们会向您颁发证书。此证书可以作为文件下载到您的计算机上。然后,您可以进入路由器(或VPN服务器)并上传它。
CA在颁发数字证书时使用公钥基础设施(PKI),数字证书使用公钥或私钥加密来确保安全。CA负责管理证书请求和颁发数字证书。少数第三方CA包括IdenTrust、Comodo、GoDaddy、GlobalSign、GeoTrust和Verisign。
VPN中的所有网关必须使用相同的算法,否则它们将无法通信。为了保持简单,建议从同一受信任第三方购买所有证书。这样,多个证书便于管理,因为它们必须手动续订。
注意:客户端通常不需要证书即可使用VPN;它仅用于通过路由器进行验证。OpenVPN是例外,它需要客户端证书。
为简单起见,一些小型企业选择使用密码或预共享密钥代替证书。这不太安全,但可以免费设置。
有关证书的详细信息,请参阅以下链接:
路由器上的站点到站点VPN
对于本地和远程路由器,必须确保用于VPN连接的预共享密钥(PSK)/密码/证书和安全设置都匹配。如果一台或多台路由器使用大多数思科业务路由器使用的网络地址转换(NAT),则您需要对本地和远程路由器上的VPN连接执行防火墙豁免。
有关详细信息,请查看以下站点到站点文章:
路由器上的客户端到站点VPN
在客户端上设置VPN之前,管理员需要在路由器上配置它。
单击查看以下路由器配置文章:
创建客户端到站点配置文件
在客户端到站点VPN连接中,来自Internet的客户端可以连接到服务器以访问位于服务器后面的企业网络或LAN,但仍然可以维护网络及其资源的安全。此功能非常有用,因为它创建了新的VPN隧道,使远程工作人员和商务旅客能够使用VPN客户端软件访问您的网络,而不会影响隐私和安全性。以下文章特定于RV34x系列路由器:
用户组
在路由器上为共享同一组服务的一组用户创建用户组。这些用户组包括组的选项,例如关于如何访问VPN的权限列表。根据设备,可以允许PPTP、站点到站点IPSec VPN和客户端到站点IPSec VPN。例如,RV260具有包括OpenVPN但不支持L2TP的选项。RV340系列配备用于SSL VPN的AnyConnect,以及强制网络门户或EZ VPN。
这些设置使管理员能够控制和过滤,以便只有授权用户才能访问网络。Shrew Soft和TheGreenBow是两种最常见的VPN客户端可供下载。它们需要根据路由器的VPN设置进行配置,才能成功建立VPN隧道。以下文章专门介绍用户组的创建:
用户帐户
在路由器上创建用户帐户,以便允许使用本地数据库对本地用户进行身份验证,以用于各种服务,如PPTP、VPN客户端、Web图形用户界面(GUI)登录和安全套接字层虚拟专用网络(SSLVPN)。 这使管理员能够控制和过滤仅访问网络的授权用户。以下文章专门介绍用户帐户的创建:
客户端位置的客户端到站点
在客户端到站点VPN连接中,来自Internet的客户端可以连接到服务器以访问服务器后面的企业网络或LAN,但仍然保持网络及其资源的安全。此功能非常有用,因为它创建了新的VPN隧道,使远程工作人员和商务旅客能够使用VPN客户端软件访问您的网络,而不会影响隐私和安全性。VPN设置为在发送和接收数据时对其进行加密和解密。
AnyConnect应用与SSL VPN配合使用,并专门用于RV34x路由器。其他RV系列路由器不提供此功能。从版本1.0.3.15开始,不再需要路由器许可证,但需要为VPN的客户端购买许可证。有关Cisco AnyConnect安全移动客户端的详细信息,请单击此处。有关安装说明,请从以下文章中选择:
- 在 Mac 计算机上安装 Cisco AnyConnect Secure Mobility Client
- 在 Windows 计算机上安装 Cisco AnyConnect Secure Mobility Client
有些第三方应用可用于所有RV系列路由器的客户端到站点VPN。如前所述,思科不支持这些应用;此信息提供用于指导目的。
GreenBow VPN客户端是第三方VPN客户端应用,使主机设备能够为客户端到站点IPsec隧道或SSL配置安全连接。这是一个包含支持的付费应用。
OpenVPN是可设置和用于SSL VPN的免费开源应用。它使用客户端 — 服务器连接在服务器和远程客户端位置之间通过互联网提供安全通信。
Shrew Soft是一个免费的开源应用,可以设置并用于IPsec VPN。它使用客户端 — 服务器连接在服务器和远程客户端位置之间通过互联网提供安全通信。
RV32x路由器通常使用Easy VPN。以下是供参考的一些信息:
设置向导
最新的思科企业路由器附带VPN设置向导,可指导您完成设置步骤。通过VPN设置向导,可以配置基本的LAN到LAN和远程访问VPN连接,并分配预共享密钥或数字证书进行身份验证。有关详细信息,请查阅以下文章:
结论
本文引导您更好地了解VPN,并提供帮助您前进的提示。现在,您应准备好配置自己的!请花些时间查看链路,并确定在思科企业路由器上设置VPN的最佳方式。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
15-Jan-2020 |
初始版本 |
反馈