信锐技术无线控制器之VPN功能解读
众所周知,信锐技术的无线控制器内置功能一直是其产品的一大特色。今天我们就来讲解下信锐技术无线控制器中内置的VPN功能。
VPN又称虚拟专用网络,在企业网络中有广泛应用。VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。
VPN的作用及应用场景:例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN有多种分类方式,主要是按协议进行分类。VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
信锐无线控制器支持标准IPSec VPN,并兼容SANGFOR VPN私有协议。IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
信锐技术控制器的VPN目前有控制器VPN和接入点VPN两种功能。
控制器VPN
控制器VPN即指控制器支持标准IPSec VPN和SANGFOR私有VPN。
无线控制器同时支持IPSec VPN和SANGFOR私有VPN两种VPN部署方式,可以满足常见的VPN部署场景。同时还需要注意一点无线控制器只支持VPN设备间的对接,暂时还不支持VPN用户端接入。
当分支机构买了无线控制器要和总部建立VPN连接的需求时,可以使用无线控制器与总部VPN设备建立VPN隧道,无需再次购买VPN设备,节省了用户网络部署成本,并且在分支使用无线或有线网络时,都可以通过VPN访问总部,操作简单快捷。
1)SANGFOR私有VPN
SANGFOR VPN是使用私有协议实现的,只支持信锐公司之间以及信锐和深信服之间的设备对接。分支机构购买了无线控制器,同时总部也使用无线控制器做VPN或者使用深信服的VPN设备,在这种场景下可以使用SANGFOR VPN部署。SANGFOR VPN具有部署简单而且易管理,易拓展的特点。
2)标准IPSec VPN
分支机构购买了无线控制器,总部使用的是友商的VPN设备或者总部使用的也是信锐的无线控制器,但是用户想要更好的安全性时,可以使用IPSec VPN来部署。IPSec VPN具有更高的安全性,但是其部署和后期维护拓展相对SANGFOR VPN要复杂。
接入点VPN
小型办事处,既要本地办公又需要和总部通信,部署专业的VPN设备成本较高。如果使用我们的AP远程部署,采用集中转发模式,往往会由于办事处带宽等问题影响到本地办公效率。这时可以部署我们的接入点VPN。
部署接入点VPN后能够做到访问公网或本地资源时直接从本地互联网出去,访问总部内网资源时通过加密通道传输,从而实现内网资源共享。有了接入点VPN,办事处无需部署VPN设备,节省了客户的网络部署成本。
接入点VPN有两种部署场景,接入点单向VPN(只允许分支访问总部)和接入点双向VPN(允许分支总部之间互访),其中接入点单向VPN部署是常用的部署场景,当然可以根据客户需求来使用特定的部署场景。