基于硬件的VPN实现远程接入

发表于:2007-06-23来源:作者:点击数: 标签:
有没有一种支持远程办公的VPN的 解决方案 ?有没有一种基于硬件设备实现的VPN,但能提供基于软件形式的VPN的所有特性? 答案是肯定的,现在Cisco新推出的VPN 3002 Hardware Client满足了这些 需求 ,3002利用Cisco VPN 3000系列集中器和PIX 6.0防火墙形成了V

   
  有没有一种支持远程办公的VPN的解决方案?有没有一种基于硬件设备实现的VPN,但能提供基于软件形式的VPN的所有特性?
  

  答案是肯定的,现在Cisco新推出的VPN 3002 Hardware Client满足了这些需求,3002利用Cisco VPN 3000系列集中器和PIX 6.0防火墙形成了VPN,这种机盒的配置和扩展都非常简单,它能将远程办公室与总部系统安全有效地连接起来,而且不会消耗CPU资源。
  
  VPN 3002 Hardware Client之所以受到瞩目,是因为它提供了LAN-to-LAN VPN的功能,但管理却并不复杂。另外,它在一个client上支持多达253个主机,可以将不同规模的远程办公室连接到一个中心网络上。例如,将两个VPN 3002安装在两个不同的子网上,一个VPN 3060集中器安装在第三个作为中心网络的子网上。比起典型的LAN-to-LAN VPN,VPN 3002的安装与配置更简单,在第一个VPN 3002管理控制台上创建client配置后,就可将所有的配置复制到另一个正在不同的远程网络上扩展的client上,这就节省了大量的时间,大约在30分钟内就可在VPN上从任何client访问集中器,而这些在LAN-to-LAN VPN上是不可能完成的。
  配置简单
  可以将VPN 3002配置为两种模式:
  基于硬件的VPN实现远程接入
   在硬件安装过程结束后,将一台工作站用线缆连接到VPN 3002,然后用浏览器或控制台终端去连接它的缺省IP地址。在设置VPN 3002参数时,可以进入快速安装模式,在这种情况下,只需全部接受配置的缺省值。在快速安装模式下,必须定义VPN 3002私有网络的IP地址、子网和IP地址池(IP address pool),私有连接网络的IP地址将从这个地址池中得到。VPN 3002不会缺省为client DHCP配置,但是,当需要定义远程网络的IP地址子网掩码时,可以通过点击一个复选框去实现。
  
  当然,也可以手工设置用户管理的策略,静态配置一个管理IP地址,定义使用哪一种散列算法在VPN 3060集中器上加密和验证。VPN 3002可以远程配置,也就是说当VPN 3002连接到3060集中器时,它会将最新的策略下载并启用,就像软件client所做的一样。
  
  在配置VPN时,一般所有最终地址是中心网络的流量必须在VPN上转发,而其他流量也能以很快的响应速度经过VPN 3002到达Internet。VPN 3002的一个出色的安全特性就是它能够分离网络流量通道。使用分离通道时,所有的流量无论其最终地址是哪里,都必须通过VPN。利用VPN 3002,就好像远程主机是在本地访问网络,而所有要做的仅仅是配置VPN client,即从指派的IP地址池和与一个远程主机相关的VPN client中得到本地地址。最终,VPN 3002对基于信息包的目的地址在网络上发送流量做出决定。
  
  在私有网络上向目标网络发送的所有包都用IKE(Internet Key Exchange)和IPsec(IP security)管理,其中IKE主要用于连接管理,IPsec用于传输。
  
  IPsec穿过NAT
  VPN 3002通过NAT(Network Address Translation)模式支持IPsec的性能非常出色。普通NAT的实现过程是基于第四层信息去翻译包的IP地址,例如TCP/UDP端口。因为IPsec是端到端地封装第四层数据,所以在IPsec上NAT通信是不可能的。为此,VPN 3002和与之相应的集中器通过增加另外一层的封装而相互通信。在一个IPsec包被VPN 3002送出前,它被封装进一个UDP包,并分配一个目的地址端口,最终,UDP包就能顺利地通过NAT。当IP包到达它的目的地时,VPN集中器剥去IP和UDP报头,然后处理IPsec包。

原文转自:http://www.ltesting.net