广域网接入技术2.docx
- 文档编号:7374491
- 上传时间:2023-01-23
- 格式:DOCX
- 页数:14
- 大小:181.29KB
广域网接入技术2.docx
《广域网接入技术2.docx》由会员分享,可在线阅读,更多相关《广域网接入技术2.docx(14页珍藏版)》请在冰豆网上搜索。
广域网接入技术2
VPN技术
VPN定义
虚拟专用网络(VPN—VirtualPrivateNetwork)指的是在公用网络上建立专用网络的技术。
之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如INTERNET,ATM,FRAMERELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。
VPN的工作原理
任何VPN的核心是被称为"隧道"的技术。
隧道允许VPN的数据流被路由通过IP网络而不管生成该数据流的是何种类型的网络或设备。
从这个意义上说,VPN的操作独立于其他的网络协议,隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。
隧道技术的核心是隧道协议。
点对点隧道协议(PPTP)是第一个广泛使用来建立VPN的协议。
目前,Windows95、98和NT4.0都支持PPTP,这就使的绝大多数的桌面计算机可以初始化一个VPN。
PPTP可以将其他类型协议的数据包提取出来然后封装在一个PPTP包中,这样就可以支持客户机-LAN(例如:
移动用户到园区LAN)和LAN-LAN(例如:
销售机构到园区LAN)两种隧道。
为了保密起见,事先可以对封装的数据进行加密。
上图描述了这种关系。
另外,象PPTP一样,L2TP将提供客户机-LAN和LAN-LAN服务,但是是在开放标准的环境下。
运行隧道协议的设备初始化一个隧道。
它通过与服务提供者的本地代理(在Internet或电话服务中为POP)协商建立一条连接来开始这一过程。
通常情况下,位于目的园区局域网内的一台RADIUS服务器将对用户进行认证并建立正确的网络授权(尽管许多服务提供者将认证和授权作为连接服务的一部分)。
然后,发送者在ISP的网络(公用Internet或由网络服务提供者管理的共享IP网络)上传输数据。
如果目的地是公司总部局域网内的一台工作站,那么隧道就结束于终点服务器上。
当接收到隧道数据之后,隧道终点服务器就将数据分发到园区局域网内的适当的接收点上。
显然,如果使用公用的网络-如Internet-就会带来关于数据安全性方面的考虑。
然而,在建立隧道,进行隧道操作-授权和认证的同时,可以利用其他的协议,如MPPE(Microsoft点对点加密协议)或IPsec(如上图所示)对数据进行加密。
VPN是能够提供当今商业发展所需网络功能的理想的途径。
它可以使公司获得使用公用通信网络基础结构所带来的便利和经济效益,同时获得使用专用的点到点连接所带来的安全。
另外,它还支持现有的PC加模拟和ISDN调制解调器的网络结构。
同时,它还可以部署在Internet上,在网络服务提供者的IP骨干网上,或在两者的组合网络上。
虚拟专用网络(VPN)已经成为整个服务提供商行业瞩目的焦点。
许多服务提供商都在计划提供可管理的VPN服务。
许多企业认识到了在办公室、合作伙伴和主要用户间建立专用连接的经济价值和竞争优势,更希望从企业外购买虚拟专用网络,这样可以节约成本并省去许多麻烦。
VPN体系结构
☐VPN体系结构分类图如下:
⏹拨号IPVPN
所有拨号IPVPN都有下列共同特点:
服务提供商提供远程拨号功能并将其作为VPN服务的一部分。
用户通过拨打连接服务器提供商POP的本地号码访问拨号端口。
隧道提供公用IP网络上的连接。
用户可以保持对最优用户认证和控制以及安全政策服务器和数据库的政策控制。
☐客户启动的拨号IPVPN
在客户启动的IP拨号VPN中,远程客户拨号进入本地POP。
客户发出请求,在其远程PC机和内部网间建立用于专用连接的加密隧道。
在这种情况下,客户使用运行Ipsec客户软件的PC来建立安全连接,这一PC机可与位于公司内部网访问点的安全设备通信。
然而,因为加密隧道对服务提供商透明,提供商不能提供增值服务,对大量移动PC机上的客户软件的管理也是一个问题。
☐NAS启动的拨号IPVPN
在NAS启动的拨号IPVPN中,服务提供商的网络访问服务器(NAS)启动公司路由器或“内部网关”相连的隧道。
Cisco解决方案,使用第2层前传(L2F)协议或第2层隧道协议(L2TP)来建立一个用户和公司内部网关间的安全隧道。
L2TP为目前基于L2F的VPN解决方案提供了简单安全的迁移路径。
对于网关,L2F或L2TP隧道以拨号用户从本地调制解调器与之相连的形式出现,这一解决方案为企业提供了简单的迁移途径。
认证分为两级。
当用户拨号进入POP,服务提供商进行基本身份认证。
这仅确定了用户的公司身份。
一旦用户被确认为有效用户,拨号IPVPN服务就开通一条连向公司内部网关的隧道。
内部网关使用标准的点到点协议认证来完成用户级认证。
有了L2F或L2TP,用户在公司网关可以由终端访问控制器访问控制系统增强版(TACACS+)或远端认证拨入用户服务(RADIUS)服务器进行认证。
如需要获得进一步的安全性,数据可在连接或应用的基础上加密。
这种可管理的拨号内部网服务的方法有许多优点:
⏹在用户PC上无需客户软件,减少了用户管理。
⏹服务提供商启动隧道,提供优先拨号IPVPN服务。
⏹NAS能同时提供Internet和VPN访问。
⏹所有送往给定目的地的流量通过来自NAS的一个隧道进行传输。
所以较大规模的部署比以前更具扩展性也更易于管理。
专用IPVPN
☐IP隧道
对于安全设备来说,Ipsec可用于建立用户隧道。
而对于路由器来说,隧道可以由Ipsec或GRE(通用路由封装)来建立。
隧道的工作就象一个“信封”,对信息包进行标识,并隐蔽了某些层次的信息,禁止系统其余部分访问。
☐虚拟电路
服务提供商能配置虚拟电路来建立IPVPN。
永久虚拟电路(PVC)在帧中继或ATM网上建立点到点连接,使用路由器来管理第3层信息。
此方案是通过PVC而不是隧道来实现专用,因此加密成了一项可选特性,它可以在整个连接上提供,也可在由应用调用的单独会话上提供。
☐VPN通晓网络
VPN通晓网络即基于MPLS的三层VPN,在传统的企业网技术中,二层VPN(如帧中继/DDN/IPTunnel)满足了VPN用户的安全性需求,因此,安全性的需要正式目前构建内部网的公司只使用租用线路或帧中继来连接各站点的原因。
但是二层VPN完全是点到点的连接,建网复杂,一旦有新的用户加入网络,无论用户方还是网络方都需要进行很大的修改,增加了许多工作量,同时网络的可扩展性也极受限制。
基于MPLS的三层VPN,提供了安全的、无连接的IP网络或虚拟专用Internet,非点到点的连接。
VPN的优势,提供如下独特的品质
⏹极大增强的可扩展性:
其它VPN体系结构在网络上重叠点到点网格。
在大型部署乃至全球部署中,它具有n平方数量级的管理复杂度。
InternetScaleVPN是无连接的,具有高度灵活性。
⏹容易提供新的服务:
InternetScaleVPN中的每一个内部网络都可以起到独立的无连接IP网络的作用,因此很容易提供新的服务。
⏹简化管理:
可以用ID和列表而不是复杂的点到点重叠映射来进行管理,简化了网络拓扑结构和成员关系的维护。
⏹建网快速方便:
用户只需将各网络节点采用专线方式本地接入公用网络,并对网络进行相关配置即可。
⏹降低建网投资:
由于VPN是利用公用网络为基础而建立的虚拟专网,因而可以避免建设传统专用网络所需的高额软硬件投资。
⏹节约使用成本:
用户采用VPN组网,可以大大节约链路租用费及网络维护费用,从而减少企业的运营成本。
⏹网络安全可靠:
实现VPN主要采用国际标准的网络安全技术,通过在公用网络上建立逻辑隧道及网络层的加密,避免网络数据被修改和盗用,保证了用户数据的安全性及完整性。
⏹简化用户对网络的维护及管理工作:
大量的网络管理及维护工作由公司网络服务提供商来完成。
多种接入技术的比较
☐ADSL专线上网与DDN专线方式的比较:
类别
带宽
IP地址
接入方式
接入介质
应用
优势
比较
ADSL
专线
512K至2M
送一个IP地址,加多一个IP收50元/月。
客户端专线带宽保障接入电线163网出口。
接入互联网共享带宽,没有带宽保障。
现有的电话双绞线
网上浏览、VPN组网
专线ADSL月租比DDN便宜,一次性设备费也较低,在总体用户不是很多的情况下带宽有一定的保障,也能组建企业虚拟专网。
ADSL是通过现有的电话线路进行数据传输,受到现有电话线路质量的影响很大,由于我国现有的电话线路质量不高,所以在进行数据传输时造成丢包率较高,严重的甚至会导致线路连接故障,对于可靠性要求很高的企业重要数据传输并不适合,而且ADSL采用的是非对称接入方式,上行最高640Kbps,下行最高8Mbps,相对DDN对称性的数据传输来说它更适合于单纯的上网浏览,而达不到视频、语音、数据传输要求,在这一方面DDN线路能够更加胜任。
而且在出口带宽方面它受到用户人数的影响很大,在较少用户的情况下可能它会有较高的出口带宽,而在用户大量增加的情况下它的带宽就会急剧减少。
在组建VPN时用户只能自己通过纯软件的方式进行数据加密来达到VPN的效果,这样做的实际效果很不理想,如果有大量的数据要进行传输或有对传输时延要求很高的语音和视频传输就会使整个传输过程非常缓慢,根本达不到企业的要求。
DDN
专线
64K~2M
根据申请数量发放4至16个,每加多一个IP收80元/月。
客户端专线接入我公司中心机房,再由我公司与电信的出口接入互联网。
重新拉一条多芯铜线到客户端。
适合上INTERNET,点对点数据传输、VPN组网等各种方式
连接稳定性很好,带宽一定有保障,对企业的重要数据和大量的文件传输来说非常适合,可以组建安全可靠的VPN网络,能够对视频和语音进行可靠的传输
☐关键:
ADSL为上下行不对称的接入方式,只适用于上网服务。
QOS无保障,且因线路质量不好,容易造成数据的丢失。
DDN则能保证带宽的稳定,延时小,质量高。
极强的QOS保障,适用于数据、语音和视频传输。
☐IPLC与VPN的比较:
连接方式
优势
劣势
IPLC
物理线路连接
专线连接,稳定性好,安全性高,时延小,差错率和丢包率都比较低,数据传输速率稳定,受外部因素影响较小,支持等时分复用设备进行带宽管理。
费用高昂,完全依靠单条物理线路来传输数据,一旦线路出现故障就会使网络完全中断,灵活性不够。
当节点增多时,改造复杂。
VPN
虚拟通道连接
通过组建,以隧道技术或MPLS技术为依托,用广域网搭建客户自己的私有网络,安全性有保障,费用低廉,可以组建各种形式的VPN以满足客户的不同需求,灵活性好,扩展能力强。
通过INTERNET传输数据,容易受到外部因素的影响导致各种故障,稳定性比IPLC低,时延会较高。
因为本身不是物理层连接,所以不支持MUX等时分复用设备。
备注:
⏹减少WAN带宽的费用,大幅降低长途通信费用;
⏹实现网络安全,具有高度的安全性
⏹能使用灵活的拓扑结构,包括全网络连接;
⏹容易扩展如果企业想扩大VPN的容量和覆盖范围。
企业需做的事情很少,而且能及时实现。
新的站点能更快、更容易地被连接;
⏹通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
⏹实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用;
⏹可随意与合作伙伴联网在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。
有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断。
⏹完全控制主动权借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN服务类型
一些解决方案无论在哪里部署VPN,都具有很大的价值。
目前已经有一些针对企业用户的解决方案。
在每一个方案中,这样的价值都体现为具体、直接和长久的经济效益。
VPN的相关技术在前面已经大量描述,这里就不再累述。
下面对VPN的应用做一介绍。
ACCESSVPN
ACCESSVPN最适用于公司内部经常有流动人员远程办公的情况。
例如,公司的外地出差员工需要从公司总部提取一定的关于客户的重要资料,一般情况就只能通过MODEM拨号方式连入公司的Intranet,利用HTTP、FTP或是其它网络服务获得资料。
这种情况下企业必须负担昂贵的长途电话费用,同时这些客户资料的安全性得不到有力的保证,容易在传输的过程被截获。
如果采用ACCESSVPN的组网模式就可以很好的解决这个问题。
出差员工利用当地ISP提供的VPN服务就可以和公司的VPN网关建立私有的隧道连接,RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时担负的电话费用大大降低。
如下图所示:
IntranetVPN
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。
显然,在分公司增多,业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。
如下图所示:
ExtranetVPN
随着信息时代的到来,各个企业越来越重视各种信息的处理。
希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。
Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理是企业发展中不可避免的一个关键问题。
利用VPN技术可以组建安全的Extranet,既可向客户、合作伙伴提供有效的信息的服务,又可以保证自身的内部网络的安全。
如下图所示:
结合防火墙的VPN解决方案
VPN与防火墙的结合使用,可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境,增加抵御“黑客”攻击、禁止非法访问的能力。
如图所示,公司内部特定的用户可以访问Internet网络,但是Internet网络内的主机不能通过防火墙访问公司的内部网络,只被允许访问位于DMZ(非军事化区)的内部服务器主机(如WWW、FTP等服务器)。
公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道以访问总部的资源。
如下图所示:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广域网 接入 技术