免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 23327 | 回复: 29

[服务应用] 建立企业VPN,您会采用何种模式,优缺点会有哪些?(获奖名单已公布2013-3-7) [复制链接]

论坛徽章:
1
金牛座
日期:2014-05-29 15:55:47
发表于 2013-01-17 10:19 |显示全部楼层
获奖名单已公布,详情请看:http://bbs.chinaunix.net/thread-4070468-1-1.html

    VPN已经成为发展中企业必不可少的重要设备,很多企业在各地有办事处,或者直接是分公司,对于这些地方之间的加密通信,一般都会采用合适的VPN进行连接,方便集中管理。而开源VPN却能以低成本的方式解决VPN的问题,这对各种企业来说应该有一定的诱惑,那么本期讨论Linux(但不限于Linux)下构建VPN,采用的软件或方法的优缺点。

本期话题:
1、你喜欢用哪一种OS及VPN软件搭建VPN?
2、根据一的答案,请谈谈您选择的这种方式的优缺点。
3、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?

范例(因为仅仅范例因此非常简陋,各位网友建议能写具体点。):
1、你喜欢用哪一种OS及VPN软件搭建VPN?
答:Linux/FreeBSD + ipsectools
2、根据一的答案,请谈谈您选择的这种方式的优缺点。
答:VPN非常稳定,兼容性强能和各种厂商的VPN建立连接,但这种模式仅仅适合于LAN to LAN的模式。不适合于有很多办事处的或者很多个人用户都接入模式。
3、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?
答:我还会搭建一套FreeBSD+mpd5建立PPTP的VPN,来解决个人用户拨入的问题。


活动时间:
2013年1月17日-2月2日


本期奖品:
清华大学出版社出版的《构建虚拟专用通道——OpenVPN服务器详解与架设指南》一本,共5本
vpn.jpg
作者: 陶利军    [作译者介绍]
丛书名: 在云端 云计算最佳实践
出版社:清华大学出版社
ISBN:9787302292197
上架时间:2012-9-6
出版日期:2012 年8月

图书简介:
OoenVPN是VPN的一个具体实现,它穿透能力强,是所有VPN产品中的佼佼者,不但性能优越,而且是开源软件,可以免费使用,也可以二次开发,提供了多种平台的安装版本。此外,它还提供了多种客户端(包括Window 、Linux、Mac以及各种移动设备的客户端安装包)。 《构建虚拟专用通道(OpenVPN服务器详解与架设指南基于Linux)》由陶利军编著,《构建虚拟专用通道(OpenVPN服务器详解与架设指南基于 Linux)》将讲述OpenVPN的安装使用以及案例实践,全书分为12章内容,包含:OpenVPN基础,OpenVPN应用,两种用户验证方式,典型应用,运行模式,管理OpenVPN服务器,控制VPN用户的访问,使用MySQL后台,使用 OpenLDAP后台,商业OpenVPN服务器(OpenVPN AS)等内容。 本书作者长期奋战于网站运维一线,书中内容凝聚了作者多年的经验和技巧。 本书读者群包括:广大的Linux爱好者,具有一定Linux基础的系统管理员,Linux下的安全工程师,培训中心师生,运维人员,构建和使用VPN 的广大用户。

论坛徽章:
13
技术图书徽章
日期:2014-04-29 14:15:42IT运维版块每日发帖之星
日期:2015-12-12 06:20:00IT运维版块每日发帖之星
日期:2015-08-30 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-08-02 06:20:002015年亚洲杯之澳大利亚
日期:2015-04-03 15:03:12申猴
日期:2015-03-20 09:00:292015年迎新春徽章
日期:2015-03-04 09:54:452015年辞旧岁徽章
日期:2015-03-03 16:54:15季节之章:冬
日期:2015-01-20 17:08:47双子座
日期:2014-11-21 16:30:31技术图书徽章
日期:2014-07-11 16:29:08
发表于 2013-01-17 10:52 |显示全部楼层
一、你喜欢用哪一种OS及VPN软件搭建VPN?

用单纯OS来搭建VPN还没做过,我一直都是用带有VPN功能的硬件防火墙设备来搭建基于Site to Site的VPN,例如Juniper NetScreen产品

二、根据一的答案,请谈谈您选择的这种方式的优缺点。

缺点:很明显,硬件设备购置是一个不小的购置
优点:硬件设备做得很集成化,所以很稳定可靠,搭建的VPN也相对比较可靠

三、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?
个人觉得硬件购置都不是非常贵,自己搭建一套基于OS的VPN设备也要投资硬件,维护硬件,长期来说也是不小的投入。

论坛徽章:
211
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:322015亚冠之全北现代
日期:2016-05-11 17:05:27操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:22:58数据库技术版块每日发帖之星
日期:2016-05-10 19:23:04数据库技术版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
发表于 2013-01-17 20:34 |显示全部楼层
网络设备用bsf的多哦

论坛徽章:
4
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:192015年迎新春徽章
日期:2015-03-04 09:57:09
发表于 2013-01-17 20:54 |显示全部楼层
哈哈,这个……先占位。

论坛徽章:
3
季节之章:冬
日期:2015-01-15 10:36:57IT运维版块每日发帖之星
日期:2015-09-24 06:20:00IT运维版块每日发帖之星
日期:2015-10-24 06:20:00
发表于 2013-01-18 09:10 |显示全部楼层
本帖最后由 ylky_2000 于 2013-01-18 10:25 编辑

个人觉得在大型vpn应用这块有一点点实际的运维和架构经验。
一、应用场景(业务上)
集团公司,分支机构50个左右,遍布香港、国内大多数省市;
行业涉及、医疗、教育、矿业、商业地产、连锁(医药、便利店、经济型酒店等)
二、所采用的产品
台湾产的居易、国内的华为和台湾的侠落
三、应用场景(技术上)
1、site对site的ipsecvpn和通过l2tp over ipsec建立的站点对站点vpn。
2、远程拨号vpn 提供给单个移动用户的,主要是l2tp;
3、ssl vpn 这个已经启用,不过用的人不多,可能还是习惯原因。
四、优缺点
优点如下:
1、功耗小、体积小
所选购的设备,除服务器端外,其他设备的功耗在20w内,相对一般的pc server功耗要小很多;
2、管理方便
由于涉及到的分支机构太多,如何提高管理效率往往能体现一个运维人员的水平和效率,此系统提供多种管理方式;
支持web管理、支持telnet命令行,支持ssh加密的方式管理,最好的地方是提供了一个集中管理平台(不过我们没有选用,因为要money)。
3、成本低
本套系统,支持200个分支机构,设备投入:总部2000多、每个分部700到1500左右。
4、功能多
支持各种加密技术;
针对安全性做了qos等操作。还有防dos、防ping等。。。。
5、符合各种应用场景
对客户端是动态ip的adsl都支持,不需要弄什么动态域名的东西。
只要保证服务器端是固定ip即可,动态的ip也没有关系,居易自己有免费的动态ddns服务器,另外也绑定了其他很多的ddns服务器,只需要在设备中配置下就可以使用。

缺点
1、设备看起来不那么高端,在外行人看来,无法体现高端性了,尤其在ssl vpn这块,能用,但是有一个应用没办法支持,也测试过其他ssl vpn设备,对智能手机的支持一样不好;
2、设备对支持的vpn隧道有限制,以后扩展的话需要换设备。
3、暂时没有想到更多。
五、根据以上缺点优化
寻找更多的设备测试,尤其是ssl vpn支持这块。
linux系统下的openvpn暂时不了解,曾经玩过一个星期openswan 。看其他朋友的体会后再决定是否进一步深入了解吧。。

1、你喜欢用哪一种OS及VPN软件搭建VPN?
2、根据一的答案,请谈谈您选择的这种方式的优缺点。
3、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?

论坛徽章:
1
申猴
日期:2014-04-30 14:15:12
发表于 2013-01-18 09:52 |显示全部楼层

一、你喜欢用哪一种OS及VPN软件搭建VPN?

linux下openvpn

二、根据一的答案,请谈谈您选择的这种方式的优缺点。

缺点:使用SSL 应用层加密,传输效率要低于IPSEC 传输的VPN 软件。
优点:稳定,自从搭建以来几年了,除了周末计划重启,一直在用。
         多平台兼容性,linux,window,Mac都在用。
         所需硬件要求不高,在几年前的p4机器上一直在用。
         安全,基于SSL协议。

三、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?
考虑到安全性,所以不打算更换。

论坛徽章:
0
发表于 2013-01-21 10:44 |显示全部楼层
本帖最后由 raresk 于 2013-01-21 10:48 编辑

看起来像广告。。不过真的用起来还不错。
应用场景总部-分支机构,需要交互数据库数据。
一、你喜欢用哪一种OS及VPN软件搭建VPN?
使用的是netgear的VPN设备,可以搭建基于IPsec的site-site,site-client模式的VPN
SSL VPN,PPTP,L2TP也可以很方便的设置。。

二、根据一的答案,请谈谈您选择的这种方式的优缺点。
优点:1.集成化程度高,所以一次设置后几乎就不用再维护了。对于分支机构的网管人员来说,太复杂的配置和维护很有难度
        2.不需要太大的去改动原有网络架构,如果做二级路由,只需要在原有路由器/防火墙上做两个UDP端口映射,适合在现有架构上搭建VPN。实施起来协调难度大大降低
        3.可以同时启用L2TP和IPSEC,这个搭配基本就满足需求了。
缺点: 1.日志系统相对简单了点。
         2.QOS无法做到

三、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?
搭建基于OS的VPN系统,做到良好的监控,考虑下openvpn

论坛徽章:
2
狮子座
日期:2013-08-26 15:25:32金牛座
日期:2013-09-05 15:45:36
发表于 2013-01-21 11:00 |显示全部楼层
1、你喜欢用哪一种OS及VPN软件搭建VPN?
     freebsd+mpd5+pf
2、根据一的答案,请谈谈您选择的这种方式的优缺点。
     优点:客户端不需要安装额外的软件,windows自带,方便,
     缺点:不是强加密,安全性等没有openvpn好,但openvpn需要安装客户端,不是很方便
3、根据二的缺点,您还可能选择哪一种VPN连接方式来作为弥补?
    ipsec用证书来提高安全性

论坛徽章:
13
15-16赛季CBA联赛之广夏
日期:2016-08-13 21:24:352015亚冠之武里南联
日期:2015-07-07 17:37:372015亚冠之萨济拖拉机
日期:2015-07-06 17:07:482015亚冠之全北现代
日期:2015-06-04 13:54:272015亚冠之城南
日期:2015-05-21 15:43:212015年亚洲杯之伊朗
日期:2015-04-25 18:20:362015年亚洲杯之伊朗
日期:2015-04-20 16:06:052015年亚洲杯之科威特
日期:2015-03-07 12:51:26丑牛
日期:2014-12-30 10:26:38申猴
日期:2014-09-28 22:40:18金牛座
日期:2014-09-13 21:12:22戌狗
日期:2014-09-12 23:41:35
发表于 2013-01-21 11:59 |显示全部楼层
VPN目前用的很广泛。。。

L2LVPN ,grep over ipsec ,DMVPN ,EZVPN, SSLVPN

各种VPN的使用,看企业的环境,架构,跟资金预算吧


在企业的出口放一台路由器或者防火墙,配置好后,可以自动拨号,硬件加速。。VPN实现的功能多。。


如果分部不多,可以考虑site -to-site VPN,配置好隧道,可以实现动态路由协议,承载各种应用,例如语音,视频流。(跨国企业用的多。。长途费贵。。)

分部多的话,考虑下DMVPN,分布出口设备可以注册到总部的路由器,自动下发路由,这样分部与分部之间的流量不需要通过总部中转,减少了总部设备的压力,跟出口带宽。

例如:一些连锁店,全国成百上千个点,DMVPN比较适合。财务数据之间的传输,也必须加密,压缩后传输。。


出差人员多,考虑下EZVPN,SSLVPN。

EZVPN 需要装个客户端,SSLvpn目前用的很火。

每种VPN都各自的优点吧,最主要看企业需求。

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2013-01-21 14:54 |显示全部楼层
本帖最后由 lsstarboy 于 2013-01-21 14:57 编辑

我是教育行业的,我更偏向于pptp VPN。
优点:
 (1)速度快,没有加密,轻装上阵。不加密是缺点,但同时也是优点。教育行业基本上没有机密的东西,加密除了增加硬件接入、影响速度外,没有可见的明显的好处。
 (2)兼容性好,不需要特殊的客户端,无论是windows还是Linux/Unix,都可以使用。甚至是几百元的路由器上都可以实现。
 (3)access VPN或者是Intranet VPN都可以实现。
 (4)资料多,方案成熟,出现问题容易解决。
 (5)穿NAT效果还不错,不需要太多的设置。
缺点:
 (1)最烦心的是在一个NAT后有多个用户拨号,GRE就忙不开,会导致连接不正常。
 (2)不时髦,跟openvpn等相比,太古老,跟ipsec相比,功能太弱。

结论:
合适的就是最好的,穿墙就别用它了,ssl都不一定保证不被监视,不加密随时都可能被抓

实现:
我现在用的是FreeBSD+MPD5,全县有十几所学校接入,稳定性和速度都还不错。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

ITPUB技术栈

ITPUB技术栈是ITPUB企业打造的垂直于IT领域的知识社群平台,在这里,你既可以是创作者也可以是消费者。如果你的IT生涯丰富多彩,喷薄的个人价值尽可在小栈内体现;如果你渴望找到志同道合的伙伴,拓宽人脉,小栈比跑会场更快。 小栈特色:
1.极高的用户转化率,实现更直接的知识变现;
2.随时随地,刷个朋友圈的时间,实现更长效的信息沉淀;
3.戳痛、难点的专业咨询,更接近成功解决方案的时刻;
4.贴近意见领袖,个人高速成长,迈入更富有价值的人际圈。

----------------------------------------

技术小栈>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP