VPN设备在部署时,经常会需要与防火墙配合使用,下面我们来介绍一下主要的几种部署方式,客户可结合自己的网络状况及应用需求,选择适合的部署方案。
一、串联模式
串联模式下,分为防火墙透明模式/路由模式、防火墙NAT模式。
1、防火墙透明模式、 防火墙路由模式:
即将VPN部署在防火墙前面,置于网络的公网出口,如图一所示:
中国网管论坛bbs.bitsCN.com
图一
防火墙透明模式、路由模式
在
防火墙透明模式下和路由模式下,
VPN放置在网络的公网出口上,其特点就是客户的网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,用户管理也非常简便。
2、
防火墙NAT模式
即将
VPN设备接在
防火墙与内网交换机之间。如图二所示:
图二
防火墙NAT模式
此模式下,对于内网中的计算机,也不需要做改动,用户管理很方便。因
VPN设备是放在
防火墙的后面的,没有公网地址,所以远程管理不是很方便。在此模式下做部署时,需要详细了解
防火墙的设置,因为在
防火墙的权限没有放开的情况下,会导致
VPN设备不可用。如果两个均部署在
防火墙后面的
VPN设备需要互访,需通过第三方(有公网IP地址的
VPN设备)中转,如果连接点较多,应使用一台高性能的第三方设备以减轻压力。
网管u家www.bitscn.net
在此模式下,要求
VPN设备支持NAT-T协议。
串连模式下部署的不足,是增加了单点故障,并可能造成性能上的瓶颈。
二、并联模式: 并联方式即指将
VPN设备与
防火墙、路由器并行接入原有网络,如图三所示:
图三
VPN设备和
防火墙并行
并联方式需要多个公网IP地址或多根公网线路,在用户IP及线路资源充裕情况下,可以采用此部署方法,
VPN设备与
防火墙设备各走各路,互不干扰。
串连模式下部署的不足,是在客观上造成多个公网出口,病毒等的入侵渠道会有所增加。
网管下载dl.bitscn.com 三、单臂技术 所谓单臂技术是指:
VPN设备只接一个WAN口到内网交换机中,LAN口不需要接线,即把
VPN设备当作一台内网服务器或主机,专门处理
VPN报文的加解密。
如图四所示:
图四 单臂技术
单臂技术方式能在对用户环境最小改动的前提下部署
VPN,增加了
VPN设备对网络环境的适应能力 。
因
VPN设备WAN口不连公网,没有公网地址,所以远程管理同样不是很方便,并且也需要详细了解
防火墙的设置,以防因
防火墙的权限影响
VPN设备使用。多个同样部署的
VPN设备互访,也需通过第三方(有公网IP地址的
VPN设备)中转,如果连接点较多,应使用一台高性能的第三方设备以减轻压力。
中国网管联盟bitsCN.com
综上所述,
VPN设备在与不同的
防火墙模式结合使用时,有多种的部署方案,每种部署方案均有各自的优势和不足,用户在选择时,请结合自己的
防火墙设备的特点、网络状况及主要应用需求、灵活选择。上海冰峰网络愿为您提供高效、安全的
VPN解决方案。
网管论坛bbs_bitsCN_com
评论加载中…