Cisco VPN 3005 Concentrator

整合IPsec與SSL VPN

在SSL VPN大行其道之時，Cisco也不落人後的推出相關產品。VPN 3005 Concentrator推出已經有相當時間，原是以IPsec VPN功能為主要訴求，不過每次的韌體更新都有新的功能，而在VPN OS 4.0.5版之後，又增加了WebVPN的功能，讓VPN 3005不但提供IPsec VPN的良好支援性，也兼具SSL VPN的優異機動性，並能降低設備維護上的困擾。

本次測試VPN 3005時將韌體更新至4.1.5.Release-k9版，檔案大小為4.7MB，可以經由電子郵件傳送。為了確保更新時的健全性，VPN 3005僅提供韌體上傳的更新方式而不支援TFTP更新，藉以避免更新時斷線而造成的問題。管理機制部分提供了HTTP/HTTPS、Telnet/SSH、SNMP及Console等方式。

我們在初次設定時由Console端登入，在文字模式底下能夠很清楚的看到區分成設定、管理、監控等三大項目，在進入每個次目錄時都會顯示現在設備的狀態，並採用選擇及填充的方式修改各項目，雖然每個次目錄中都具有多種設定功能，但操作上相當容易，不需以指令方式設定是相當好的設計。支援功能相當完整，雖然管理介面、說明手冊及線上文件等都沒有支援中文，但是有經驗的管理者依然可以依據清楚的架構設定所需功能。安裝設定容易，管理機制良好

我們配發一個固定IP位址給Public埠，並以Windows Server 2003建置Active Directory及DHCP伺服器，並配發動態IP位址給Private埠。測試環境中也建置了終端機伺服器、支援SSL加密的郵件伺服器（支援POP3S/IMAP4S/SMTPS）、Exchange伺服器與Project伺服器。

在使用預設值的狀況下，我們僅需要將內部與外部的IP位址設定好，修改帳號與群組的認證伺服器及權限，並且開啟WebVPN功能後即能透過SSL VPN連線到內部網路。在測試如HTTPS等支援SSL的協定時，我們發現不論是何種應用伺服器，都能夠提供良好的支援效果，不會有連線異常或服務失效的問題，透過VPN 3005連接Outlook Web Access網站或Project伺服器時，就如同與公眾網路上的網站連線，除了連線速度會因為SSL加密而減緩之外，幾乎感覺不出差異。

不過我們在使用時發現一個頗為特別的狀況，使用網頁介面設定完成並儲存後，SSL VPN的網頁並不會因此更新，就算重新啟動也是一樣的結果，反而是透過telnet或console介面可以達到完整的控制效果，在管理時需要特別注意。藉由多種規則，建構安全存取架構

在設定VPN的存取規則時可以從存取時間、流量、群組、使用者及各連線協定下手，在設定時需要先作好規劃，才不至於發生衝突而無法連線的狀況。在不同的規格中，可以設定不同的認證方式，除了本機所具有的使用者資料庫之外，也能夠支援RADIUS、NT網域、Kerberos/Active Directory、SDI等伺服器，我們利用了本機帳號與AD帳號兩種方式登入，都能夠正常運作，要注意的是設定時需要由大到小，建議先從網路連接埠的過濾器開始，而後設定群組原則，最後設定個別使用者。

除了透過使用者及時間管理之外，還可依據不同的連線介面，區分不同的連線權限，以VPN 3005來說，兩個連接埠可以切割成不同的網段，每個連接埠也可以個別設定過濾器，設備中已經依據基本網路連線架構預設4組過濾器，企業也可以根據特別的需要修改設定。

企業可以依據內部現有架構調整相關設定，整合設備及登入方式以降低使用上的複雜度。並且可以依據所使用的帳號、所屬的群組，設定不同的連線機制與權限，除了企業員工可以存取內部資源之外，也能夠讓相關廠商可以在上班時間安全地獲得相關資料，而不必擔心其他機密文件外洩的問題。

VPN 3005特別開啟WebVPN項目，可以自行設定SSL VPN連線時的首頁畫面、各種圖示及標記，改成企業自己專屬的模式，並能夠設定使用HTTP/HTTPS連線時的代理伺服器，以增加安全管理的強度；在郵件轉送的部分，也能夠設定多種認證需求，除了郵件伺服器本身的認證之外，還能夠加上憑證及VPN 3005的認證，不過SMTPS的預設值並沒有勾選，需要注意垃圾郵件轉發的問題。同時所有與郵件伺服器連接的協定都必須採用SSL加密，否則會無法連接VPN 3005。

設定支援HTTP/HTTPS與CIFS的伺服器時相當方便，只要直接輸入伺服器位置就能設定完成，管理時可以預先將遠端連線時所需的網站建立好，之後就不必在手動輸入。對於非Web-based的伺服器，也可以採用port forwarding（服務埠轉送）的方式連線，這時用戶端會自動下載Java Applet作為伺服器與用戶端間的轉接橋樑，可以提供更佳支援效果。支援多種用戶端軟體，具良好連線能力

在IPsec VPN部分一直讓人頭痛的就是用戶端軟體設定的問題，為了在連線的時候得到強固的加密能力往往會犧牲連線的便利性。不過以VPN 3005來說，區分出LAN-to-LAN與遠端連線兩個不同的設定項目，LAN-to-LAN端僅需要設定對方的位置、經由的網路介面、流量及NAT設定，在同一個畫面就可以設定完成，步驟相當簡單。

而VPN 3005也提供了VPN Client連線軟體，供行動工作者遠端連線使用，透過VPN Client可以建構出IPsec加密的通道，雖然連線速度慢了些，但是還在能夠接受的範圍。除了使用專用連線軟體之外，也可以利用Windows XP中內建的連線精靈設定遠端VPN連線。預設採用的是PPTP連線，也可以使用IPsec共用金鑰驗證的方式建立IPsec通道。而VPN 3005能夠提供的通訊協定比Windows XP多，並且可以依據需要自行定義可使用的加密與編碼類型。其實使用IPsec VPN已經不再像過去那麼困難了。文⊙羅健豪