VPN 的工作原理及配制方法文档格式.docx
- 文档编号:22198879
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:13
- 大小:93.99KB
VPN 的工作原理及配制方法文档格式.docx
《VPN 的工作原理及配制方法文档格式.docx》由会员分享,可在线阅读,更多相关《VPN 的工作原理及配制方法文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
MPLS简化了ATM与IP的集成技术,与专线相比,降低了成本(不过这种降低成本是相对的,由于电信运营商建设网络的成本很高,因此MPLS的运营成本也不低。
)
(2)提高了资源利用率,提高了网络速度
由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
由于使用标签交换,缩短了每一跳过程中地址搜索的时间,减少了数据在网络传输中的时间,提高了网络速度。
(3)高可靠,业务综合能力强
采用MPLS作为通道机制实现透明报文传输
(4)MPLS具有QoS保证
用户可以赋予不同的QoS等级
相对于其优点,MPLS的缺点也是明显的:
(1)价格高
相对于使用IPsec通过Internet组网,MPLS的代价比较高。
相当于一种准专线。
(2)接入比较麻烦
并不是所有的地方都能够提供接入。
(3)跨运营商不便,由于现在运营商之间还有很多协调工作没有完成。
而且大家都知道,中国的电信巨头之间,向来以相互不合作出名
用途
MPLS适应比较高端的大型用户
VPN的配置方法:
二.SSLVPN
工作特点:
SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。
如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。
是一种传统的VPN技术
几乎所有的主流商业浏览器都集成了SSL,实施SSLVPN不需要再安装额外的软件SSL实现了客户端0安装,0配置。
因此其功能和应用也受到限制
用途:
它适合PC-WebServer模式,就是大量的移动用户通过浏览器访问Web服务器
优点:
(1)方便,实施SSLVPN只需要安装配置好中心网关即可。
其余的客户端是免安装的,因此,实施期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。
(2)容易维护,SSLVPN维护起来也简单。
出现问题,就维护网关就可以了。
实在不行,换一台,如果有双机备份的话,备份机器启动就可以了。
(3)安全,SSL是一个安全协议,数据是全程加密传输的。
另外,由于SSL网关隔离了内部服务器和客户端,只留下一个Web浏览接口,客户端的大多数病毒木马感染不到内部服务器。
而IPsecVPN就不一样,实现的是IP级别的访问,远程网络和本地网络几乎没有区别。
局域网能够传播的病毒,通过VPN一样能够传播。
当然,SSLVPN的缺点也是很明显的:
1.SSLVPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。
在部署方式、保护范围、认证方式上限制很多,这也是SSLVPN市场有限的原因之一
2.SSLVPN的认证方式比较单一,只能采用证书,而且一般是单向认证。
支持其它认证方式往往要进行长时间的二次开发
3.SSLVPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制
4.要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
5.应用层局限性
6.SSLVPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。
对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。
7.性能.SSLVPN是应用层加密,性能比较差
隧道技术基础
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。
隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。
一旦到达网络终点,数据将被解包并转发到最终目的地。
注意隧道技术是指包括数据封装,传输和解包在内的全过程。
隧道所使用的传输网络可以是任何类型的公共互联网络,本文主要以目前普遍使用Internet为例进行说明。
此外,在企业网络同样可以创建隧道。
隧道技术在经过一段时间的发展和完善之后,目前较为成熟的技术包括:
1.IP网络上的SNA隧道技术
当系统网络结构(SystemNetworkArchitecture)的数据流通过企业IP网络传送时,SNA数据桢将被封装在UDP和IP协议包头中。
2.IP网络上的NovellNetWareIPX隧道技术
当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。
另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地。
近几年不断出现了一些新的隧道技术,本文将主要介绍这些新技术。
具体包括:
1.点对点隧道协议(PPTP)
PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
2.第2层隧道协议(L2TP)
L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,桢中继或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。
隧道技术可以分别以第2层或第3层隧道协议为基础。
上述分层按照开放系统互联(OSI)的参考模型划分。
第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位。
PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送。
第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。
IPoverIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
构建中小企业的VPN网络—利用GRE技术
随着互联网的广泛应用,企业分支机构的联网应用也越来越多。
但是,租用专线的费用是很多中小企业无法承受的。
通过使用本文中介绍的VPN技术,可以轻易构建企业之间的联网应用。
VPN,全称“虚拟专用网”。
这是相对于实际的专有网络而言的。
实际的专有网络比如银行,政府机构,大型企业等等。
通过租用专有的线路进行互联。
而VPN是通过公共互联网传播私有数据的一种技术。
这种技术通常使用在如下的网络:
<
P>
图一VPN网络示例
下面首先简单介绍一下各种VPN技术和各自长短。
GRE:
通用路由封装技术。
这种技术是在IP数据包的外面再加上一个IP头。
通俗的说,就是把私有数据进行一下伪装,加上一个“外套”,传送到其他地方。
因为企业私有网络的IP地址通常是自己规划,无法和外部互联网进行正确的路由。
而在企业网络的出口,通常会有一个互联网唯一的IP地址。
这个地址可以在互联网中唯一识别出来。
GRE就是把目的IP地址和源地址为企业内部地址的数据报文进行封装,加上一个目的地址为远端机构互联网出口的IP地址,源地址为本地互联网出口的IP地址的IP头,从而经过通过互联网进行正确的传输。
这种技术是最简单的VPN技术。
L2tp:
全称二层隧道传输协议。
这是一种在特定链路层实现的VPN技术。
具体是把二层协议PPP的报文封装在IP报文中,进行传输。
这种技术主要是提供了企业员工出差在外通过拨号网络直接访问企业内部网络的方式。
在Windows2000中,也提供了这项功能。
但是,用户要使用这种技术,必需ISP提供支持。
IPsec:
网络安全协议。
这个协议提供了互联网的验证,加密等功能,实现了数据的安全传输。
同时,可以使用这种协议构建VPN网络。
原理也是对IP包进行封装(可以提供多种方式),并且进行加密,然后在互联网中进行传输。
与前面两种相比,这种技术提供了更好的安全性。
但是,协议的复杂性导致了处理Ipsec的网络设备(如路由器)需要占用大量的资源,效率较低。
如果使用专门的加密硬件,又会增加成本。
其他还有一些最新的技术,如MPLSVPN,但是都需要ISP提供相应的服务。
下面,以目前互联网现状最简单,成本最低,最有效的VPN技术——GRE为例,说明如何实际的构造中小企业的VPN网络。
现在,许多中小企业都有一个互联网出口供上网,查找资料,处理邮件等。
所使用的技术差不多都是NAT——网络地址转换。
虽然,这种技术可以让内部网络访问互联网,却不能访问其他的内部网络。
如下图,公司的两个机构原来都使用NAT访问互联网。
上网路由器可以通过ISDN,普通拨号电话线,卫星专项等上网。
如果原来是使用Linux或者Windows网关上网,要实现下面的功能,必须购买路由器(目前国产的地端路由器不过几千元)。
分支A和分支B都有一个上网使用的公共IP地址。
分支A的内部网段为172.17.1.0/24,分支B内部网段为172.17.20/24。
现在需要实现分支A的计算机能访问分支B的服务器ServerB,分支B机能访问分支A的服务器ServerA。
为了实现这个目的,我们需要在RouterA和RouterB上进行相应的配置,其他一切不变。
在RouterA上:
1配置一个虚接口(逻辑的接口,不是实际的物理接口),配置IP地址,本例中为172.17.10.1/24。
2然后配置通道的目的地址——193.64.2.1,配置通道的源地址——202.38.1.1。
3配置路由:
到网段172.17.2.0255.255.255.0的下一跳为172.17.10.2。
在RouterB上:
1同样配置一个虚接口,配置IP地址——172.17.10.2/24。
2然后配置通道的目的地址——202.38.1.1,配置通道的源地址——193.64.2.1。
到网段172.17.1.0255.255.255.0的下一跳为172.17.10.1。
配置完成以后,从RouterA如果可以ping通RouterB上的地址172.17.10.2,就大功告成了。
分支A和分支B上就可以进行如专线一样的联网应用了。
3.配置ESP-DESIPSec并测试
----以下配置是配置VPN的关键。
首先,VPN隧道只能限于内部地址使用。
如果有更多的内部网络,可在此添加相应的命令。
----huadong(config)#access-list105permitip172.17.1.00.0.0.255172.16.0.00.0.255.255
----huadong(config)#access-list106permitip172.17.1.00.0.0.255172.17.2.00.0.0.255
----huadong(config)#access-list107permitip172.17.1.00.0.0.255172.17.3.00.0.0.255
----指定VPN在建立连接时协商IKE使用的策略。
方案中使用sha加密算法,也可以使用md5算法。
在IKE协商过程中使用预定义的码字。
----huadong(config)#cryptoisakmppolicy10
----huadong(config-isakmp)#hashsha
----huadong(config-isakmp)#authenticationpre-share
----huadong(config-isakmp)#exit
----针对每个VPN路由器,指定预定义的码字。
可以一样,也可以不一样。
但为了简明起见,建议使用一致的码字。
----huadong(config)#cryptoisakmpkeyabc2001address211.157.243.130
----huadong(config)#cryptoisakmpkeyabc2001address202.96.209.165
----huadong(config)#cryptoisakmpkeyabc2001address192.18.97.241
----为每个VPN(到不同的路由器,建立不同的隧道)制定具体的策略,并对属于本策略的数据包实施保护。
本方案包括3个VPN隧道。
需要制定3个相应的入口策略(下面只给出1个)。
----huadong(config)#cryptomapabc20ipsec-isakmp
----huadong(config-crypto-map)#setpeer211.157.243.130
----huadong(config-crypto-map)#settransform-setabc-des
----huadong(config-crypto-map)#matchaddress105
----huadong(config-crypto-map)#exit
----使用路由器的外部接口作为所有VPN入口策略的发起方。
与对方的路由器建立IPSec。
----huadong(config)#cryptomapabclocal-addressserial0
----IPSec使用ESP-DES算法(56位加密),并带SHA验证算法。
----huadong(config)#cryptoipsectransform-setabc-desesp-desesp-sha-hmac
----指明串口使用上述已经定义的策略。
----huadong(config)#interserial0/0
----huadong(config-if)#cryptomapabc
----在IP地址为172.17.1.100的计算机上验证:
----c:
>
ping172.16.1.100
----……
----Replyfrom172.16.1.100:
bytes=32time=17msTTL=255
----huadong#showcryptoengineconnacti
----IDInterfaceIP-AddressStateAlgorithmEncryptDecrypt
----1<
none>
<
setHMAC_SHA+DES_56_CB00
----2000Serial0/0210.75.32.9setHMAC_SHA+DES_56_CB0452
----2001Serial0/0210.75.32.9setHMAC_SHA+DES_56_CB6940
----同时,这种连接使用了IPSec,而没有使用NAT技术。
有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。
这种基于SSL的VPN提供了与IPSecVPN近似的安全性。
由于讨论IPSecVPN的文章比较多,所以笔者在此就不再赘述,只是阐述SSLVPN的工作原理和两种技术的对比。
SSLVPN如何工作
SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。
SSLVPN的劣势
由于是一种相对来说还没有大量应用的技术,目前能够提供相应产品和服务的厂商也不多,那么SSLVPN这种技术与IPSecVPN相比,究竟有什么劣势呢?
笔者在这里做一个简要的分析。
SSLVPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。
另外,具体到我们国家,国家商用密码管理部门有明确的规定(比如国务院273号令),表明我国在政策上就不允许使用那些采用DES的SSLVPN技术。
SSLVPN的问题
1、SSLVPN的认证方式比较单一,只能采用证书,而且一般是单向认证。
支持其它认证方式往往要进行长时间的二次开发。
IPSecVPN认证方式更为灵活(口令、RADIUS、令牌等)。
2、SSLVPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。
而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
3、要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
4、应用层局限性
SSLVPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSecVPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用。
一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。
一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSLVPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSLVPN根本做不到。
5、SSLVPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。
6、性能
SSLVPN是应用层加密,性能比较差。
目前,VPN可以达到千兆甚至接近10G,而SSLVPN由于是应用层加密,即使使用加速卡,通常只能达到300M左右的性能。
基于以上分析,SSLVPN所具有的先天局限性导致了在大范围部署的VPN方案中,SSLVPN远远不能解决用户的需求,所以希望用户在选择产品的时候能够认真的考虑并仔细选择。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 的工作原理及配制方法 工作 原理 配制 方法