VPN.docx
- 文档编号:7742742
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:16
- 大小:395.56KB
VPN.docx
《VPN.docx》由会员分享,可在线阅读,更多相关《VPN.docx(16页珍藏版)》请在冰豆网上搜索。
VPN
IP—VPN
VPN的定义:
虚拟专用网络(VirtualPrivateNetwork,VPN)是网络技术迅速发展的产物,它最简单的定义就是“在公用数据网络(例如Internet或可管理数据网络)上建立属于自己的私有数据网络”。
也就是说不再使用长途专线建立私有数据网络,而是将其建立在拥有完善架构的公用数据网络上。
如果接入方式为拨号方式,则称之为VPDN。
它的基本点就是“化公为私”,使每个用户可以临时从公用网中获得一部分资源供自己专用。
既可以连到公网所能达到的任何地点,而且保密性、安全性、可管理性的问题也容易解决,还可以降低网络的使用成本。
VPN的特点
虚拟专用网(VPN)是利用公用网资源为客户构成专用网的一种业务。
我们这里所提的VPN有两层含义:
它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
它是专用网,通过对公用网络资源的合理配置和利用,构成逻辑上的专用网,具有专用网的特性,实现安全、高效、灵活、易扩展与成本控制的有机结合。
VPN兼备了公用网和专用网的许多特点,将公用网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起,是介于公用网与专用网之间的一种网。
VPN实际上就是一种服务,用户感觉好象直接和他们的私有网络相连,但实际上是通过服务商来实现连接的。
IP—VPN就是基于IP网络建立的VPN。
IP网络的简单性和应用的广泛性使之成为网络发展的趋势。
IP—VPN给企业带来的益处
利用单一网络结构将远程的分支办公室、商业伙伴、移动办公人员等连接起来;
节省设备、人员、管理所需的投资
明显地节省通信费用;
提供了安全的端到端的数据通讯;商务
可以在VPN的基础上实施很多的电子增值应用(如ERP、VoIP,视频会议等)。
IP—VPN的分类
对IP—VPN的分类,并无固定的模式,主要看是从哪个角度来看,现在就从不同的角度对IP—VPN的分类作介绍。
按IP—VPN的应用平台分类
IP—VPN的应用平台一般分为3类:
软件平台、专用硬件平台及辅助硬件平台。
(1)软件平台IP—VPN
当对数据连接速率较低要求不高,对性能和安全性需求不强时,可以利用一些软件公司所提供的完全基于软件的IP—VPN产品来实现简单的IP—VPN功能,如Microsoft、Checkpointsoftware和AventailCorp等公司的产品。
(2)专用硬件平台IP—VPN
使用专用硬件平台的IP—VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从通信性能的角度来看,指定的硬件平台可以完成数据加密及数据编码等对CPU处理能力需求很高的功能。
提供这些平台的硬件厂商比较多,如Nortel、Cisco、Intel、3Com等。
(3)辅助硬件平台IP—VPN
这类IP—VPN的平台介于软件平台和指定硬件平台的之间,辅助硬件平台的IP—VPN主要是指以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。
按IP—VPN的协议分类
IP—VPN从协议方面来分类主要是指构建IP—VPN所使用的协议。
构建IP—VPN一般使用所谓的“隧道”协议或新兴的MPLS(多协议标记交换)协议。
即可分为隧道式的IP—VPN和标记交换(MPLS)的IP—VPN。
按IP—VPN的服务类型分类
根据服务类型,IP—VPN业务大致可分为3类:
在此我们引用Cisco的定义方式,将3种用户需求定义为:
IntranetVPN、AccessVPN与ExtranetVPN。
1)IntranetVPN:
即企业的总部与分支机构间通过公网构筑的虚拟网。
2)AccessVPN:
又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。
3)ExtranetVPN:
即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。
其中通常又把IntranetVPN和ExtranetVPN统一称为专线VPN。
按IP—VPN的部署模式分类
IP—VPN也可以通过部署模式来区分,部署模式从本质上描述了IP—VPN的通道是如何建立和终止的,一般有3种IP—VPN部署模式。
1)端到端(End-to-End)模式
该模式是典型的由自建VPN的客户所采用的模式。
虽然在该模式中网络设施是被动的,但是许多融合了端到端模式解决方案其实是由服务商为它们的客户集成或捆绑实现的。
在端到端模式中,最常见的隧道协议是IPSec和PPTP。
2)供应商—企业(Provider-Enterprise)模式
隧道通常在VPN服务器或路由器中创建,在客户前端关闭。
在该模式中,客户不需要购买专门的隧道软件,由服务商的设备来建立通道并验证。
然而,客户仍然可以通过加密数据实现端到端的全面安全性。
在该模式中,最常见的隧道协议有L2TP、L2F和PPTP。
3)内部供应商(Intra-Provider)模式
这是大型服务商所采用的模式,因为在该模式中,服务商保持了对整个VPN设施的控制。
在该模式中,通道的建立和终止都是在服务商的网络设施中实现的。
对客户来说,该模式的最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由服务商维护。
例如采用MPLS模式的VPN。
IP—VPN的建立方式
IP—VPN的建立有三种方式:
一种是企业自身建设,对ISP或服务商透明;第二种是ISP或服务商建设,对企业透明;第三种是ISP和企业共同建设。
IP—VPN的基本工作原理
采用隧道技术的IP—VPN
IP—VPN是在公网中形成企业专用的链路。
为了形成这样的链路,采用了所谓的“隧道”技术,隧道是一种利用公网设施,在一个网络之上的“网络”传输数据的方法,被传输的数据可以是另一协议的帧。
隧道协议用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。
封装后的包所途经的公网的逻辑路径称为隧道。
一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。
“隧道”可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。
对于不同的信息来源,可分别给它们开出不同的隧道。
这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。
这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。
隧道技术允许授权用户在任何时间、何地点访问企业网络。
要建立隧道,隧道用户和隧道服务器都要用同一隧道协议。
隧道技术可以以二层或三层隧道协议为基础。
这些层和开放系统(OSI)互连参考模型相对应。
二层协议和数据链路层对应,并用帧作为它们交换的基础。
PPTP和L2TP以及L2F是二层隧道协议;所有PPP帧中的有效负载封装以后通过公网发送出去。
三层协议和网络层对应,并使用包作为交换的基础。
IPSec和GRE是三层隧道协议,是在附加的IP报头封装IP包,然后通过IP公网发送出去。
第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层的数据包中在隧道里传输的。
第二层隧道协议和第三层隧道协议一般来说分别使用,但合理的运用两层协议,将具有更好的安全性。
例如:
L2TP与IPSec协议的配合使用,可以用L2TPVPN、IPSecVPN,也可以利用IPSec协议的L2TPVPN。
点对点隧道协议(PPTP,Point-to-PointTunnelingProtocol)
PPTP是由PPTP论坛开发的点到点的隧道协议,1996年成为IETF草案。
PPTP为使用电话上网的用户(PSTN,ISDN)提供VPN功能。
PPTP提供PPTP客户机和PPTP服务器之间的通信隧道。
PPTP客户机是指运行了该协议的PC机;PPTP服务器是指运行该协议的服务器。
PPTP是PPP协议的一种扩展,它提供了在Internet上建立多协议的VPN的通信方式。
远端用户能够通过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP,客户可采用拨号方式接入公共IP网络。
拨号客户首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。
PPTP采用了基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全性。
对于直接连到Internet上的客户则不需要第一重的PPP拨号连接,可以直接与PPTP服务器建立虚拟通道。
PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做既增加了用户的工作量又会造成网络安全隐患。
另外PPTP只支持IP作为传输协议。
L2F协议(L2F,layertwoforwording)
L2F由Cisco公司在1998年5月提交给IETF。
L2F可以在多种介质(如ATM、帧中继、IP网)上建立多协议的安全虚拟专用网。
它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送。
因此,网络的链路层完全独立于用户的链路层协议。
L2F远端用户能够通过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器。
在这种情况下隧道的配置和建立对用户是完全透明的。
L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。
L2F服务器将包去封装后把它们接入到公司自己的网络中。
不同于PPTP和L2TP的是,L2F没有定义客户。
第二层隧道协议(L2TP,LayerTwoTunnilingProtocol)
L2TP协议是由Cisco、原Ascend、Microsoft、RedBack、3Com等厂商共同制定的,因此这些厂家VPN设备的L2TP互操作性较好。
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。
L2TP定义了利用公用网络设施(如IP网络、ATM和帧中继网络)封装传输链路层PPP帧的方法。
现在,Internet中的拨号网络只支持IP协议,必须使用注册IP地址,而L2TP可以让拨号用户支持多种协议,企业在原有非IP网络上的投资不致于浪费。
L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。
L2TP主要是由LAC(L2TPAccessConcentrator,访问集中器)和LNS(L2TPNetworkServer,网络服务器)构成,LAC支持客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道;LNS是所有隧道的终点。
在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使PPP协议的终点延伸到LNS。
因特网协议安全性(IPSec,InternetProtocolSecurity)
IPSec是一个第三层VPN协议标准,它支持信息通过IP公网的安全传输。
IPSec协议系列从1995年以来得到了一致的支持,报文安全封装(ESP)协议和报文完整性认证的协议框架已趋成熟。
密钥交换(IKE)协议也已经增加了椭圆曲线密钥交换协议。
由于IPSec必须在端系统OS内核的IP层或节点网络设备的IP层实现,所以IPSec的密钥管理协议是IPSec需要进一步完善的问题。
除了它定义的IP传输的加密机制外,IPSec还定义了IPoverIP隧道模式。
一个IPSec隧道是由隧道客户和隧道服务器组成的。
它们都使用IPSec隧道和协商加密机制。
IPSec兼容设备在OSI模型的第三层(网络层)提供加密、验证、授权、管理,对于用户来说是透明的(即在应用层不用作任何事情),用户使用时和平常无区别。
密钥交换、核对数字签名、加密等都在后台自动进行。
另外,为了组建大型VPN,需要认证中心(CA)来进行身份认证和分发用户公共密钥。
IPSec可用两种方式对数据流加密:
1)隧道方式:
对整个IP包加密,使用一个新的IPSec包打包。
这种隧道协议是在IP协议上进行的,因此不支持多协议。
2)传输方式:
原IP包的地址部分不处理,仅对数据净荷(datapayload)进行加密。
IPSec支持的组网方式包括:
主机之间、主机与网关、网关之间的组网。
这里网关指执行IPSec的路由器或防火墙。
IPSec还对远程访问用户支持。
同时还有一整套保证用户数据安全的措施,利用它建立起来的隧道具有更好的安全性和可靠性。
IPSec可以和L2TP、GRE等隧道协议一同使用,给用户提供更大的灵活性和可靠性。
通用路由封装(GRE,GenericRoutingEncapsulation)
GRE是由NetSmiths和Cisco等公司1994年10月提交IETF的。
GRE规定了怎样用一种网络层协议去封装另一种网络层协议的方法。
GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP、OSPF、IGRP、ELGRP)。
通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。
所以在实际环境中它常和IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。
采用MPLS技术的IP—VPN
MPLS的基本工作原理
MPLS即多协议标记交换技术,一种用于网络层信息包转发的新方法,是基于标记的IP路由选择方法。
这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式的其它各类信息。
一般路由协议在一个指定源和目的地之间选择最短路径,不论该路径是否超载。
利用显式路由选择,服务提供商可以选择特殊流量所经过的路径,使流量能够选择一条低延迟的路径。
MPLS是集成式的IPOverATM技术,即在FrameRelay及ATMSwitch上结合路由功能,数据包通过虚拟电路来传送,只须在OSI第二层(数据链结层)执行硬件式交换(取代第三层(网络层)软件式routing),它整合了IP选径与第二层标记交换为单一的系统,因此可以解决Internet路由的问题,使数据包传送的延迟时间减短,增加网络传输的速度,更适合多媒体讯息的传送。
因此,MPLS最大技术特色为可以指定数据包传送的先后顺序。
MPLS使用标记交换(LabelSwitching),网络路由器只需要判别标记后即可进行转送处理。
MPLS的运作原理是提供每个IP数据包一个标记,并由此决定数据包的路径以及优先级。
与MPLS兼容的路由器(Router),在将数据包转送到其路径前,仅读取数据包标记,无须读取每个数据包的IP地址以及标头(因此网络速度便会加快),然后将所传送的数据包置于FrameRelay或ATM的虚拟电路上,并迅速将数据包传送至终点的路由器,进而减少数据包的延迟,同时由FrameRelay及ATM交换器所提供的QoS(QualityofService)对所传送的数据包加以分级,因而大幅提升网络服务品质、提供更多样化的服务。
(如右图)
标记交换可以将网络层路由的灵活性及丰富功能与标签交换转发模式的简易性紧密融合在一起。
对于MPLS可扩展性非常关键的一点是标记只在通信的两个设备之间有意义。
MPLS与ATM的结合
标记交换并不依赖于ATM,但它能直接应用于ATM交换机。
由于标记交换转发模式是基于标签交换的,而ATM转发也是基于标签交换的,只要在ATM交换机上实施网络层路由协议与标记交换控制部件以及支持某些网络层转发。
标记交换技术就可以方便地应用于ATM交换机中。
MPLS能够让ATM交换机执行IP路由器的几乎所有的功能。
在一个ATM交换机上实施标记交换将简化ATM交换机与路由器的集成——一个能够完成标记交换的ATM交换机,对于一个邻接的路由器来说,将作为一个路由器出现。
这样就可提供一个可变的、更具伸缩能力的候选方案。
MPLS协议实现将第三级的包交换转换成第二级的交换。
MPLS可以使用各种第二层的协议,MPLS工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE802.3局域网上使用的标记实现了标准化。
MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术带来了IP的任意连通性,而ATM具有很强的流量管理功能,能提供QoS方面的服务,ATM和MPLS技术的结合能充分发挥在流量管理和QoS方面的作用。
MPLS的CoS
MPLS数据包的服务质量类型可由MPLS边缘路由器根据IP包的各种参数来决定,如IP的源地址、目的地址、端口号、TOS值等参数。
如对于到达同一目的地的IP包,可根据其TOS值的要求来建立不同的转发路径,以达到其对传输质量的要求。
同时,通过对特殊路由的管理,还能有效的解决网络中的负载均衡和拥塞问题。
如当网络中出现拥塞时,MPLS可实时的建立新的转发路由来分担其流量,以缓解网络拥塞。
MPLSIP—VPN的优势
MPLS具有很大潜在好处的一项应用就是对IP—VPN服务的支持。
使用MPLS的IP—VPN可以提供许多有利条件,MPLS将会带来更多的带宽控制、吞吐量保证和虚拟专用网功能性。
MPLS将帮助运营商提供更好的IP服务。
在MPLS的网络内,甚至象IP语音这样的包语音服务也会得到改进,因为等待时间缩短了,拥塞控制加强了。
总而言之,所有这一切的结果都是为了让用户从服务提供商享受到更好的服务。
下图是MPLSIP-VPN的结构示意
MPLSIP—VPN的易扩充性
MPLSIP—VPN模式随着站点和客户的不断增加可以达到很高的可伸缩性。
它也支持一个VPN内的站点中任意两点之间的通信模式,而DDN和PVC模式,则需安装一个完整的点对点或PVC网格或者在服务提供商网络上将流量往回传输。
对于采用“隧道”方式的IP—VPN,同样需要建立任何两点间的“隧道”网格。
从客户的角度而言,MPLSIP—VPN模式的一个重要有利条件是,在很多情况下,相对于其他模式,路由选择可以得到大大简化。
MPLSIP—VPN客户不是通过一个技术复杂的路由选择配置实现,而是可以使用服务提供商网络作为通往该公司的所有站点的默认路线。
用户简易性
对MPLSIP—VPN用户来说,无论是网络的构建还是网络的维护、扩展,完全是在服务商的网络侧完成,对用户完全透明,有效地减少了用户的维护工作量。
用户接入MPLSIP—VPN十分简单,没有任何特殊要求。
用户侧的接口类型、接入速率与现有的专线接入一致,用户不需要额外准备特殊接口。
用户与网络间可以运行任何路由协议。
用户侧可以采用任何档次/型号、任何厂商的路由器或具备基本路由能力的交换机。
用户现有网络的地址、AS分配方案不需任何改变,网络将会自动保证不同用户地址、AS号码的唯一性。
质量保证(QOS)
VPN服务提供商常常需要向客户提供一系列服务质量(QoS)。
MPLSVPN利用新的差分服务技术来支持QoS。
这些技术根据各种策略如源站点、应用类型等,允许客户流量在进入提供商网络时被分类。
在这个网络内,流量类型由标题位或者由不同的标记来识别,路由器利用它们来确定排队待遇,并因此确定时延和损失之类的QoS参数。
初始分类由网络层或更高层头中携带的信息来完成,在信息包第一次被分类后,标记交换机就会提供一个属于特定类的简单标记包的方法。
对应于这个结果类型的一个标记将被应用于这个信息包。
然后,被标记的信息包就可以被沿途的标记交换路由器高效地处理,而无需再次被分类,而且标记交换允许使用简单的逻辑来发现、识别信息包被如何调度的状态,实时地按照流量类型安排转发路径,保证传输质量。
MPLSIP—VPN的安全性
客户可以选择自己的定址计划,数据只会被发送到该客户的VPN内的站点上。
MPLSIP—VPN的安全性不是通过加密技术达到的,而是通过对不同用户间、用户与公网间的路由信息进行隔离实现的。
路由隔离技术有效地解决了加密技术无法完成高速用户流量处理的问题,并有效地降低了加密导致的时延,使MPLSIP—VPN与ATM、FR技术具有相当的安全性。
正因如此,数据包加密常常不是必需的,这点不同于许多隧道方式。
当然,由于MPLS实现对用户透明,所以用户仍可以采用网络原有的保护措施,如防火墙、数据安全加密等,进一步提高安全性。
对于每一个MPLSIP—VPN客户,服务提供商的网络似乎提供了一个虚拟专用骨干网,客户可以通过它与机构内的其它站点取得联系,而不能与任何其它客户的站点取得联系。
业务融合性
MPLSIP—VPN提供了数据、语音及视频等多种业务相融合的能力。
为用户节省费用
线路费:
节约租用长途线路费用;
设备费:
用户只须配备CPE设备,不需要专用接入设备;
通信费:
用户通过配制提供语音服务的相关设备,节约日常电话费用;
管理费:
用户端的维护非常简单,不必进行专门的管理维护
总结
MPLSIP—VPN是一项能够为服务提供商实现许多新的服务的通用技术。
它带来了一种利用QoS来提供虚拟专网服务的灵活方法,这样为服务提供商提供了良好的可伸缩性,允许使用各种QoS,并减少了VPN客户的管理负担。
MPLS的流量工程特征作为一种管理路由网络的流量和链路利用率的方式是很有用的。
最后,作为一种集成ATM和IP技术的方法,它对希望使用ATM骨干网来建立一个多服务网络的提供商来说是有利的。
几种构建企业Intranet方案的比较
采用专线构建的WAN
企业可以通过租用专线将分布在不同地理区域的分支机构互联起来,也就是我们一般所说的WAN(广域网)方式。
我们看一下以前最常见的DDN组网方式和FR组网方式:
DDN组网方式
◆星型结构
这种方式是通过租用专线将不同地域的分支机构集中汇接到总部,各分支结构可与总部通讯,分支机构间的通讯则通过总部跳转。
◆环型结构
这种结构是在各节点间组建一个环型网,每点均有2条路由与2个其他节点相连,没有中心点,一个节点如果需要和没有与其直接互联的节点通信,则通过其他节点转发。
优点
●安全性高——因为不是在公用IP网络上运行,加密成为可选。
●有很高的QoS
缺点
●线路月租费用高——因为要租用点对点的专线,每月线路使用成本高。
●维护成本高——需要配备IT专业人员管理和配置WAN。
●网络扩展性差——新增节点时,需要增加新增点到其他所有要互联点之间的多条物理线路,并可能要对已有节点的设备升级,以满足端口增加的需要,还要进行一系列复杂配置,以实现新增点与原有点的互联。
●设备投入高——星型的中心节点必须要求支持n个节点n条链路的物理连接,因而中心节点设备投入高;而环型系统任何一个节点的路由设备至少需要2个WAN口,节点多时费用成倍增加。
●系统可靠性隐忧——对于星型网络,如果中心点出现故障,则整个网络瘫痪;
●系统效率低——对于星型结构,中心节点是通信的瓶颈,而环型结构中,非相邻的节点间的通信至少需要经过一个中间节点转发。
FR组网方式
这里,我们之所以将FR归类为VPN的一种,是从广义的角度上理解的。
FR(帧中继、ATM)实质上是将一个很大的带宽资源拆分成若干个虚
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN
![提示](https://static.bdocx.com/images/bang_tan.gif)