走近VPN的两大派系(下)
行业之道
上期我们为大家介绍了IPSec VPN和SSL VPN的区别,以及它们各自适合的用户群,那么单独应用IPSec VPN和SSL VPN该怎么组网呢?同时应用两者进行组网又该如何操作呢?
IPSec VPN典型应用方案——助力ERP顺利运行
某公司总部有企业内部数据库服务器,供全国各分支机构查询使用。考虑到经营的产品品牌和型号较多的特点,如果采用各分支机构独立核算的方式,将会给公司的统一经营管理带来很大的不便,同时业务不能得到扩大。公司要求各分支机构的业务和总部同步,同时采用VPN实现各分支机构与总部网络的连接,通过VPN通道传输核算数据,使得定制ERP软件能顺畅、安全地运行。
案例解析:这属于典型的站点对站点连接,使用IPSec VPN最合适,图1是IPSec VPN网络物理拓扑结构图。在公司总部使用一台相对高端的IPSec VPN设备作为公司内部网的防火墙,利用自带的VPN网关功能为全公司提供VPN接入服务,根据各分支机构和合作伙伴的多少,选用IPSec VPN设备作为防火墙和区域VPN节点。
SSL VPN典型应用方案——便捷的远程访问
某大型发动机制造企业目前已经拥有了OA办公系统、企业内部邮件和内部网站等应用系统,现有100个公司内部用户,因业务特点需要从公司外利用互联网接入公司内部网络访问应用服务系统,实现移动办公。如果通过传统的远程拨号方式实现网络接入和访问,访问速度很低、质量很差,安全性也缺乏保障,会严重影响和制约企业的发展。另外用户的电脑使用水平也参差不齐,客户端的操作系统不一样,这也增加了接入难度。考虑到不改变外网现有的网络结构,采用目前技术比较成熟的SSL VPN无疑是远程访问和移动办公的最佳方案。图2是SSL VPN网络物理拓扑结构图。
案例解析:采用SSL VPN方案,用户只须使用浏览器即可接入。在客户端不需要安装任何应用软件,不必进行任何配置,用户只要使用浏览器访问总公司网站,即可方便地建立SSL VPN连接,从而使用公司内的各个办公系统。而在安全方面,SSL VPN采用SSL协议加密建立安全的专用通道,使用非对称密钥进行身份认证过程的加密,结合RC4算法和3DES算法,可以保护数据传输的安全。
综合组网方案——安全与便捷兼顾
事实上,IPSec VPN和SSL VPN可同时使用,虽然有人认为没有必要为了远程访问而同时使用两者,不过一些企业同时部署了这两种存取架构。在网络内部,它们把IPSec VPN应用于站点对站点,SSL VPN则专门用于日常性的远程访问工作。下面以物流行业多点互联VPN组网方案为例,让大家更进一步了解IPSec VPN和SSL VPN的综合组网方案。图3是IPSec VPN和SSL VPN综合组网的网络拓扑结构图。
案例解析:在这里,以公司总部为中心端,与各分支外点构成放射状多点互联,实现总部中央点集中控管机制。各分支外点则通过与总部中心端联机,实现分支外点间的互联互通。总部中心端支持SSL、IPSec、PPTP、SmartLink VPN完整协议及QnoKey IPSec客户端密钥接入,方便企业分支外点、移动用户以不同的VPN联机方式远程接入。那些规模较大具有网段的分支外点,可部署QVM系列VPN防火墙,以IPSec VPN协议与总部进行联机。移动用户或单机VPN分支外点,则支持以QnoKey IPSec客户端密钥、SSL标准浏览器、微软操作系统自带的VPN客户端软件及其他第三方VPN客户端软件接入总部中心端。
编后:IPSec VPN 和SSL VPN这两种VPN架构,都能够提供安全的远程登录存取联机,只不过它们各有所长,对于企业用户而言,方便安全的解决方案才真正符合自己的需求。