Cisco企业VPN概述和最佳实践
目标
本文目标将给予虚拟专用网络(VPN)最佳实践概述对任何人新建对Cisco事务。
目录
用例/介绍
那么从前似乎您可能工作的唯一的地方在办公室。您可以记住,在天返回,必须朝向到办公室在周末获得工作事情解决。除非物理的是在您的办公室,没有其他方式从公司资源得到数据。那些天结束。在今天时期,您能忙个不停;从主页、另一个办公室、咖啡店,甚至别国的执行的事务。下侧是黑客总是查找获取您的敏感数据。使用公共互联网不是安全。能执行什么获得灵活性以及安全?设置VPN!
VPN连接允许用户到/从私有网络访问,发送和接收数据通过通过公共或共享网络例如互联网,但是仍然保证一个安全连接对基础网络基础设施保护私有网络和其资源。
VPN通道设立能安全地发送数据使用加密编码数据的一私有网络和验证保证客户端的标识。公司办公室经常使用一VPN连接,因为允许他们的员工访问他们的私有网络是有用的和必要的,即使他们是在办公室外。
通常,站点到站点VPN彼此连接整个网络。他们扩大网络并且允许从一个位置的计算机资源是可用的在其他位置。通过使用VPN有能力路由器,公司能连接在一个公共网络的多个固定的站点例如互联网。
VPN的客户端对站点设置允许远程主机或者客户端,操作,好象他们在同一个本地网络查找。在路由器为互联网连接后,配置VPN连接可以设置在路由器和终端之间。VPN客户端依靠VPN路由器的设置除匹配的设置的需求之外为了建立连接。并且,某些VPN客户端客户端应用程序平台特殊化,他们依靠操作系统(OS)版本。设置必须正确地是相同的或他们不能通信。
VPN可以设置以下每一个:
- 安全套接字层 (SSL)
- Internet协议安全性(IPSec)
- 点对点隧道协议(PPTP) -不一样安全象SSL或IPSec
- 通用路由封装 (GRE)
- 第 2 层隧道协议 (L2TP)
如果从未设置VPN前面,您将获得在此条款中的很多最新信息。这是没有分步指南,然而更多一概述供参考。所以,在移动和尝试前设置在您的网络的VPN阅读此条款全文是有利的。特定步骤的链路提供在此条款中。
包括TheGreenBow, OpenVPN、泼妇软奇和EZ VPN Cisco不支持第三方,非Cisco的产品。他们为指导目的严格包括。如果需要在这些的支持在条款之外,您应该与第三方联系支持的。
使用VPN连接的好处
- 使用VPN连接帮助保护机要网络数据和资源。
- 它为远程工作者或公司员工提供便利和可访问性,因为他们能容易地访问总部资源,而不必物理的存在,仍然,维护私有网络和其资源的安全。
- 通信使用VPN连接提供高水平安全与遥远通信比较其他方法。高级加密算法由未经授权的访问做此可能,保护私有网络。
- 用户的实际地理位置保护和没有显示在公共或共享网络类似互联网。
- VPN允许新用户或将被添加的用户的一组,不用需要对于另外的组件或一复杂配置。
使用VPN连接风险
- 可以有安全风险由于误配置。因为VPN的设计和实施可以是复杂的,委托配置对一熟知和有经验的专业人员的连接任务为了确保是必要的,私有网络的安全不会被危及。
- 它可能较不可靠。因为VPN连接要求互联网连接,有一个供应商以被证明的和测试的名誉提供非常好网络服务和保证最小到没有停机时间是重要的。
- 如果情况发生有需要添加新建的基础设施或新的一套配置的地方,技术问题可能出现由于不兼容,特别是如果介入另外产品或除您已经使用的那个之外的供应商。
- 缓慢的连接速度能发生。如果使用提供自由的VPN服务的一ISP连接,可能预计您的连接也慢,因为这些供应商不优先安排连接速度。请注意VPN吞吐量取决于路由器的硬件功能。
VPN的类型
安全套接字协议层(SSL)
使用AnyConnect, Cisco企业RV34x系列路由器支持SSL VPN。RV160和RV260有选项使用OpenVPN,是另一个SSL VPN。使用Web浏览器, SSL VPN服务器允许远程用户设立安全VPN通道。此功能允许容易进入对各种各样的Web资源,并且支持Web的应用程序使用在SSL超文本传输协议的本地超文本传输协议(HTTP)巩固(HTTPS)浏览器支持。
SSL VPN允许用户远程访问限制网络,使用一条安全和已验证路通过加密网络流量。
有两个选项设置在SSL的访问:
- 自签名证书:由其自己的创建者签字的证书。没有推荐这并且应该只用于测试环境。
- CA签名证书:这是高度推荐的更多安全和。对于成本,第三方验证然后附加到站点的网络合法并且创建CA证书。关于CA证书的更多信息,请检查此条款的Certificates部分。
有链路对在AnyConnect的条款在本文内。对于AnyConnect概述,请点击此处。
IPSec简档
Easy VPN (ezvpn)、TheGreenBow和泼妇软奇是Internet协议安全性(IPSec) VPN。IPSec VPN提供安全隧道在两对等体之间或从客户端对站点。凝视敏感的数据包应该通过这些安全隧道发送。必须用于参数包括散列算法、加密算法、密钥寿命和模式保护这些敏感数据包应该通过指定这些通道特性定义。然后,当IPSec对等体看到这样一敏感数据包时,它设置适当的安全隧道并且发送数据包到此通道给远端对等体。
当IPsec在防火墙或路由器时实现,提供可以应用到交叉周边的所有流量的强有力的安全保障。在公司或工作组内的流量不导致与安全相关处理的开销。
为了成功加密和设立的VPN通道的二末端,他们需要对加密、解密和验证达成协议方法。IPSec简档是定义了算法例如加密、验证和Diffie-Hellman (DH)组相位的我和II协商在自动模式以及手工密钥模式在IPsec的中央配置。
IPsec重要组件包括互联网密钥交换(IKE)阶段1和第2阶段。
IKE第一阶段基本目的将验证IPSec对等体和设置在对等体之间的一条安全信道启用IKE交换。IKE第一阶段执行以下功能:
- 验证并且保护IPSec对等体的标识
- 协商在对等体之间的一项匹配的IKE安全关联(SA)策略保护IKE交换
- 进行一个已验证Diffie-Hellman交换与最终结果有匹配共享密钥
- 设置安全隧道协商IKE相位两参数
- 在两模式、主模式和积极模式发生
目的IKE相位两将协商IPSec SAS设置IPSec隧道。IKE相位两执行以下功能:
- 协商一现有IKE保护的SA IPSec参数SA
- 设立IPSec安全关联
- 周期地重新协商IPSec SAS保证安全
- 随意地进行一个另外的Diffie-Hellman交换
- 仅使用的一个模式,快速模式
如果完整转发安全性(PFS)在IPSec策略指定,新的DH交换用每个快速模式执行,提供有更加了不起的熵的密钥材料(密钥材料生活)和从而更加极大的电阻对密码攻击。每DH交换要求大求幂,从而增加CPU使用和苛求性能开销。
点对点隧道协议 (PPTP)
PPTP是用于的网络协议创建在公共网络之间的VPN通道。亦称PPTP服务器是虚拟专用拨号网络(VPDN)服务器。 因为更加快速并且有能力工作在移动设备, PPTP在其他协议有时使用。然而,请注意它不是一样安全象VPN的其他类型。有连接的多种方法PPTP类型帐户。点击链路学习更多:
通用路由封装
通用路由封装(GRE)是提供一简单通用的方法通过封装传输数据包在另一份协议的一份协议的隧道协议。
GRE封装有效负载,即,需要传送到一目的地网络在一外面IP数据包里面的内部信息包。GRE隧道正常运行作为有隧道源和隧道目的地地址识别的两个终端的虚拟点对点链接。
隧道终点通过GRE隧道发送有效载荷通过路由封装数据包通过干预的IP网络。其他IP路由器不解析有效负载(内部信息包);他们只解析外面IP数据包,他们转发它往GRE隧道终端。当到达隧道终点后, GRE封装删除,并且有效负载转发对数据包的最终目的地。
数据包的封装在网络的由于多种原因完成,例如,当源服务器要影响数据包开始到达目的地主机的路由时。亦称源服务器是封装服务器。
IP在IP封装介入一外面IP报头的插入在现有IP报头的。在外面IP报头点的源地址和目的地址对IP在IP通道的端点。假设网络管理员认识传输数据包的路由器的环回地址堆叠IP头用于导向在预先确定的路径的数据包到目的地。
此隧道机制可以用于确定可用性和延迟多数网络架构的。将注意从来源的整个路径到目的地在报头不必须包括,但是网络的分段可以为导向数据包选择。
第 2 层隧道协议
以隧道传输的L2TP为流量不提供加密机制。反而它依靠其他安全协议,例如IPSec,加密数据。
L2TP通道设立在L2TP接入集中器(LAC)和L2TP网络服务器(LNS)之间。IPSec 隧道也建立在这些设备之间,并使用 IPSec 对所有 L2TP 隧道流量进行加密。
与L2TP的一些关键术语:
- CHAP质询握手验证协议。一个点对点认证协议(PPP)。
- L2TP接入集中器(LAC) - LAC可以是Cisco网络接入服务器连接对公共交换电话网(PSTN)。LAC需要只实现操作的媒体在L2TP。使用一局域网或广域网例如公共或专用帧中继, LAC能连接到LNS。LAC是呼入呼叫和呼出呼叫接收方发起者。
- L2TP网络服务器(LNS) -几乎所有Cisco路由器连接对一局域网或广域网,例如公共或专用帧中继,能作为LNS。它是L2TP协议的服务器端,并且必须起作用终止PPP会话的所有平台。LNS是呼出呼叫和呼入呼叫接收方发起者。图1表示在LAC和LNS之间的呼叫程序。
- 虚拟专用拨号网络(VPDN) -使用PPP提供服务接入VPN的类型。
如果希望关于L2TP的更多信息点击以下链路:
证书
访问了一个网站和给警告不安全?它充满信心地不填装您您的私有信息安全,并且不是!如果站点安全您在站点的名称前将看到一已关闭锁图标。这是符号站点是验证的安全。您要是肯定发现关闭的该锁图标。同样真实对您的VPN。
当您设置VPN时,您应该从Certificate Authority (CA)获取证书。证书从第三方站点采购并且使用验证。它是一个正式方式证明,您的站点安全。本质上, CA是验证的可信的源您是一个合法事务,并且可以是委托。对于VPN您只需要一较底层证书在最低费用。您由CA受到检查,并且,一旦他们验证您的信息,他们将发行证书给您。此证书可以下载作为在您的计算机的一个文件。您能然后进入您的路由器(或VPN服务器)和上传它那里。
CA使用公共密钥基础设施(PKI),当发出数字证书时,使用公共密钥或专用密钥加密保证安全。CA对管理证书请求和发出数字证书负责。一些第三方CA包括IdenTrust、科莫多、GoDaddy、GlobalSign、GeoTrust和Verisign。
重要的是在VPN的所有网关使用同一种算法,否则他们不能通信。要保持事简单化,推荐所有证书从第三方同样的委托采购。当他们必须手工被更新,这保持多份证书更加容易管理。
Note:客户端通常不需要证书使用VPN;它是为验证通过路由器。对此的一例外是OpenVPN,要求客户端证书。
一些小型企业选择在为了简化的证书位置使用密码或预先共享密钥。这是安全的较少,但是可以免费设置。
关于证书的更多信息可以在下面链路找到:
在路由器的站点到站点VPN
对于本地和远程路由器,确保用于VPN连接(PSK)是重要的/password/Certificate的预先共享密钥,并且安全设置全部配比。如果一台或多台路由器使用网络地址转换(NAT),大多数Cisco企业路由器使用,您将需要执行VPN连接的防火墙免税在本地和远程路由器。
欲知更多信息,检查这些站点到站点条款:
路由器的客户端对站点VPN
在VPN在客户端前可以设置,管理员在路由器需要配置它。
单击查看这些路由器配置条款:
创建客户端对站点配置文件
在客户端对站点VPN连接,从互联网的客户端能连接到服务器访问公司网络或LAN在服务器背后,但是仍然维护网络和其资源的安全。此功能是非常有用的,因为创建将允许远程工作者和出差者访问您的网络通过使用VPN客户端软件,无需危及保密性和安全的一个新的VPN通道。以下条款是特定对RV34x系列路由器:
用户组
用户组在共享同一个服务集合用户的一集的路由器创建。这些用户组包括组的选项,类似权限列表关于怎样的他们能访问VPN。根据设备, PPTP、站点至站点IPSec VPN和客户端对站点IPSec VPN可以允许。例如, RV260有包括OpenVPN,但是不支持L2TP的选项。RV340系列配备有SSL的VPN AnyConnect,以及俘虏门户或者EZ VPN。
这些设置使管理员控制和过滤,以便只有授权用户能访问网络。泼妇软奇和TheGreenBow是两最普通的VPN客户端可以下载。他们需要根据路由器的VPN设置他们的配置能能成功设立VPN通道。以下条款特定专注建立用户组:
当组成VPN的时用户组,请务必留下在admin group的默认管理帐户和创建新用户帐户和用户组VPN的。如果移动您的管理帐户向一不同的组,您将防止自己登录路由器。结果,您会必须执行重置的出厂和为该路由器再配置,留下在admin group的默认管理帐户单独。
用户帐户
用户帐户在路由器创建为了允许使用本地数据库的本地用户的验证多种服务类似PPTP, VPN客户端、Web图形用户界面(GUI)登录和安全套接字协议层虚拟专用网络(SSLVPN)。这使管理员控制和过滤授权用户只访问网络。以下条款特定专注用户帐户的创建:
客户端位置的客户端对站点
在客户端对站点VPN连接,从互联网的客户端能连接到服务器访问公司网络或LAN在服务器背后,但是仍然维护网络和其资源的安全。此功能是非常有用的,因为创建允许远程工作者和出差者访问您的网络通过使用VPN客户端软件,无需危及保密性和安全的一个新的VPN通道。当发送并且接收, VPN设置加密和解密数据。
AnyConnect应用程序与SSL VPN一起使用和用RV34x路由器特定使用。它不是可用的与路由器其他RV系列。开始与版本1.0.3.15,路由器许可证不再是必要的,但是许可证需要为VPN的客户端采购。关于Cisco AnyConnect安全移动客户端的更多信息,请点击此处。对于在安装的方向,请从以下条款挑选:
有可以为客户端对站点VPN使用用所有RV系列路由器的一些第三方应用。如陈述以前, Cisco不支持这些应用程序;此信息为指导目的被提供。
TheGreenBow VPN客户端是使成为可能为了主机设备能配置客户端对站点IPSec隧道或SSL的一个安全连接的第三方VPN客户端客户端应用程序。这是包括支持的一有偿的应用程序。
OpenVPN是自由的,能设置和使用SSL VPN的开放原始码的软体应用程序。它使用一客户端服务器连接提供一个服务器和一个远程客户端位置之间的安全通信在互联网。
泼妇软奇是自由的,能设置和使用IPSec VPN的开放原始码的软体应用程序。它使用一客户端服务器连接提供一个服务器和一个远程客户端位置之间的安全通信在互联网。
Easy VPN是常用的在RV32x路由器。这是一些信息供参考:
设置向导
通过设置的步骤指导您的最新的Cisco企业路由器用VPN设置向导来。VPN设置向导让您配置基本LAN对LAN和远程访问虚拟专用网连接和为验证分配预先共享密钥或数字证书。欲知更多信息,检查这些条款:
使用的提示,当配置VPN时
- 请使用一个不同的LAN IP子网在两端,当配置区别站点之间时的VPN。例如,如果您连接对的站点使用一个192.168.x.x编址方案,您将要使用10.x.x.x或172.16.x.x - 172.31.x.x子网。另一个选项是有不同的子网掩码。当您更改您的路由器IP地址时,在动态主机配置协议(DHCP)的设备将自动地选择在该子网的一个IP地址。
- 请使用在路由器的广域网接口的静态公有IP稳定的VPN连接。
- 请务必选择的加密和验证级别是作为路由器您希望设立一个VPN通道到VPN的相同的。
- 请务必被输入的PSK和密钥寿命是相同的象远程路由器。PSK可以是什么您希望它是,它只必须匹配在站点和与客户端,当他们设置作为他们的计算机的时一个客户端。根据设备,可能有您不能使用的禁止符号。密钥寿命多频繁是系统更改密钥。因为被认为安全的更多证书更喜欢。
- 对于多数VPN,客户端不需要证书使用VPN,它是为验证通过路由器。例如, OpenVPN需要客户端和站点证书。
- 比您的SA第II阶段寿命设置您的在相位的SA寿命我长。如果比第II阶段使您的相位我短,则您必须反复重新协商通道频繁地与数据通道相对。数据建立隧道需要更多安全,因此有在的第II阶段的寿命短比相位i.最好的。
- 更改所有密码对更加复杂的事。
结论
此条款在您的途中导致您一更加好了解VPN与提示一起获得您。现在您应该准备配置您自己!采取一些时间查看链路和决定最佳方法设置在您的Cisco企业路由器的VPN。
反馈
相关的思科社区讨论
本文档适用于以下产品
- RV325 Dual WAN Gigabit VPN Router
- RV042 Dual WAN VPN Router
- RV042G Dual Gigabit WAN VPN Router
- RV110W Wireless-N VPN Firewall
- RV130 VPN Router
- RV130 WF VPN Router
- RV130W Wireless-N Multifunction VPN Router
- RV130W Wireless-N Multifunction WF VPN Router
- RV134W VDSL2 Wireless-AC VPN Router
- RV160 VPN Router
- RV160W Wireless-AC VPN Router
- RV215W Wireless-N VPN Router
- RV260 VPN Router
- RV260P VPN Router with PoE
- RV260W Wireless-AC VPN Router
- RV320 Dual Gigabit WAN VPN Router
- RV340 Dual WAN Gigabit VPN Router
- RV340W Dual WAN Gigabit Wireless-AC VPN Router
- RV345 Dual WAN Gigabit VPN Router
- RV345P Dual WAN Gigabit POE VPN Router