目录
1.写在前面 (3)
2.部署方案 (3)
2.1 服务端部署 (4)
2.2 客户端部署 (8)
2.3 智能路由与限速 (8)
3.连接测试 (9)
4.写在最后 (9)
1.写在前面
VPN(Virtual Private Network),虚拟专用网络,是一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式,可有效保障通信的机密性。如,出差办公人员可通过VPN通道安全地访问公司内部OA系统。发展至今的VPN同时融合了访问控制、路由选择、传输管理等多种功能,在全球的信息安全体系及各行业的信息系统中已发挥着重要作用。
常见的VPN主要有:
●PPTP VPN
●L2TP VPN
●IPSec VPN
●SSL VPN
2.部署方案
在构建VPN方案时,需要考虑服务端、客户端、传输通道三个部分。本次分别选择如下组件进行构建:
●VPN服务器:ocserv(OpenConnect VPN Server),一款开源的VPN服务端软件,
可以提供端到端的安全连接服务,可以在思科设备以及众多的Linux发行版进行
安装和部署;
●VPN客户端:AnyConnect,由思科推出的VPN客户端,目前已有支持Windows、
Android、iOS、OS X、Ubuntu、WebOS等操作系统的版本;
免费ssl证书永久生成
●传输协议:SSL。
本次部署场景及达到的效果如图所示。
企业内部网络环境
本次部署测试中相关环境配置如下表所示。
其中,
(1)用户userA在利用VPN客户端连接VPN服务器之后,可访问公司内部打印服务器192.168.11.3,且带宽被限速为2MB;
(2)用户userB在利用VPN客户端连接VPN服务器之后,可访问公司内部文件服务器192.168.10.3,无带宽限制。
注:在下述部署中,涉及在服务器CentOS 7.3操作系统环境上的所有操作,均以root 身份登录并执行。
2.1 服务端部署
(一)安装依赖包
# yum -y install wget gcc nettle* gnutls *readline* libev* autogen protobuf*
(二)安装ocserv软件
创建文件存储目录/home/centos,并下载ocserv源码包:
# cd /home
#mkdir centos && cd centos/
下载软件源码包:
# wget ftp:///pub/ocserv/ocserv-0.11.
解压源码包:
# xz -d ocserv-0.11.
# tar -xvf ocserv-0.11.7.tar
进入到解压后的ocserv-0.11.7文件夹中,执行编译安装:
# cd ocserv-0.11.7 && ./configure --prefix=/usr/local/ocserv && make && make install
(三)配置ocserv
(1)创建目录,用于存储后续生成的证书
# mkdir -p /usr/local/ocserv/etc/certificates
(2)复制源码目录ocserv-0.11.7里面的fig, sample.passwd文件到/usr/local/ocserv/etc/目录
# cd /usr/local/ocserv/etc && cp /home/centos/ocserv-0.11.7/doc/sample.passwd ./
# cd /usr/local/ocserv/etc && cp /home/centos/ocserv-0.11.7/fig ./
之后,通过tree命令可查看/usr/local/ocserv目录结构最终应当为:
.
├── bin
│  ├── occtl
│  ├── ocpasswd
│  └── ocserv-fw
├── etc
│  ├── certificates
│  │  ├── ca-cert.pem
│  │  ├── ca-key.pem
│  │  ├── ca.tmpl
│  │  ├── server-cert.pem
│  │  ├── server-key.pem
│  │  └── pl
│  ├── fig
│  └── sample.passwd
├── sbin
│  └── ocserv
└── share
└── man
└── man8
├── occtl.8
├── ocpasswd.8
└── ocserv.8
7 directories, 15 files
(3)配置证书
由于采用SSL协议作为传输实现,因此还需要在VPN服务端进一步配置证书。证书可通过自签名或者购买的方式获取。当前已有众多的证书服务商提供了免费的DEV证书可供申请使用。如需要自签名证书,请参考devcenter.heroku/articles/ssl-certificate-

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。