打印本文 
關閉窗口 當一種資源開始稀缺時,人們總會創造更多的資源或者尋找更好的替代資源,當資源開始豐富的時候,人們又會開始浪費資源,最終導致資源再次稀缺。網絡帶寬就是這樣,帶寬和應用需求在不斷賽跑,盡管帶寬越來越寬,但是人們總是有越來越多的帶寬需求。所以解決帶寬稀缺的方法不僅包括尋找更高的帶寬,同時也需要充分地利用現有帶寬。
構建VPN網絡的基礎網絡平臺可以是IP網絡,也可以是ATM網絡或者FR網絡等。基于ATM/FR等網絡構建的虛擬專用網絡都屬于傳統數據專網的范疇,本文重點討論基于IP網絡構建虛擬專用網絡的若干種技術。
根據構建VPN的基礎網絡平臺的層次不同,可以將VPN劃分為二層VPN,比如利用VLAN在以太網絡上實現多個虛擬網絡;三層VPN,比如利用IPSec 實現VPN等;四層VPN,比如利用SSL技術構建VPN。至于在國內應用較多的基于TDM技術實現數據網絡,比如DDN等,則一般將其稱為數據專網,而不再將其納入VPN的概念,盡管數據專網也是在電信運營商提供的統一的數據網絡平臺上利用時分復用等技術構建的虛擬的用戶專用網絡。
鏈路加密機實現VPN
鏈路加密機指的是針對具體的鏈路層協議提供數據加密功能的設備,比如ATM加密機、幀中繼加密機、DDN加密機等。加密機的特點是必須在鏈路兩端配對使用,比如一個企業租用一條64K的鏈路,那么必須在鏈路兩端分別部署加密機。利用鏈路加密機可以實現鏈路兩端的網絡之間通信的保密性,但是其組網方式也因此受到限制,不能實現任意兩點之間靈活的加密保護。
隨著Internet和寬帶網絡的發展,鏈路加密機已經不適合在Internet和寬帶網絡環境下應用了,因為企業利用Internet構建Intranet時,企業兩個分支機構之間網絡連接可能會跨越很多種鏈路,比如一方接入利用ADSL,然后通過運營商的骨干ATM網絡達到另外一段城域網,在這樣的網絡環境下利用鏈路加密機實現端到端的網絡保護是不可能的。
基于IPSec 的VPN
基于IPSec的VPN主要目的是解決網絡通信的安全性和利用開放的Internet實現異地的局域網絡之間的虛擬連接,IPSec VPN既可以在IPv4網絡也可以在IPv6網絡中部署。圖1是典型的基于IPSec的VPN組網模式,其中體現了移動用戶接入VPN(Access VPN)、企業分支機構同總部之間構建的Intranet VPN,以及企業同合作伙伴之間構建的Extranet VPN。
基于IPSec的VPN不依賴于網絡接入方式,它可以在任意基礎網絡上部署,而且可以實現端到端的安全保護,即兩個異地局域網絡的出口上只要部署了基于IPSec 的網關設備,那么不管采用何種廣域網絡都能夠保證兩個局域網絡安全地互聯在一起。
基于SSL的VPN
SSL (Secure Socket Layer,安全套接字層)是Netscape公司開發的協議軟件,目的是保護HTTP協議,但是這個協議本身可以保護任何一種基于TCP協議的應用。
基于SSL也可以構建VPN,因為SSL在Socket層上實施安全措施,因此它可以針對具體的應用實施安全保護,目前應用最多的就是利用SSL實現對Web應用的保護。
在應用服務器前面需要部署一臺SSL服務器,它負責接入各個分布的SSL客戶端。這種應用模式也是SSL主要的應用模式,類似于IPSec VPN中的Access VPN模式,如果企業分布的網絡環境下只有這種基于C/S或B/S架構的應用,不要求各分支機構之間的計算機能夠相互訪問,則可以選擇利用SSL構建簡單的VPN。具備這種應用模式的企業有:證券公司為股民提供的網上炒股,金融系統的網上銀行,中小企業的ERP等。
基于SSL的VPN部署起來非常簡單,只需要一臺服務器和若干客戶端軟件。
構建VPN網絡的基礎網絡平臺可以是IP網絡,也可以是ATM網絡或者FR網絡等。基于ATM/FR等網絡構建的虛擬專用網絡都屬于傳統數據專網的范疇,本文重點討論基于IP網絡構建虛擬專用網絡的若干種技術。
根據構建VPN的基礎網絡平臺的層次不同,可以將VPN劃分為二層VPN,比如利用VLAN在以太網絡上實現多個虛擬網絡;三層VPN,比如利用IPSec 實現VPN等;四層VPN,比如利用SSL技術構建VPN。至于在國內應用較多的基于TDM技術實現數據網絡,比如DDN等,則一般將其稱為數據專網,而不再將其納入VPN的概念,盡管數據專網也是在電信運營商提供的統一的數據網絡平臺上利用時分復用等技術構建的虛擬的用戶專用網絡。
鏈路加密機實現VPN
鏈路加密機指的是針對具體的鏈路層協議提供數據加密功能的設備,比如ATM加密機、幀中繼加密機、DDN加密機等。加密機的特點是必須在鏈路兩端配對使用,比如一個企業租用一條64K的鏈路,那么必須在鏈路兩端分別部署加密機。利用鏈路加密機可以實現鏈路兩端的網絡之間通信的保密性,但是其組網方式也因此受到限制,不能實現任意兩點之間靈活的加密保護。
隨著Internet和寬帶網絡的發展,鏈路加密機已經不適合在Internet和寬帶網絡環境下應用了,因為企業利用Internet構建Intranet時,企業兩個分支機構之間網絡連接可能會跨越很多種鏈路,比如一方接入利用ADSL,然后通過運營商的骨干ATM網絡達到另外一段城域網,在這樣的網絡環境下利用鏈路加密機實現端到端的網絡保護是不可能的。
基于IPSec 的VPN
基于IPSec的VPN主要目的是解決網絡通信的安全性和利用開放的Internet實現異地的局域網絡之間的虛擬連接,IPSec VPN既可以在IPv4網絡也可以在IPv6網絡中部署。圖1是典型的基于IPSec的VPN組網模式,其中體現了移動用戶接入VPN(Access VPN)、企業分支機構同總部之間構建的Intranet VPN,以及企業同合作伙伴之間構建的Extranet VPN。
基于IPSec的VPN不依賴于網絡接入方式,它可以在任意基礎網絡上部署,而且可以實現端到端的安全保護,即兩個異地局域網絡的出口上只要部署了基于IPSec 的網關設備,那么不管采用何種廣域網絡都能夠保證兩個局域網絡安全地互聯在一起。
基于SSL的VPN
SSL (Secure Socket Layer,安全套接字層)是Netscape公司開發的協議軟件,目的是保護HTTP協議,但是這個協議本身可以保護任何一種基于TCP協議的應用。
基于SSL也可以構建VPN,因為SSL在Socket層上實施安全措施,因此它可以針對具體的應用實施安全保護,目前應用最多的就是利用SSL實現對Web應用的保護。
在應用服務器前面需要部署一臺SSL服務器,它負責接入各個分布的SSL客戶端。這種應用模式也是SSL主要的應用模式,類似于IPSec VPN中的Access VPN模式,如果企業分布的網絡環境下只有這種基于C/S或B/S架構的應用,不要求各分支機構之間的計算機能夠相互訪問,則可以選擇利用SSL構建簡單的VPN。具備這種應用模式的企業有:證券公司為股民提供的網上炒股,金融系統的網上銀行,中小企業的ERP等。
基于SSL的VPN部署起來非常簡單,只需要一臺服務器和若干客戶端軟件。
基于MPLS的VPN
MPLS(Multi Protocol Label Switch,多協議標簽交換)協議設計的目的是希望利用三層以太網交換機一次路由多次轉發的思想,用來提高路由器的轉發性能,其基本的原理則是在報文中增加一個TAG字段,在數據報文經過的路徑上的設備根據該標簽決定下一步的轉發方向。這是完全不同于傳統路由器通過查路由表確定數據報文下一步轉發方向的方法,路徑上的路由轉發設備需要運行LDP標簽分發協議,來相互通知對不同TAG的處理辦法。利用MPLS協議,可以在純粹的IP網絡上實現虛擬專用網絡,但是此虛擬專用網絡不能保證用戶數據的安全性。
利用MPLS構建的VPN網絡需要全網的設備都支持MPLS協議,而IPSec VPN則僅僅需要部署在網絡邊緣上的設備具備IPSec協議的支持即可,從這一點上來看,IPSec VPN非常適合企業用戶在公共IP網絡上構建自己的虛擬專用網絡,而MPLS則只能由運營商進行統一部署。這種建立VPN的方式有一點利用IP網絡模擬傳統的DDN/FR等專線網絡的味道,因為在用戶使用MPLS VPN之前,需要網絡運營者根據用戶的需求在全局的MPLS網絡中為用戶設定通道。MPLS VPN隧道劃分的原理是網絡中MPLS路由器利用數據包自身攜帶的通道信息來對數據進行轉發,而不再向傳統的路由器那樣要根據IP包的地址信息來匹配路由表查找轉發路徑。這種做法可以減少路由器尋址的時間,而且能夠實現資源預留保證制定VPN通道的服務質量。
MPLS本身不能提供對數據的安全性,MPLS協議封裝的數據沒有經過任何的加密處理,僅僅是在報文中增加一個TAG標識,這個標識被路由設備用來進行數據鏈路的識別和對數據的快速轉發使用。
MPLS更適合運營商部署,而不適合企業用戶自己建設,運營商部署了MPLS網絡之后,可以向企業用戶提供具有服務質量保證的網絡傳輸服務。但是如果用戶希望保障自己的數據在網絡傳輸中的安全性還是需要借助IPSec VPN或者SSL VPN來實現。
基于L2TP的VPN
L2TP協議由 IETF 起草,微軟、 Ascend 、Cisco、 3Com 等公司參與。該協議結合了眾多公司支持的PPTP(Point to Point Tunneling Protocol,點對點隧道協議),和 Cisco、北方電信等公司支持的 L2F(Layer 2 Forwarding,二層轉發協議)。 L2TP(Layer 2 Tunneling Protocol,二層隧道協議)結合了上述兩個協議的優點,將很快地成為 IETF 有關二層隧道協議的工業標準。 L2TP 作為更優更新的標準,已經得到了諸多廠商的支持,將是使用最廣泛的 VPN 協議。
利用L2TP來構建企業的VPN,一樣需要運營商支持,因為LAC一般是在傳統電話交換網絡中部署的,并且一個公司的分支機構以及移動辦公的員工在地域上分布很廣,所以需要各地的運營商都具備LAC才能夠實現企業大范圍構建VPN網絡。當然企業也可以構建自己的基于L2TP的VPN網絡。
在L2TP VPN中,用戶端的感覺就像是利用PPP協議直接接到了企業總部的PPP端接設備上一樣,其地址分配可以由企業通過DHCP來分配,認證方式可以沿用PPP一直沿用的各種認證方式,并且L2TP是IETF定義的,其MIB庫也將定義出來從而可以實現全局的網絡管理。
MPLS(Multi Protocol Label Switch,多協議標簽交換)協議設計的目的是希望利用三層以太網交換機一次路由多次轉發的思想,用來提高路由器的轉發性能,其基本的原理則是在報文中增加一個TAG字段,在數據報文經過的路徑上的設備根據該標簽決定下一步的轉發方向。這是完全不同于傳統路由器通過查路由表確定數據報文下一步轉發方向的方法,路徑上的路由轉發設備需要運行LDP標簽分發協議,來相互通知對不同TAG的處理辦法。利用MPLS協議,可以在純粹的IP網絡上實現虛擬專用網絡,但是此虛擬專用網絡不能保證用戶數據的安全性。
利用MPLS構建的VPN網絡需要全網的設備都支持MPLS協議,而IPSec VPN則僅僅需要部署在網絡邊緣上的設備具備IPSec協議的支持即可,從這一點上來看,IPSec VPN非常適合企業用戶在公共IP網絡上構建自己的虛擬專用網絡,而MPLS則只能由運營商進行統一部署。這種建立VPN的方式有一點利用IP網絡模擬傳統的DDN/FR等專線網絡的味道,因為在用戶使用MPLS VPN之前,需要網絡運營者根據用戶的需求在全局的MPLS網絡中為用戶設定通道。MPLS VPN隧道劃分的原理是網絡中MPLS路由器利用數據包自身攜帶的通道信息來對數據進行轉發,而不再向傳統的路由器那樣要根據IP包的地址信息來匹配路由表查找轉發路徑。這種做法可以減少路由器尋址的時間,而且能夠實現資源預留保證制定VPN通道的服務質量。
MPLS本身不能提供對數據的安全性,MPLS協議封裝的數據沒有經過任何的加密處理,僅僅是在報文中增加一個TAG標識,這個標識被路由設備用來進行數據鏈路的識別和對數據的快速轉發使用。
MPLS更適合運營商部署,而不適合企業用戶自己建設,運營商部署了MPLS網絡之后,可以向企業用戶提供具有服務質量保證的網絡傳輸服務。但是如果用戶希望保障自己的數據在網絡傳輸中的安全性還是需要借助IPSec VPN或者SSL VPN來實現。
基于L2TP的VPN
L2TP協議由 IETF 起草,微軟、 Ascend 、Cisco、 3Com 等公司參與。該協議結合了眾多公司支持的PPTP(Point to Point Tunneling Protocol,點對點隧道協議),和 Cisco、北方電信等公司支持的 L2F(Layer 2 Forwarding,二層轉發協議)。 L2TP(Layer 2 Tunneling Protocol,二層隧道協議)結合了上述兩個協議的優點,將很快地成為 IETF 有關二層隧道協議的工業標準。 L2TP 作為更優更新的標準,已經得到了諸多廠商的支持,將是使用最廣泛的 VPN 協議。
利用L2TP來構建企業的VPN,一樣需要運營商支持,因為LAC一般是在傳統電話交換網絡中部署的,并且一個公司的分支機構以及移動辦公的員工在地域上分布很廣,所以需要各地的運營商都具備LAC才能夠實現企業大范圍構建VPN網絡。當然企業也可以構建自己的基于L2TP的VPN網絡。
在L2TP VPN中,用戶端的感覺就像是利用PPP協議直接接到了企業總部的PPP端接設備上一樣,其地址分配可以由企業通過DHCP來分配,認證方式可以沿用PPP一直沿用的各種認證方式,并且L2TP是IETF定義的,其MIB庫也將定義出來從而可以實現全局的網絡管理。
打印本文 關閉窗口