|
VPN既是一種組網(wǎng)技術(shù)��,又是一種網(wǎng)絡(luò)安全技術(shù)����。VPN涉及的技術(shù)和概念比較多,應(yīng)用的形式也很豐富,其分類方式也很多����,令人眼花繚亂�����。在技術(shù)篇中我們介紹了按實(shí)現(xiàn)技術(shù)將VPN分成基于隧道的VPN、基于虛電路的VPN和MPLS VPN等,這里再介紹幾種主要的劃分方式�,供下一篇選擇VPN解決方案時(shí)參考����。
一��、VPN的類型
1���、按應(yīng)用范圍劃分
這是最常用的分類方法����,大致可以劃分為遠(yuǎn)程接入VPN(Accesss VPN)���、Intranet VPN和Extranet VPN等3種應(yīng)用模式����。遠(yuǎn)程接入VPN用于實(shí)現(xiàn)移動(dòng)用戶或遠(yuǎn)程辦公室安全訪問(wèn)企業(yè)網(wǎng)絡(luò);Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)�����;Extranet VPN用于企業(yè)與客戶�、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。
2��、按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分
VPN可分為以下3種類型�。
① 基于VPN的遠(yuǎn)程訪問(wèn)
即單機(jī)連接到網(wǎng)絡(luò)��,又稱點(diǎn)到站點(diǎn)�,桌面到網(wǎng)絡(luò)��。用于提供遠(yuǎn)程移動(dòng)用戶對(duì)公司內(nèi)部網(wǎng)的安全訪問(wèn)���。
② 基于VPN的網(wǎng)絡(luò)互聯(lián)
即網(wǎng)絡(luò)連接到網(wǎng)絡(luò)�����,又稱站點(diǎn)到站點(diǎn),網(wǎng)關(guān)(路由器)到網(wǎng)關(guān)(路由器)或網(wǎng)絡(luò)到網(wǎng)絡(luò)�����。用于企業(yè)總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)的內(nèi)部主機(jī)之間的安全通信時(shí)����,還可用于企業(yè)的內(nèi)部網(wǎng)與企業(yè)合作伙伴網(wǎng)絡(luò)之間的信息交流����,并提供一定程度的安全保護(hù)�����,防止對(duì)內(nèi)部信息的非法訪問(wèn)�。
③ 基于VPN的點(diǎn)對(duì)點(diǎn)通信
即單機(jī)到單機(jī)����,又稱端對(duì)端,用于企業(yè)內(nèi)部網(wǎng)的兩臺(tái)主機(jī)之間的安全通信。
3�、按接入方式劃分
在Internet上組建VPN����,用戶計(jì)算機(jī)或網(wǎng)絡(luò)需要建立到ISP的連接���。與用戶上網(wǎng)接入方式相似�,根據(jù)連接方式���,可分為兩種類型����。
① 專線VPN通過(guò)固定的線路連接到ISP,如DDN�����、幀中繼等都是專線連接��。
② 撥號(hào)接入VPN簡(jiǎn)稱VPDN��,使用撥號(hào)連接(如模擬電話、ISDN和ADSL等)連接到ISP�,是典型的按需連接方式�。這是—種非固定線路的VPN�。
4、按隧道協(xié)議劃分
按隧道協(xié)議的網(wǎng)絡(luò)分層��,VPN可劃分為第2層隧道協(xié)議和第3層隧道協(xié)議���。PPTP�、L2P和L2TP都屬于第2層隧道協(xié)議,IPSec屬于第3層隧道協(xié)議�,MPLS跨越第2層和第3層�。VPN的實(shí)現(xiàn)往往將第2層和第3層協(xié)議配合使用��,如L2TP/IPSec�����。當(dāng)然�����,還可根據(jù)具體的協(xié)議來(lái)進(jìn)一步劃分VPN類型��,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等���。
第2層和第3層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝。第2層隧道協(xié)議可以支持多種路由協(xié)議,如IP、IPX和AppleTalk,也可以支持多種廣域網(wǎng)技術(shù),如幀中繼���、ATM、X.25或SDH/SONET,還可以支持任意局域網(wǎng)技術(shù)����,如以太網(wǎng)����、令牌環(huán)網(wǎng)和FDDI網(wǎng)等����。 另外,還有第4層隧道協(xié)議,如SSL VPN。
5��、按隧道建立方式劃分
根據(jù)VPN隧道建立方式�����,可分為兩種類型�����。
① 自愿隧道(Voluntary tunnel)
指客戶計(jì)算機(jī)或路由器可以通過(guò)發(fā)送VPN請(qǐng)求配置和創(chuàng)建的隧道��。這種方式也稱為基于用戶設(shè)備的VPN�。VPN的技術(shù)實(shí)現(xiàn)集中在VPN用戶端,VPN隧道的起始點(diǎn)和終止點(diǎn)都位于VPN用戶端,隧道的建立�����、管理和維護(hù)都由用戶負(fù)責(zé)�。ISP只提供通信線路,不承擔(dān)建立隧道的業(yè)務(wù)。這種方式技術(shù)實(shí)現(xiàn)容易����,不過(guò)對(duì)用戶的要求較高����。不管怎樣��,這仍然是目前最普遍使用的VPN組網(wǎng)類型���。
② 強(qiáng)制隧道(Compulsory tunnel)
指由VPN服務(wù)提供商配置和創(chuàng)建的隧道�。這種方式也稱為基于網(wǎng)絡(luò)的VPN�。VPN的技術(shù)實(shí)現(xiàn)集中在ISP,VPN隧道的起始點(diǎn)和終止點(diǎn)都位于ISP����,隧道的建立��、管理和維護(hù)都由ISP負(fù)責(zé)。VPN用戶不承擔(dān)隧道業(yè)務(wù),客戶端無(wú)需安裝VPN軟件�。這種方式便于用戶使用�,增加了靈活性和擴(kuò)展性�,不過(guò)技術(shù)實(shí)現(xiàn)比較復(fù)雜,一般由電信運(yùn)營(yíng)商提供,或由用戶委托電信運(yùn)營(yíng)商實(shí)現(xiàn)。
6、按路由管理方式劃分
按路由管理方式劃分���,VPN分為兩種模式。
① 疊加模式(Overlay Model)
也譯為“覆蓋模式”。目前大多數(shù)VPN技術(shù)�����,如IPSec����、GRE都基于疊加模式�。采用疊加模式,各站點(diǎn)都有一個(gè)路由器通過(guò)點(diǎn)到點(diǎn)連接(IPSec��、GRE等)到其他站點(diǎn)的路由器上��,不妨將這個(gè)由點(diǎn)到點(diǎn)的連接以及相關(guān)的路由器組成的網(wǎng)絡(luò)稱為“虛擬骨干網(wǎng)”�����。疊加模式難以支持大規(guī)模的VPN,可擴(kuò)展性差�����。如果一個(gè)VPN用戶有許多站點(diǎn)�,而且站點(diǎn)間需要全交叉網(wǎng)狀連接,則一個(gè)站點(diǎn)上的骨干路由器必須與其他所有站點(diǎn)建立點(diǎn)對(duì)點(diǎn)的路由關(guān)系����。站點(diǎn)數(shù)的增加受到單個(gè)路由器處理能力的限制�����。另外,增加新站點(diǎn)時(shí)����,網(wǎng)絡(luò)配置變化也會(huì)很大��,網(wǎng)狀連接上的每一個(gè)站點(diǎn)都必須對(duì)路由器重新配置。
② 對(duì)等模式(Peer Model)
對(duì)等模式是針對(duì)疊加模式固有的缺點(diǎn)推出的�。它通過(guò)限制路由信息的傳播來(lái)實(shí)現(xiàn)VPN����。這種模式能夠支持大規(guī)模的VPN業(yè)務(wù)����,如一個(gè)VPN服務(wù)提供商可支持成百上千個(gè)VPN。采用這種模式��,相關(guān)的路由設(shè)備很復(fù)雜���,但實(shí)際配置卻非常簡(jiǎn)單�����;容易實(shí)現(xiàn)QoS服務(wù)���;擴(kuò)展更加方便��,因?yàn)樾略鲆粋(gè)站點(diǎn),不需與其他站點(diǎn)建立連接�。這對(duì)于網(wǎng)狀結(jié)構(gòu)的大型復(fù)雜網(wǎng)絡(luò)非常有用�����。MPLS技術(shù)是當(dāng)前主流的對(duì)等模式VPN技術(shù)。
二��、如何選擇VPN產(chǎn)品
如果單位自建VPN需要選購(gòu)相關(guān)的產(chǎn)品�。 一套完整的VPN產(chǎn)品一般包括3個(gè)部分即① VPN網(wǎng)關(guān):用于實(shí)現(xiàn)LAN到LAN。② VPN客戶端:與VPN網(wǎng)關(guān)一起可實(shí)現(xiàn)客戶到LAN的VPN方案���。③ VPN管理中心:對(duì)VPN網(wǎng)關(guān)和VPN客戶端的安全策略進(jìn)行配置和遠(yuǎn)程管理。 在選擇VPN產(chǎn)品時(shí)�,我們可從以下幾個(gè)方面來(lái)考慮:
1�����、產(chǎn)品定位
首先應(yīng)考察產(chǎn)品定位問(wèn)題。像其他網(wǎng)絡(luò)產(chǎn)品一樣�,不同的VPN產(chǎn)品有不同的定位,按從高端到低端的順序,依次為電信級(jí)�、企業(yè)級(jí)����、中小企業(yè)����、辦公室或SOHO。當(dāng)然,中小企業(yè)只能選擇中小企業(yè)及以下級(jí)別的產(chǎn)品。
2��、支持的應(yīng)用類型
VPN有3種應(yīng)用類型:LAN到LAN�����、客戶到LAN���、客戶到客戶�����。這里的客戶指的是VPN網(wǎng)絡(luò)中的移動(dòng)用戶和遠(yuǎn)程辦公用戶。目前多數(shù)VPN產(chǎn)品都支持LAN到LAN和客戶到LAN,而支持客戶到客戶的產(chǎn)品不多。這一點(diǎn)在有些應(yīng)用場(chǎng)合很重要���,例如企業(yè)的遠(yuǎn)程辦公用戶之間需要交流保密信息,客戶到客戶的VPN方案是一種很好的解決手段。
3��、支持的協(xié)議
自建VPN應(yīng)根據(jù)需要選擇隧道協(xié)議��,目前PPTP����、L2TP和IPSec是比較常用的協(xié)議�。一般遠(yuǎn)程訪問(wèn)VPN(即客戶到LAN)多選擇L2TP協(xié)議,為安全起見(jiàn),還需選擇IPSec來(lái)提供加密。網(wǎng)絡(luò)互聯(lián)(LAN到LAN)和端到端連接多選擇IPSec協(xié)議�。PPTP由于簡(jiǎn)單易用�,而且支持NAT路由�,因此在有些場(chǎng)合下也使用�����?傊�����,IPSec是最安全的隧道協(xié)議�����,多數(shù)VPN產(chǎn)品都支持該協(xié)議。當(dāng)然越來(lái)越多的VPN產(chǎn)品開(kāi)始支持PPTP和L2TP協(xié)議。
除隧道協(xié)議之外�����,還要考察VPN可承載協(xié)議�、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)以及路由協(xié)議的支持情況。許多VPN產(chǎn)品的可承載協(xié)議除IP協(xié)議之外,還支持IPX���、NetBIOS等網(wǎng)絡(luò)協(xié)議。對(duì)NAT的支持對(duì)于一些網(wǎng)絡(luò)共享的應(yīng)用非常重要,IPSec本身并不支持NAT,但可在VPN產(chǎn)品中加進(jìn)這一功能。與IPSec產(chǎn)生直接沖突的是網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)�����。
NAT和NAPT在寬帶網(wǎng)絡(luò)中應(yīng)用很廣����,許多網(wǎng)絡(luò)服務(wù)供應(yīng)商都使用這種技術(shù)。IPSec VPN方案如果不支持NAPT�����,在這些場(chǎng)合就沒(méi)有意義了�����。
4、是否集成防火墻功能
VPN將IP數(shù)據(jù)包加密封裝��,往往會(huì)影響防火墻的性能�����,甚至影響安全策略的定義�����。一般來(lái)說(shuō),獨(dú)立的VPN產(chǎn)品與防火墻難以協(xié)同工作�,特別是來(lái)自不同廠家的產(chǎn)品����。最好選擇集成防火墻功能的VPN產(chǎn)品�。
5、產(chǎn)品的基本配置
VPN的基本配置參數(shù)如下:
① 可支持的最大連接數(shù)�。即使是小型網(wǎng)絡(luò)�,最少應(yīng)不低于100��,高端產(chǎn)品能支持?jǐn)?shù)萬(wàn)個(gè)連接�����。 ② VPN實(shí)現(xiàn)機(jī)制。有純軟件�、純硬件�����、軟硬結(jié)合以及專用設(shè)備等方式。 ③ 可提供的網(wǎng)絡(luò)接口����。常見(jiàn)的是以太網(wǎng)口,還有E1、T1等接口。 ④ 操作系統(tǒng)平臺(tái)�����,指VPN產(chǎn)品本身所采用的操作系統(tǒng)����,許多產(chǎn)品都采用專有的操作系統(tǒng)。
6、VPN的管理性
提供專用的VPN管理軟件或平臺(tái)對(duì)于一個(gè)復(fù)雜的VPN網(wǎng)絡(luò)很重要�����,可簡(jiǎn)化管理,減輕了系統(tǒng)管理員的負(fù)擔(dān)���。
7、VPN的開(kāi)放性和擴(kuò)展性
VPN產(chǎn)品應(yīng)提供與第三方安全產(chǎn)品協(xié)同工作的能力��,應(yīng)適應(yīng)多種平臺(tái)�����。便于擴(kuò)展��,以適應(yīng)VPN網(wǎng)絡(luò)的擴(kuò)展和升級(jí)。
8�、產(chǎn)品的其他功能
其他功能包括硬件加速功能(純硬件處理��、加密卡、加速卡)��、流量均衡�����、安全策略(安全網(wǎng)關(guān)����、防火墻�����、集中管理、日志、加密)���、安全機(jī)制(包過(guò)濾、加密、認(rèn)證����、日志�����、審核等)、認(rèn)證機(jī)制(RADIUS、數(shù)字證書(shū))和密鑰管理等�����。
另外��,在選擇VPN方案和產(chǎn)品的時(shí)候���,不要單純從組網(wǎng)和安全的技術(shù)角度考慮���,還要考慮VPN的具體用途和所需成本����。對(duì)于中小型VPN網(wǎng)絡(luò)來(lái)說(shuō)��,經(jīng)濟(jì)實(shí)用才是最重要的����。
本文出自:億恩科技【www.zuiquanben.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
