公司新闻
  • 关于我们
  • 无线产品
  • 华为产品
  • Aruba安移通
  • Ruckus优科
  • 解决方案
  • 无线租赁

  • Cisco Meraki的自动VPN部署

    2019-03-16 02:46:22

    VPN是什么?

    希望为远程员工提供核心网络资源的虚拟现场访问权限或者希望将分支机构连接到核心网络的大多数组织都使用虚拟专用网(VPN)。VPN是加密隧道,可以通过不安全的公共基础设施(通常是互联网)进行安全,保密的数据传输。

    站点间VPN是什么?

    站点间VPN是一种较常用的VPN实施,在这种实施中,托管网络资源的一个位置通过VPN安全地连接到另一个位置(此处可能也托管着资源);通常,这两个位置属于同一个组织。

    站点间VPN部署在每个位置的安全设备/防火墙之间。位于这些防火墙之后的客户端设备(例如笔记本电脑或工作站)不需要安装软件或配置本地设置即可与对方站点发送或接收数据。

    在网格站点间VPN(也称为“分支到分支”)中,组织的各个网络全部都通过VPN彼此连接。在中心辐射型拓扑中,所有卫星分支机构网络(“分支”)通过VPN隧道连接回中心办公室(“中心”);分支彼此间不会直接交换数据。

    为什么VPN难以部署?

    使用传统架构时,随着分布式站点数量的增加,多站点VPN的配置和管理复杂性之高令人望而却步。这是因为每个VPN隧道的两端都需要进行手动创建和调整,而且这些操作通常需要通过复杂的命令行界面来完成。这是一个既耗时又容易出错的过程:需要为每个隧道手动指定和配置两次变量,例如两个安全设备接口的IP地址、预共享密钥或证书、身份验证和加密协议、可导出的子网列表等。试想:如果主要广域网上行链路故障切换至3G/4G链路且VPN的外部IP地址变更,则需要为新地址重新确定上述所有设置才能恢复VPN功能。

    思科Meraki解决方案

    自动VPN:快速轻松的设置

    思科Meraki MX是一款基于云的安全设备,具有完全集成的网络和安全功能,例如企业级状态防火墙、深入的第7层应用可视性与可控性、广域网优化、符合CIPA标准的内容过滤等。此外,所有MX型号都支持自动VPN功能,只需在思科Meraki控制面板中点击两次即可配置站点间第3层IPsec VPN,将一项耗时的工作压缩到仅仅几分钟之内。

    要启用自动VPN,思科基于云端的SaaS网络管理平台将用作组织中的MX之间的代理,协商VPN路由、身份验证和加密协议,而密钥会自动变换。其过程如下所示:

    1.MX向思科基于云端的SaaS网络管理平台通告自己的广域网IP地址和任何活动的NAT穿越UDP端口。设备到基于云端的SaaS网络管理平台的通信会加密两次:通过Meraki专有加密算法加密一次,使用SSL再加密一次。

    2.思科基于云端的SaaS网络管理平台收到MX通告和公共IP地址。控制面板从MX收到广域网IP和NAT穿越信息,以及它们的公共IP地址(如果MX位于NAT设备之后,则该地址与其广域网IP不同)。

    3.基于远端的SaaS网络管理平台维护一个用于跟踪组织中所有MX的动态度。对组织中的每台MX、它都会跟踪其广域网IP地址、公共IP地址、NAT穿越端口和本地子网。当新的MX联机时,其信息会添加到此表中。

    4.选择适当的IP地址。对每台MX,基于云端的SaaS网络管理平台决定使用其广域网IP还是公共IP地址来建立安全的VPN隧道。它会尽可能使用MX的广域网IP地址;这可以在对等MX之间提供较短的VPN路径(例如,当多个VPN对等体通过MPLS连接到主数据中心并从那里连接到外部的互联网时)。

    5.协商VPN隧道。思科基于云端的SaaS网络管理平台已经知道每台MX的VLAN和子网信息,现在是用于创建隧道的IP地址。基于云端的SaaS网络管理平台与MX确定16个字符的预共享密钥(每个组织一个密钥),并建立一个128位AES加密的IPsec隧道。通过VPN导出IT管理员在控制面板中指定的本地子网。

    6.将VPN路由从控制面板推送至MX。较后,控制面板会将VPN对等体信息(例如导出的子网、隧道IP信息)动态推送至每台MX。每台MX将此信息存储在单独的静态路由表中。

    自动VPN以这种独特的智能方式利用基于云端的SaaS网络管理平台,意味着IT管理员在站点间设置VPN隧道所需的手动配置和时间都更少,在此过程中引入人为错误的机会也就更少。

    内置和可配置的站点间VPN冗余

    无法使用VPN功能会让员工无法查收邮件、访问文件共享、安全地发送数据或使用VoIP电话等,让工作效率猛地陷入停滞。为了防止这种情况,自动VPN功能利用基于云端的SaaS网络管理平台来提供内置冗余。例如,如果您的MX有两条互联网上行链路,当为VPN流量服务的主上行链路发生故障时,另一条上行链路将进入主用状态,该链路的所有站点间VPN隧道将立即通过基于云端的SaaS网络管理平台重新协商。这意味着,当主用链路故障切换至备用链路(比如切换至3G/4G上行链路,导致MX公共VPN IP地址更改)时,自动VPN将自行修复。自行修复适用于自动VPN可用的网络和中心辐射型VPN拓扑。

    此外,如果要防止整个安全设备发生故障的罕见情况,您可以将一台Meraki MX安全设备配置为主VPN集中器,并将一台辅助的已启动(“热”)MX准备好,随时可在台MX发生故障时接管。

    配置热备份非常简单:将两台MX都放在网络边界之内并配置为VPN集中器。为每台MX分配单独的IP地址使其可以与基于云端的SaaS网络管理平台通信,但它们也共享同一个虚拟IP(vIP)。此公共虚拟地址将接收所有VPN流量,在默认情况下,主集中器将对该流量做出响应。但是,如果主MX发生故障,热备份设备可以立即介入处理VPN流量(故障检测和完整的故障切换所需时间不到30秒)。无需手动更改IP地址即可将流量定向至热备份设备,因为它与主MX共享vIP。

  • 回顶部
    •
北京会场无线网络租赁无线覆盖服务商 版权所有
技术支持:友点软件