VPN是什么？

希望為遠程員工提供核心網絡資源的虛擬現場訪問權限或者希望將分支機構連接到核心網絡的大多數組織都使用虛擬專用網（VPN）。VPN是加密隧道，可以通過不安全的公共基礎設施（通常是互聯網）進行安全，保密的數據傳輸。

站點間VPN是什么？

站點間VPN是一種較常用的VPN實施，在這種實施中，托管網絡資源的一個位置通過VPN安全地連接到另一個位置（此處可能也托管著資源）；通常，這兩個位置屬于同一個組織。

站點間VPN部署在每個位置的安全設備/防火墻之間。位于這些防火墻之后的客戶端設備（例如筆記本電腦或工作站）不需要安裝軟件或配置本地設置即可與對方站點發送或接收數據。

在網格站點間VPN（也稱為“分支到分支”）中，組織的各個網絡全部都通過VPN彼此連接。在中心輻射型拓撲中，所有衛星分支機構網絡（“分支”）通過VPN隧道連接回中心辦公室（“中心”）；分支彼此間不會直接交換數據。

為什么VPN難以部署？

使用傳統架構時，隨著分布式站點數量的增加，多站點VPN的配置和管理復雜性之高令人望而卻步。這是因為每個VPN隧道的兩端都需要進行手動創建和調整，而且這些操作通常需要通過復雜的命令行界面來完成。這是一個既耗時又容易出錯的過程：需要為每個隧道手動指定和配置兩次變量，例如兩個安全設備接口的IP地址、預共享密鑰或證書、身份驗證和加密協議、可導出的子網列表等。試想：如果主要廣域網上行鏈路故障切換至3G/4G鏈路且VPN的外部IP地址變更，則需要為新地址重新確定上述所有設置才能恢復VPN功能。

思科Meraki解決方案

自動VPN：快速輕松的設置

思科Meraki MX是一款基于云的安全設備，具有完全集成的網絡和安全功能，例如企業級狀態防火墻、深入的第7層應用可視性與可控性、廣域網優化、符合CIPA標準的內容過濾等。此外，所有MX型號都支持自動VPN功能，只需在思科Meraki控制面板中點擊兩次即可配置站點間第3層IPsec VPN，將一項耗時的工作壓縮到僅僅幾分鐘之內。

要啟用自動VPN，思科基于云端的SaaS網絡管理平臺將用作組織中的MX之間的代理，協商VPN路由、身份驗證和加密協議，而密鑰會自動變換。其過程如下所示：

1.MX向思科基于云端的SaaS網絡管理平臺通告自己的廣域網IP地址和任何活動的NAT穿越UDP端口。設備到基于云端的SaaS網絡管理平臺的通信會加密兩次：通過Meraki專有加密算法加密一次，使用SSL再加密一次。

2.思科基于云端的SaaS網絡管理平臺收到MX通告和公共IP地址。控制面板從MX收到廣域網IP和NAT穿越信息，以及它們的公共IP地址（如果MX位于NAT設備之后，則該地址與其廣域網IP不同）。

3.基于遠端的SaaS網絡管理平臺維護一個用于跟蹤組織中所有MX的動態度。對組織中的每臺MX、它都會跟蹤其廣域網IP地址、公共IP地址、NAT穿越端口和本地子網。當新的MX聯機時，其信息會添加到此表中。

4.選擇適當的IP地址。對每臺MX，基于云端的SaaS網絡管理平臺決定使用其廣域網IP還是公共IP地址來建立安全的VPN隧道。它會盡可能使用MX的廣域網IP地址；這可以在對等MX之間提供較短的VPN路徑（例如，當多個VPN對等體通過MPLS連接到主數據中心并從那里連接到外部的互聯網時）。

5.協商VPN隧道。思科基于云端的SaaS網絡管理平臺已經知道每臺MX的VLAN和子網信息，現在是用于創建隧道的IP地址。基于云端的SaaS網絡管理平臺與MX確定16個字符的預共享密鑰（每個組織一個密鑰），并建立一個128位AES加密的IPsec隧道。通過VPN導出IT管理員在控制面板中指定的本地子網。

6.將VPN路由從控制面板推送至MX。較后，控制面板會將VPN對等體信息（例如導出的子網、隧道IP信息）動態推送至每臺MX。每臺MX將此信息存儲在單獨的靜態路由表中。

自動VPN以這種獨特的智能方式利用基于云端的SaaS網絡管理平臺，意味著IT管理員在站點間設置VPN隧道所需的手動配置和時間都更少，在此過程中引入人為錯誤的機會也就更少。

內置和可配置的站點間VPN冗余

無法使用VPN功能會讓員工無法查收郵件、訪問文件共享、安全地發送數據或使用VoIP電話等，讓工作效率猛地陷入停滯。為了防止這種情況，自動VPN功能利用基于云端的SaaS網絡管理平臺來提供內置冗余。例如，如果您的MX有兩條互聯網上行鏈路，當為VPN流量服務的主上行鏈路發生故障時，另一條上行鏈路將進入主用狀態，該鏈路的所有站點間VPN隧道將立即通過基于云端的SaaS網絡管理平臺重新協商。這意味著，當主用鏈路故障切換至備用鏈路（比如切換至3G/4G上行鏈路，導致MX公共VPN IP地址更改）時，自動VPN將自行修復。自行修復適用于自動VPN可用的網絡和中心輻射型VPN拓撲。

此外，如果要防止整個安全設備發生故障的罕見情況，您可以將一臺Meraki MX安全設備配置為主VPN集中器，并將一臺輔助的已啟動（“熱”）MX準備好，隨時可在臺MX發生故障時接管。

配置熱備份非常簡單：將兩臺MX都放在網絡邊界之內并配置為VPN集中器。為每臺MX分配單獨的IP地址使其可以與基于云端的SaaS網絡管理平臺通信，但它們也共享同一個虛擬IP（vIP）。此公共虛擬地址將接收所有VPN流量，在默認情況下，主集中器將對該流量做出響應。但是，如果主MX發生故障，熱備份設備可以立即介入處理VPN流量（故障檢測和完整的故障切換所需時間不到30秒）。無需手動更改IP地址即可將流量定向至熱備份設備，因為它與主MX共享vIP。