网际互连带给整个时代的便利性,已经不容置疑。通过互联网传输资料、交换信息已经非常普遍,但是随着信息交换的便利性,安全问题也暴露出来了,企业级的数据交换,应用服务器的安全时刻威胁着企业的经营活动,所以为了更便利、更安全的传输数据,VPN的概念被提出来,经过多年的发展,终于于1998年基本完成第三代VPN-IPSec的完整定义。IPSec与第二代VPN-PPTP相比,IPSec有更多的优势,所以现在流行的VPN构架方式以IPSec为多。
对于传统的VPN IPSec来说,具有固定的IP地址是一个很重要的要点,如下表
|
|
办公室A |
办公室B |
|
局域网子网 |
192.168.2.0/24 |
192.168.1.0/24 |
|
WAN口IP地址 |
222.67.28.123 |
222.70.222.204 |
表中有两个办公室A和B之间需建立一个IPSec的VPN通道,在传统的VPN IPSec配置时,需要在办公室A及办公室B两处的路由器中配置对方的WAN口IP地址及局域网子网。但对于企业来说,拥有一个具有固定IP地址的宽带线路,其增加费用还是挺多的,而且多于很多企业应用来说,总部提供应用服务器,分点接入总部,使用总部的资源即可,如果要所有的分点都具有固定IP地址的线路,是一件很不现实的问题。所以有些方案中,将WAN口的IP地址用DDNS(动态域名)来处理,但是随之而来的问题又来了,很多设备在连通VPN后,已经使用DDNS所对应的IP建立了IPSec规则,而当一段线路断线后再连接,相对方尝试连接的仍然是老的IP地址,此时只能人为介入,手动关闭再开启IPSec的连接,以便设备能重新获取DDNS所对应的IP,从而再次建立VPN连接。
所以,对于动态IP地址的VPN IPSec连接方案,是业内非常迫切的一个需求。本人由于工作关系,近期实施了多起针对动态IP地址的VPN IPSec连接工程,感觉使用Billion BiGuard系列作为VPN路由器进行动态IP地址的VPN IPSec连接是一个不错的选型,所以这里就将自己所做工程的设置界面截图下来,与大家分享。
参数
|
|
办公室A |
办公室B |
|
局域网子网 |
192.168.2.0/24 |
192.168.1.0/24 |
|
WAN口IP地址 |
222.67.28.123 |
222.70.222.204 |
|
DDNS |
ipcam123.3322.org |
|
DDNS ipcam123.3322.org
由于此例中是两根PPPoE的ADSL线路,为了方便,所以使用了一个动态域名与WAN口做了绑定。而且也只能这样做才能让双方都是动态IP地址的环境成功实现IPSec的连接
设置部分:
在每一个办公室的路由器中,我们需要设置本地的子网及本地的验证方式及验证数据,当然,对于IPSec的基础,预设密码(PreShared Key)是肯定要设置的。
图一中,对于设置远程(Remote)ID一处,传统的做法是设置对方的WAN口IP地址或DDNS,但我们现在选择的是动态IP,类型是FQUN,所以在后面的Data设置中,填入的就是一个Email地址。
图二中,我们可以看到所有的设置其实和图一是相对的,图一中设置远程验证方式为动态IP,类型为FQUN,在图二中,我们可以看到本地的验证类型选择的就是FQUN。这是关键点。
设置完成后,我们在IPSec状态中,可以看到两边的设备都已经准备好了。
点击Connect,进行IPSec的连接。很快,我们就能看到双方已成功建立VPN IPSec连接。
此时,我们已经成功建立了VPN IPSec通道。
对于此VPN IPSec连接的管理便利性,我们做过测试。可以将办公室A的路由器关闭再开启,等待办公室A的电脑可以上网后,在办公室B的任意电脑上,直接访问办公室A的资源,VPN IPSec即自动建立好连接,相反关闭办公室B的路由器的测试,在整个结构中已经显得微不足道,当然,为了整个方案的可行性,我们当然也做过重启办公室B的路由器。
对于本例,IPSec连接有些类似PPTP的虚拟拨号,从图三/图四中也可以看出,办公室A是作为接受方,办公室B是作为拨号方。所以本例特别适合有总部和分部模式的企业,而且应用服务器放置在总部。在整个方案的维护中,只要保证办公室A即总部的设备正常工作就可,办公室B即分部的设备维护,只需要简单的重新启动即可。
上海宽网网络科技有限公司 胥华 51095269
