VPN是什么��?
希望為遠(yuǎn)程員工提供核心網(wǎng)絡(luò)資源的虛擬現(xiàn)場(chǎng)訪問權(quán)限或者希望將分支機(jī)構(gòu)連接到核心網(wǎng)絡(luò)的大多數(shù)組織都使用虛擬專用網(wǎng)(VPN)����。VPN是加密隧道,可以通過(guò)不安全的公共基礎(chǔ)設(shè)施(通常是互聯(lián)網(wǎng))進(jìn)行安全�����,保密的數(shù)據(jù)傳輸���。
站點(diǎn)間VPN是什么����?
站點(diǎn)間VPN是一種較常用的VPN實(shí)施,在這種實(shí)施中��,托管網(wǎng)絡(luò)資源的一個(gè)位置通過(guò)VPN安全地連接到另一個(gè)位置(此處可能也托管著資源)�����;通常��,這兩個(gè)位置屬于同一個(gè)組織���。
站點(diǎn)間VPN部署在每個(gè)位置的安全設(shè)備/防火墻之間����。位于這些防火墻之后的客戶端設(shè)備(例如筆記本電腦或工作站)不需要安裝軟件或配置本地設(shè)置即可與對(duì)方站點(diǎn)發(fā)送或接收數(shù)據(jù)���。
在網(wǎng)格站點(diǎn)間VPN(也稱為“分支到分支”)中����,組織的各個(gè)網(wǎng)絡(luò)全部都通過(guò)VPN彼此連接���。在中心輻射型拓?fù)渲?��,所有衛(wèi)星分支機(jī)構(gòu)網(wǎng)絡(luò)(“分支”)通過(guò)VPN隧道連接回中心辦公室(“中心”);分支彼此間不會(huì)直接交換數(shù)據(jù)���。
為什么VPN難以部署�?
使用傳統(tǒng)架構(gòu)時(shí)��,隨著分布式站點(diǎn)數(shù)量的增加���,多站點(diǎn)VPN的配置和管理復(fù)雜性之高令人望而卻步��。這是因?yàn)槊總€(gè)VPN隧道的兩端都需要進(jìn)行手動(dòng)創(chuàng)建和調(diào)整�,而且這些操作通常需要通過(guò)復(fù)雜的命令行界面來(lái)完成��。這是一個(gè)既耗時(shí)又容易出錯(cuò)的過(guò)程:需要為每個(gè)隧道手動(dòng)指定和配置兩次變量�,例如兩個(gè)安全設(shè)備接口的IP地址、預(yù)共享密鑰或證書����、身份驗(yàn)證和加密協(xié)議、可導(dǎo)出的子網(wǎng)列表等�����。試想:如果主要廣域網(wǎng)上行鏈路故障切換至3G/4G鏈路且VPN的外部IP地址變更�����,則需要為新地址重新確定上述所有設(shè)置才能恢復(fù)VPN功能。
思科Meraki解決方案
自動(dòng)VPN:快速輕松的設(shè)置
思科Meraki MX是一款基于云的安全設(shè)備��,具有完全集成的網(wǎng)絡(luò)和安全功能�,例如企業(yè)級(jí)狀態(tài)防火墻、深入的第7層應(yīng)用可視性與可控性���、廣域網(wǎng)優(yōu)化���、符合CIPA標(biāo)準(zhǔn)的內(nèi)容過(guò)濾等。此外�,所有MX型號(hào)都支持自動(dòng)VPN功能,只需在思科Meraki控制面板中點(diǎn)擊兩次即可配置站點(diǎn)間第3層IPsec VPN��,將一項(xiàng)耗時(shí)的工作壓縮到僅僅幾分鐘之內(nèi)�����。
要啟用自動(dòng)VPN�,思科基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)將用作組織中的MX之間的代理,協(xié)商VPN路由�、身份驗(yàn)證和加密協(xié)議,而密鑰會(huì)自動(dòng)變換�。其過(guò)程如下所示:
1.MX向思科基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)通告自己的廣域網(wǎng)IP地址和任何活動(dòng)的NAT穿越UDP端口�����。設(shè)備到基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)的通信會(huì)加密兩次:通過(guò)Meraki專有加密算法加密一次,使用SSL再加密一次���。
2.思科基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)收到MX通告和公共IP地址��?����?刂泼姘鍙腗X收到廣域網(wǎng)IP和NAT穿越信息��,以及它們的公共IP地址(如果MX位于NAT設(shè)備之后���,則該地址與其廣域網(wǎng)IP不同)。
3.基于遠(yuǎn)端的SaaS網(wǎng)絡(luò)管理平臺(tái)維護(hù)一個(gè)用于跟蹤組織中所有MX的動(dòng)態(tài)度�����。對(duì)組織中的每臺(tái)MX�、它都會(huì)跟蹤其廣域網(wǎng)IP地址、公共IP地址�����、NAT穿越端口和本地子網(wǎng)。當(dāng)新的MX聯(lián)機(jī)時(shí)����,其信息會(huì)添加到此表中。
4.選擇適當(dāng)?shù)腎P地址�����。對(duì)每臺(tái)MX��,基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)決定使用其廣域網(wǎng)IP還是公共IP地址來(lái)建立安全的VPN隧道��。它會(huì)盡可能使用MX的廣域網(wǎng)IP地址��;這可以在對(duì)等MX之間提供較短的VPN路徑(例如�,當(dāng)多個(gè)VPN對(duì)等體通過(guò)MPLS連接到主數(shù)據(jù)中心并從那里連接到外部的互聯(lián)網(wǎng)時(shí))。
5.協(xié)商VPN隧道���。思科基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)已經(jīng)知道每臺(tái)MX的VLAN和子網(wǎng)信息�,現(xiàn)在是用于創(chuàng)建隧道的IP地址��?;谠贫说腟aaS網(wǎng)絡(luò)管理平臺(tái)與MX確定16個(gè)字符的預(yù)共享密鑰(每個(gè)組織一個(gè)密鑰)���,并建立一個(gè)128位AES加密的IPsec隧道。通過(guò)VPN導(dǎo)出IT管理員在控制面板中指定的本地子網(wǎng)�����。
6.將VPN路由從控制面板推送至MX���。較后,控制面板會(huì)將VPN對(duì)等體信息(例如導(dǎo)出的子網(wǎng)����、隧道IP信息)動(dòng)態(tài)推送至每臺(tái)MX。每臺(tái)MX將此信息存儲(chǔ)在單獨(dú)的靜態(tài)路由表中���。
自動(dòng)VPN以這種獨(dú)特的智能方式利用基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)�,意味著IT管理員在站點(diǎn)間設(shè)置VPN隧道所需的手動(dòng)配置和時(shí)間都更少�,在此過(guò)程中引入人為錯(cuò)誤的機(jī)會(huì)也就更少。
內(nèi)置和可配置的站點(diǎn)間VPN冗余
無(wú)法使用VPN功能會(huì)讓員工無(wú)法查收郵件���、訪問文件共享����、安全地發(fā)送數(shù)據(jù)或使用VoIP電話等,讓工作效率猛地陷入停滯�����。為了防止這種情況��,自動(dòng)VPN功能利用基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)來(lái)提供內(nèi)置冗余�����。例如���,如果您的MX有兩條互聯(lián)網(wǎng)上行鏈路�����,當(dāng)為VPN流量服務(wù)的主上行鏈路發(fā)生故障時(shí)���,另一條上行鏈路將進(jìn)入主用狀態(tài),該鏈路的所有站點(diǎn)間VPN隧道將立即通過(guò)基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)重新協(xié)商���。這意味著�����,當(dāng)主用鏈路故障切換至備用鏈路(比如切換至3G/4G上行鏈路����,導(dǎo)致MX公共VPN IP地址更改)時(shí),自動(dòng)VPN將自行修復(fù)����。自行修復(fù)適用于自動(dòng)VPN可用的網(wǎng)絡(luò)和中心輻射型VPN拓?fù)洹?/span>
此外,如果要防止整個(gè)安全設(shè)備發(fā)生故障的罕見情況����,您可以將一臺(tái)Meraki MX安全設(shè)備配置為主VPN集中器��,并將一臺(tái)輔助的已啟動(dòng)(“熱”)MX準(zhǔn)備好�,隨時(shí)可在臺(tái)MX發(fā)生故障時(shí)接管。
配置熱備份非常簡(jiǎn)單:將兩臺(tái)MX都放在網(wǎng)絡(luò)邊界之內(nèi)并配置為VPN集中器����。為每臺(tái)MX分配單獨(dú)的IP地址使其可以與基于云端的SaaS網(wǎng)絡(luò)管理平臺(tái)通信,但它們也共享同一個(gè)虛擬IP(vIP)�����。此公共虛擬地址將接收所有VPN流量�����,在默認(rèn)情況下,主集中器將對(duì)該流量做出響應(yīng)��。但是���,如果主MX發(fā)生故障�����,熱備份設(shè)備可以立即介入處理VPN流量(故障檢測(cè)和完整的故障切換所需時(shí)間不到30秒)����。無(wú)需手動(dòng)更改IP地址即可將流量定向至熱備份設(shè)備�����,因?yàn)樗c主MX共享vIP�����。
