功能路由器配置

46第七章第七章第七章第七章中小企业安全路由器中小企业安全路由器中小企业安全路由器中小企业安全路由器VPN配置配置配置配置对于中小企业,VPN相对于专线,在成本效益上的优点适合作为远程接入或是多个公司间联机的基础.
企业信息化的风潮,包括ERP、财务软件、CRM、CAD/CAM的引入,更让不同的企业都感受到VPN的必要.
对于略具规模的中小企业,利用现有的宽带接入,建置一个安全的远程或特定点之间的联机,显然很有必要.
VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性.
但是对于初次接触的中小企业,或是有特殊需求的网管,仍时常发生有所不足的问题.
以下就Qno侠诺接触中小企业的经验,针对不同问题,加以说明如下:项目问题解决功能1有哪些VPN标准该如何选择各针对哪些问题解决如何进行VPN规划IPSec、PPTP、SmartLink、SSL2行动用户如何进行配置该使用哪一种客户端软件窗口操作系统、VPN客户端软件3联机双方没有固定IP怎么办如何设置动态DDNS功能如何加强DDNS稳定性是否有DDNS备援功能动态DDNS功能、DDNS备援功能4多WANVPN有哪些特性如何简化外点的配置是否能提供VPN备援功能是否能于中央点一次完成所有点的监控SmartLinkVPN功能、中央控管功能5是否能解决跨网VPN不稳定问题策略路由6不同外点之间是否可以通联在VPN上架设VoIP需要用到什么功能VPNHub功能7如何给予VPN封包较高的处理权限如何确保VPN封包得到较多的带宽带宽管理以下一一介绍相关功能477.
.
.
.
1IPSec、、、、PPTP、、、、SmartLink、、、、SSLVPN协定协定协定协定选定适合的VPN协调是一个规划VPN网管会碰到的问题.
以下先介绍一个可用于规划VPN所使用的流程1.
依VPN应用及宽带接入决定总需要带宽,再决定总部线路及分支点线路,以及采用路由器WAN口数.
2.
如分支点散布在不同ISP区域,需作跨网VPN规划,总部需申请不同ISP线路.
3.
依应用需要决定VPN协议,常见的情况是混用不同的协议.
网对网互联用IPSec或SmartLink(侠诺科技特有的基于IPSec协议的简化的VPN连接方式).
简化管理可用SmartLink.
单一用户或行动用户可用PPTP或IPSec,并决定适用VPN客户端软件.
4.
建立管理政策,列出优先保留带宽的应用,及需加以管理排除的应用.
5.
依需要WAN口及运算能力进行选型,决定总部及分支点产品.
6.
进行网络拓朴规划及各接入点功能规划7.
加入网络安全及防护相关功能考虑在以上的流程中,VPN协议是一个需要决定的重大问题,必须根据远程访问的需求与目标而定.
Qno侠诺的VPN提供不同的协议,可应用于不同的情况,主要支持的协议包括IPSec,PPTP,SmartLink,SSL.
以下分别介绍:1.
IP_SECURITY协议协议协议协议(IPSec):是互联网工程任务组(IETF)为IP安全推荐的一个协议.
通过相应的通道技术,可实现VPN、IPSec有两种模式:通道模式和传输模式.
IPSec协议包括ESP(EncapsulatingSecurityPayload)封装安全负载、AH(AuthenticationHeader)报头验证协议及IKE密钥管理协议等,可以用在公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听.
它的特点是安全性极高,适用于点对点的VPN配置.
Qno侠诺科技IPSec通过国际VPNC认证,可以完成与其它VPN厂商的VPN设备相连接.
2.
SSL的英文全称是的英文全称是的英文全称是的英文全称是"SecureSocketsLayer",中文名为"安全套接层协议层",它是网景(Netscape)公司提出的基于WEB应用的安全协议.
SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证.
它的特点是48无需客户端软件,使用方便,适用于用户安装配置不易或是特定应用情况.
3.
PPTP((((PointtoPointTunnelingProtocol))))点对点隧道协议点对点隧道协议点对点隧道协议点对点隧道协议:是一种支持多协议虚拟专用网络的协议.
通过该协议,远程用户能够跨越MicrosoftWindowsNT工作站、Windows2000和WindowsXP操作系统以及其它点对点激活系统安全访问共同网络,并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络.
优点也是简单易配置,对于初阶应用安全性足以因应.
4.
SmartLinkVPN协议协议协议协议::::这是Qno基于IPSec协议,所发展出特有SmartLinkVPN功能,强调简易的配置及管理.
Qno侠诺QVM路由器的功能里通过设置确认联机后,路由器将大部份的设定参数交由VPN网关自动完成,只要进行简单的总部服务器IP、用户名、及密码输入就能建立IPSec设定,也能轻易穿透不同的IP环境,建立方便、快捷的VPN连接.
有着PPTP简易配置的优点,又有IPSec的高度安全性,适用于点对点的联机.
当前企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用能力,应视使用的情况决定采用的技术为宜.
IPSec可以保护任何IP流量,而SSL专注于应用层流量.
IPSec适合长期的连接,即宽带、持续和网络层连接要求.
SSL仅适合于个别的,对应用层和资源的连接,而且支持的应用没有IPSec多.
实现外出出差员工通过PPTP拨号或VPN软件连接等方式连接公司网络完成相关工作.
7.
.
.
.
2行动用户行动用户行动用户行动用户VPN软件软件软件软件对于在外的行动用户而言,除了SSL以外,往往都需要使用客户端软件才能建立VPN.
由于用户对配置了解程度不够,因此移动用户的客户端VPN软件,对网管造成相当的支持负担.
Qno侠诺VPN支持不同的客户端软件,包括常见的窗口操作系统的IPSec/PPTP客户端、TauVPN、GreenbowVPN、SymantecVPN、Fortinet、SoftRemote、SSH都支持.
对于注重成本的用户,可以选择窗口操作系统内建的客户端软件或是免费的CVP客户端软件,例如TauVPN或是SSH.
其它的用户则可采用付费的商用软件,可得到对应的技术支持服务.
7.
.
.
.
3动态动态动态动态DDNS功能功能功能功能有了远程配置,中小企业的网管还面临另一个问题,就是一般企业用的ADSL线路使用的为动态IP地址.
也就是IP地址是会变动的,今天和明天的IP不一定相同,这个小时和下个小时的IP也不一定相同.
那网管要从家中,根本就找不到路由器了,要如何进行管理呢还好,为了这个问题,市面上提供了动态域名的服务,用户的IP即使时时变动,也49能通过固定的域名,对应到特定的路由器,可解决以上的问题.
用户可以登记例如company.
ddns.
org.
cn的域名,就再也不用记IP地址了.
Qno侠诺路由器支持动态域名服务,为了服务侠诺用户,也建置了动态域名系统,提供给最新产品的用户使用.
用户可到http://www.
qno.
cn/ddns上进行登记,即可拥有company.
ddns.
org.
cn,可作远程登入,也可作为架设公共服务器使用.
该服务未来也将在侠诺现有产品新的软件版本上使用.
图一:侠诺提供动态域名服务,部份产品型号用户只要键入电子邮件及产品序列号,即可申请免费的侠诺动态域名服务.
同时,现有Qno侠诺路由器也支持免费的3322.
org动态域名服务,用户也可申请.
一个WAN连络设定双重动态域名,可以起到动态域名备援的作用,进一步增加安全性.
在路由器中,也必须在"进阶功能配置"菜单中的"DDNS动态域名解析服务中",进行相关的设定,依动态域名服务做对应的配置,才能开始运作.
7.
.
.
.
4SmartLink快速配置快速配置快速配置快速配置网管面临一个问题,就是外点不容易配置.
例如一个公司在外部有十个分支点,因为一般的分支点往往没有具备网管能力的人员,因此VPN的配置就成问题.
网管人要么需搭车到各地进行配置,要么就要利用电话,进行相关的配置.
另外很多地方的ISP提供的IP地址都是虚拟IP,对于一般的VPN配置会产生无法透通的困难.
QVM系列路由器提供了方便配置的SmartLink功能,方便网管或集成商轻易的建置VPN.
另外它也支持不同网络的透通功能,减少以后VPN因NAT转换而无法建立,需要另50外配置的问题.
SmartLink配置的方法介绍如下:1).
简单建立VPN,解决了传统VPN建立复杂的缺点,只需用户名及密码就可以完成.
2).
用户在客户端上输入用户名以及密码,和服务端建立连接是通过Qno侠诺独有的SmartLinkIPSecVPN的方式建立连接的.
3).
中央控管功能,让所有外点或分公司的VPN联机状态清楚且可直接在总部中心点中控画面,进入外点做设定.
4).
VPN断线备份机制,营运商掉线可从另一广域网端口重建,让ISP断线困扰造成外点或分公司资料无法对总公司传送问题顺利解决.
图二:QVM服务端配置画面,简化的配置省去网管配置客户端的时间.
图三:QVM客户端配置画面,由原本二十多个参数减少到三个参数.
517.
.
.
.
5QVM中央控管功能中央控管功能中央控管功能中央控管功能很多网管在进到办公室网络都需要一一登入到不同外点的VPN网关,以确定联机正常,这个工作占去了很多时间.
以下这个功能可以简化这个工作:中央控管功能让总部VPN服务器管理画面上可看到所有分点联机情形,无需一一作远程登入,一眼即可了解整体VPN网络运作情况.
同时它可支持直接登入各分点进行配置,远程控管功能让网管免于奔波轻松管理,省时省费用.
如图,我们可以点击远程用户"sunny"登录远程对路由器进行控制.
图四:中央控管的服务状态显示,一个昼面即能显示多个点的VPN联机情况.
7.
.
.
.
6VPN备援备援备援备援掉线是网管在管理VPN时另一个害怕的问题.
当所有的业务都依赖VPN进行时,一旦掉线,所有的人都会找网管要求解决.
传统的VPN支持单线,如果因为线路问题,完全无计可施.
不过侠诺的多WAN路由器支持备援功能,可提供更进一步的稳定保证.
VPN备援功能是采用SmatLinkVPN连络时另一强大的功能.
对于要求稳定的用户,它可增加VPN网络稳定性.
输入QVM路由器中心端备援连接的IP或是网域名,一旦断线可从中心服务端路由器的另一个WAN端口自动建立VPN联机,确保VPN服务永不断线,保证数据传输的安全.
图五:线路备援配置,可选择从不同条线路重新播入中心端.
7.
.
.
.
7VPNHub功能功能功能功能很多企业建置VPN是为了建置VoIP,以达到较佳的通话质量,可是在建立之后才发现52只能建立各外点和中心点的VoIP连络,外点与外点之间无法通话.
这是因为IPSecVPN是点对点互通的,并没有让各个外点互通,因此星状的VPN网络间,各外点间是不通的.
VPNHub功能就是打通这个限制,让各外点间可以通过总部中心点互通的,这大大增加了数据分享及分散管理的方便性.
分点与总部连通后,可以让分点之间实现互联互通,不用再去各分点的设备之间建立通道,方便管理,更能节省资源.
不同运营商电信网通线路可通过总部中央点进行转换,让联机速度不延迟,解决跨网VPN联机很卡的问题.
同时还能结合侠诺专长的带宽管理功能,让总部的网管人员可以控制不同分支持点间的互相联机,达到更严密控管的功能.
图六:VPN配置画面的VPNHub功能只能配合Qno专有的SmartLinkVPN使用.
7.
.
.
.
8策略路由策略路由策略路由策略路由有些企业由于经营的特性,在国内不同区域或国外都有分支办公室,都想经由VPN交流信息.
但由于中国存在"南电信北网通"情况,位于南方的办公室往往采用电信线路,而位于北方的办公室则采用网通线路,因此总公司位于大都市,往往较有机会申请到二家运营商的线路.
在采用单一线路时,若是总公司采用电信线路时,从网通线路建立VPN的办公室,会发生不稳定或VPN掉线情况;反之若总公司采用网通线路由,则从电信建立VPN也会不稳定.
若是采用多WAN路由器,总部可同时连接不同运营商线路,配合策略路由,指定不同运营商的分支办公室,各自由对应的线路建立VPN通道,则可解决南电信北网通跨网瓶颈.
Qno侠诺路由器中均配备有自动策略路由配置,内部建有不同ISP的网段进行判断,用53户只要启用即可.
如果没有设定的范围,也可经由绑定协议或指定路由设定,或是手动键入方式达成.
这样可解决企业面临的跨网VPN不稳定问题.
7.
.
.
.
9VPN及及及及QoS带宽管理带宽管理带宽管理带宽管理对于上网人数较多又需要采用VPN的企业,网管往往希望能将VPN带宽及一般上网带宽分开,以免互相受到影响.
多WAN路由器可支持多条线路,网管可将上网及VPN带宽分开,在这种情况下,VPN应用不致受到上网用户,例如BT下载的影响,而VPN应用需要带宽时,也不会限制一般用户的上网.
对于VPN数据的传输是加密的,在传输过程以GRE/ESP的封包位于网络传输协议的网络层,如果我们需要对VPN的流量做QoS设定,比如保证VPN传输的质量,我们可以在QoS带宽管理将GRE/ESP的封包传输服务的优先级别调到最高级别来保证VPN联机的稳定畅通.
图七:ESP/GRE封包传输优先级设定小结VPN的配置,已成为成长型中小企业必备基础.
如何在安全之外,还能作到方便,相信对于很多网管是很需要的.
Qno侠诺经由提供各种适用不同情况的功能,对于许多企业可以发挥到投入小效益大的效果.