商业虚拟专用网络技术一
一、虚拟专用网络概念
1、虚拟专用网络的概念
1.1、虚拟专用网络产生的背景
企业对网络的需求越来越大,传统路由交换和广域网存在成本、安全性、灵活性的问题。
原来通过专线、分组交换(帧中继,ATM)的广域网技术,成本高,并且无法满与远程用户、公司分支机构、商业合作伙伴、关联的供应商和公司内部网络、灵活办公的安全性要求。
使用Intrernet与公司内部网、分支机构网络连接体现出的缺点有以下几条:
- 网络层协议必须统一,不支持多协议。
比如企业分支之间IPX(互联网分组交换协议)无法跨越Intrernet通信 - 必须使用统一的路由策略
企业内网信息泄露。使用公用网络传输企业信息,无法保证未被第三方获取,并无法保证不受来自公网的攻击。 - 使用统一的公网地址空间
虚拟专用网络VPN正好利用Internet公网资源作为企业专网的延续,使用一个私有通道在公众网络上建立一条端到端的链路,比原来的专用网络成本低,并安全稳定的连接。
虚拟专用网络VPN优点:
- 成本低
比起专线费用要低得多。 - 灵活性
需要与合作伙伴、商业团体建立通信时,双方之间使用VPN,配置好安全连接的信息就可以使用,当合作伙伴与企业之间不再联系时,停止使用即可。家庭远程办公,也一样配置好连接信息就可以与企业直接联网。 - 安全性
企业可以利用公网或在局域网内部自己组建管理VPN。
由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
还能在企业内部的用户与网关之间、移动办公用户和网关之间、用户
与用户之间建立安全通道,建立全方位的安全保护,保证网络的安全。
举例:
你的单位人员经常要去杭州、成都。通常情况下,工作人员需要使用公共交通工具,中途需要乘坐高铁。公共线路去出行,这样的问题一是公共交通速度,须要按照公共线路出行,经过许多不必要的路线,还有就是工作人员的隐私都在路途中让高铁方和乘客知道。
为了快捷,我们直接在出发点和目的地建立一个专门的线路,买一架飞机通过乘坐飞机来目的地,这就是专线。但价格昂贵,你的单位承受不起。
还有一种方式就是找到交通运营商商量,长期包一架双向来回的飞机,通过他们的直达专线,到达目的地。这样解决了速度和安全性问题。
1.2、什么是虚拟专用网络呢?
VPN (Virtual private network,虚拟专用网络),是指依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。
功能:在公用网络上建立专用网络,进行加密通讯。
VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问,其属于远程访问技术,简单地说就是利用公用网络架设专用网络。
VPN的原理: 利用隧道技术,把VPN报文封装在隧道中,利用VPN骨干网建立专用数据传输通道,实现报文的透明传输。 隧道技术使用一种协议封装另外一种协议报文,而封装协议本身也可以被其他封装协议所封装或承载。
其本质是共享公共网络设施对广域网设施进行仿真而构建的私有专用网络。
核心技术:通过隧道,私有数据跨越公共网络安全传输。
A企业和B企业的内网都使用的是私有IP地址,进而无法直接通信。
VPN技术通过建立一条VPN隧道,将A企业使用公网IP地址的+私有的IP地址使用隧道传输来B企业。部署VPN,一般来讲是需要公司总部和分部的出口路由器上,分别有一个固定的公网IP地址,并且这个IP可以被访问。
1.3、虚拟专用网络术语
网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。
GRE(Generic Routing Encapsulation)是通用路由封装协议,可以对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在IPv4网络中传输。
封装与隧道:封装是指将一种协议承载在另一种协议中进行传输的技术,如PPTP就是将PPP报文封装在GRE协议中。协议B为被承载协议(Payload Protocol),GRE为封装协议(Encapsulation Protocol),协议A称为承载协议(Delivery Protocol)。
协议B的数据包就称为载荷包,协议A承载包。
协议B为A企业1和B企业的内网,也称为私网(Private Network);承载协议的A网络是网络运营商公网(Public Network)。
隧道协议(Tunnel Protocol)是指如何实现隧道的协议。
隧道技术是使用一种协议封装另外一种协议报文,被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。隧道技术是指包括数据封装,传输和解包在内的全过程。VPN使用的隧道协议主要有三种:点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec。
用户验证:VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。
数据加密:对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
RADIUS
远程验证用户拨入服务(RADIUS)协议是管理远程用户验证和授权的常用方法。远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。
IPSEC:IPSEC使用验证包头(AH(提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSEC协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。
VPN常用协议:IPSec协议(具有认证和加密功能,可与其他隧道协议使用,安全性高);GRE协议(可建立多点隧道,一般和IPSec一起使用来提高安全性);SSL VPN(使用起来比较简单安全。)
NAS(Network Access Server,网络接入服务器),是远程访问接入设备。位于公用电话网(PSTN/ISDN)与IP网之间,将拨号用户接入IP网;可以完成远程接入、实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用。
BAS(Broadband Access Server/ Broadband Remote Access Server, 宽带接入服务器)是一种设置在网络汇聚层的用户接入服务设备,可以智能化地实现用户的汇聚、认证、计费等服务,还可以根据用户的需要,方便地提供多种IP增值业务。
BAS面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的IP/ATM网的数据接入(目前接入手段主要基于xDSL/Cable Modem/高速以太网技术(LAN)/无线宽带数据接入(WLAN)等),实现商业楼宇及小区住户的宽带上网、基于IPSec(IP Security Protocol)的IP VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
BAS主要完成两方面功能:
- 一是网络承载功能:负责处理用户的PPPoE(Point-to-Point Potocol Over Ethernet), 连接、汇聚用户的流量功能;
- 二是控制实现功能:与认证系统、计费系统和客户管理系统及服务策略控制系统相配合,实现用户接入的认证、计费和管理功能。
VPN技术中,把整个网络中的路由器分为三类:
- 用户边缘路由器CE(Customer Edge)连接一个或多个PE路由器,为用户提供服务接入。
- 运营商边缘路由器PE(ProviderEdge),标签边缘路由器(LER)。
- 运营商骨干路由器SP(Provider),标签交换路由器(LSR),不连接任何CE路由器。
一般的ip网络中,根据其拓扑结构,可以把路由器分为: - 接入路由器AR
- 边缘路由器BR
- 核心路由器CR
1.4、虚拟专用网络分类
1、按虚拟专用网络的协议分类:
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
2、按虚拟专用网络的应用分类:
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
3、按照运营模式划分,可分为CPE-Based VPN(用户控制)、Network-Based VPN(ISP运营商控制)
4、按照运营模式划组网模型划分:VPDN、VPRN、VLL、VPLS。
- VPDN(虚拟专用拨号网)用公共网络的拨号功能及接入网,给企业、小型ISP和移动办公人员给出接入服务。
- VPRN是借助网络管理虚拟路由器互连,实现方式:BGP/MPLS VPN和虚拟路由器VPN。
- VLL(Virtual Leased Lines)虚拟租用线路,作为一种点到点虚拟专线,为客户提供L2VPN服务。
- VPLS即虚拟专用局域网业务,也称为透明局域网服务。它是局域网间借助虚拟专用网段互连,是在IP公共网络上的延伸。
5、按照网络层次划分:Layer 1 VPN、Layer 2 VPN、Layer 3 VPN、传输层VPN、应用层VPN。
现有的中国电信的CN2 中国网通的宽带网都采用了MPLS(Multi-Protocol Label Switching)多协议标签交换VPN的技术。
1.4.1、业务用途分类
1、远程访问虚拟网(Access VPN)
通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN使用PSTN/ISDN拨号、数字用户线路 xDSL、移动IP和Cable电缆技术等方式连接位于本地的POP(Point Of Presence,存在点),再由ISO设备通过PPTP、L2TP等VPN技术跨越Internet建立隧道,安全地连接移动用户、远程工作者或分支机构内网。
为了安全性是常常使用RADIUS等协议,来对远程用户进行验证和授权,也使用一定的加密技术,防止数据在公共网络上被窃取。
Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
Access VPN的优点如下:
- 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。
- 实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。
- 极大的可扩展性,简便地对加入网络的新用户进行调度。
- 远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务。
- 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。
2、企业内部虚拟网(Intranet VPN)
Intranet 内部网
通过使用Intranet VPN,企业可以跨越公共网络,实现全球范围的内部网,连接各处的分支及供应商和销售商。Intranet VPN的费用比起企业各处分支租用专线便宜得多。
Intranet VPN主要用于站点之间的互联,因此又称为Site-to-Site VPN(站点到站点VPN)。
组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量 (QoS)、可管理性和可靠性。
Intranet VPN的优点如下:
- 减少WAN带宽的费用。
- 能使用灵活的拓扑结构,包括全网连接。
- 新的站点能更快、更容易地被连接。
- 通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
3、企业扩展虚拟网(Extranet VPN)
企业之间进行信息交换,方便共享资源。主要是用于企业与客户、上游供应商、合作伙伴及相关的组织之间的信息互联。
利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
Extranet VPN的灵活性体现在随着业务和相关组织的变化,随时可以进行扩充、修改或重新部署。
1.4.2、运营模式分类
根据是由企业客户还是由服务提供商实施VPN分为两类:
1、CPE-based VPN
基于客户端设备的VPN的特点是:业务扩展能力弱,设备价格昂贵,组网复杂度高。
2、Network-based VPN
基于网络的VPN 的特点是:便于管理和维护,降低用户投资业务扩展能力强,支持网络管理运营商与用户实现双赢。
对于那些需要对数据、语音和视频进行优先级分类,以获得更可靠的高性能数据传输的企业来说,CoS (Class of Service)是一种能够提高网络和商业效率的技术。
SLA(Service Level Agreement)即服务水平协议,指IT服务提供商和客户之间就服务提供中关键的服务目标及双方的责任等有关细节问题而签订的协议。
Cos和Qos有什么区别:
CoS与QoS不同:QoS根据带宽或者传输时间(如带宽优先级或流量整形)来划分服务等级,而CoS则是利用流量的传输优先级。支持IP的帧中继和ATM网络可以使用户充分地利用QoS和CoS技术所带来的好处。
通过CoS,用户可以实现穿过整个网络的端到端的优先级分配和传输。对于专用网络来说,由于服务提供商拥有整个网络,因此可以保证整个网络的优先级实施。
1.4.3、组网模型分类
IP VPN-Framework-RFC2764定义了如下虚拟专用网络类型:
- VPDN (Virtual Private Dial Networks,虚拟拨号专网)
- VPRN (Virtual Private Routed Networks,虚拟专用路由网络)
- VPLS (Virtual Private LAN Segment,虚拟专用LAN网段)
- VLL (Virtual Leased Lines,虚拟租用线)
1、VLL (Virtual Leased Lines,虚拟租用线)
VLL是VPN中最简单的网络类型可以说它是VPN中的一个特例:
VLL是服务提供商在IP网上为用户提供的点到点的链路业务,例如,提供ATM VCC或帧中继电路等租用电路业务。发展VLL的主要原因是由于VPN服务提供商的基础网络是IP网,但有些用户需要一条或多条ATM VCC或帧中继电路的专线,由此诞生了VLL业务。
VLL的工作原理:
用户的CE设备通过本地专线接入网络边缘设备PE, 在PE之间建立专用隧道,PE实施IP与ATM或帧中继协议转换,使PE的CE侧提供ATM或帧中继接口,从而建立两个CE之间的ATM VCC或帧中继电路通路供用户使用。
2、VPRN (Virtual Private Routed Networks,虚拟专用路由网络)
用IP设施仿真出一个专用多站点广域路由网。它是在IP公用网络(如Internet)基础上实施的像VPN结构一样VPRN,也可以分为:
- 基于网络的VPRN
- 基于CE的VPRN。
VPRN应用的主要特性:
(1)、支持非惟一的专用IP地址
与其他形状的VPN一样,VPRN内的IP地址可与公用IP网的IP地址无关,可以使用VPRN内部专用的IP地址。这些地址可以不是惟一的,可与其他VPN或其他专用系统的IP地址重叠。
(2)、VPRN主要支持TCP/IP协议
- VPRN是在IP网基础上建立起来的,主要为支持传送IP包而设计,数据包在网络层实现转发。
- VPRN虽然也可以支持其他协议的数据包,但由于VPRN在网络层实现转发,所以单个VPRN只能直接支持一个网络层协议。
- 若要求VPRN支持多协议环境,一般可以有两种实施方法:
- 一种是通过封装技术,在一个已建隧道上再建一个隧道,使不同协议的数据包分别在不同隧道上传输,两者相互隔离。
- 另一种方法是在相同物理设备上建立多个VPRN ,每个VPRN分别支持特定的协议,即通过各个VPRN相互隔离。
- 另外如果特别强调要支持多协议,也可以在VPRN基础上稍加修改,变成虚拟专用LAN网段(VPLS)的形式。
(3)、允许用户接入Internet 。
- 一般VPRN内的用户只能相互通信,不能与Internet用户通信或不能接入Internet ,但是当需要时网络可以允许某些用户接入Internet 。
- 具体的实现方法有几种:
- 一种方法是在PE边缘路由器处实施,该路由器可以负责区别两种不同的数据流,并分别引导至VPRN及Internet ,同时它可以在VPRN与Internet两个域之间提供防火墙功能。
- 另一种方法是在用户处实施,此时由CE设备区分两种不同的数据流,并分别引导两个不同的域:一个通过PE边缘路由器接入VPRN, 一个通过不包含在VPRN内的ISP路由器接入Internet, 同时CE设备可以提供防火墙功能。
(4)、一个用户可以同时作为多个VPRN成员。
很多情况都要求一个用户同时属于多个VPRN ,该用户可以与不同的VPRN的用户通信,但不允许多个VPRN通过该用户转发。
(5)、安全性有保障。
从总体上说,基于CE的VPRN的安全性要优于基于网络的VPRN 。但是基于网络的VPRN至少可获得类似帧中继、ATM网络的安全性。在采取适当措施后,基于网络的VPRN可以获得通常用户所需的安全性。
3、 VPDN (Virtual Private Dial Networks,虚拟拨号专网)
基本特点是除VPN的总部网络中心采用专线接入VPN服务提供商的网络外,其余的VPN用户通过PSTN或ISDN拨号线路接入网络。
另外,虽然拨号用户是通过PSTN或ISDN公网拨入VPN的,但是VPN所属用户仍与外界隔离,有较好的安全保证。
VPDN也可以使用IP专用地址等VPN所特有的一些特性,接入范围可遍及PSTN 、ISDN的覆盖区域。
网络建设投资少周期短网络运行费用低。
适用范围:出差员工、异地小型办公机构。
VPDN 隧道协议可分为PPTP 、L2F和L2TP三种,目前最广泛使用的是L2TP。
VPDN有两种设备配置形式,从而导致有两种遂道建立方式:
- 必备(Compulsory)遂道
- 自助遂道(Voluntary Tunnels)
4、VPLS (Virtual Private LAN Segment,虚拟专用LAN网段)
VPLS是用Internet设施仿真LAN网段,VPLS可用于提供所谓的透明LAN服务(TLS)。
TLS可用于以协议透明方式互连多个支干CE节点(如桥或路由器)。 VPLS在IP上仿真LAN网段,类似于LANE (LAN Emulation)在ATM上仿真LAN网段。
它的主要优点是,协议完全透明,这在多协议传送和传送管理上是很重要的。
PE节点一般是LAN交换器,CE设备可以是网桥也可以是路由器。CE与PE边缘节点之间的支干链路可以是ATM VCC、 帧中继电路,当距离较短时也可以是物理线路如5类线。
VPLS的拓扑与工作模型,除VPLS边缘节点实现链路层桥接而不是网络层转发外,基本上等效于VPRN(虚拟专用路由网络) VPRN的隧道和构造机制,也适用于VPLS ,只是数据包和编址信息需要做适当改变,因为VPLS是在链路层上工作,用链路层代替网络层,所以网络信息的改变一般用帧代替包,用MAC地址代替IP地址即可。
支持非惟一的专用IP地址
虽然VPLS仿真LAN网段使用MAC地址,但是链路层MAC地址只标识站点站点内的用户,网络仍用IP地址标识。
所以 VPLS与其他类型VPN一样采用隧道封装技术,VPLS内的IP地址可以与公用IP网的IP地址无关,也可以使用VPLS内部专用的IP地址。这些地址可以不是惟一的,可与其他VPN或其他专用系统的IP地址重叠。
完全支持多协议数据流传送
支持VPLS的ISP网络,因为提供的是第二层的连接,ISP网络用于仿真多入口的LAN网段,所以用户网络可以更灵活,例如,任何的IGP(Interior Gateway Protocol)或任何协议可以在用户站点运行。
VPRN由于在网络层实现转发,所以在通常条件下,一个单一的VPRN仅直接支持一个单一的网络层协议,为了支持多协议数据流传送需要采取某些特殊措施,而VPLS可全面支持多协议数据流传送,当然这种多协议数据流传送需要有支持多协议的隧道协议的支持。
VPLS因为是用Internet设施仿真LAN网段,这就是说VPN服务提供商的基础网络是IP网,它要在IP网上通过相关设施在VPLS边缘节点实施链路层桥接,而不是网络层转发,即在二层网络基础上提供透明的LAN服务。
1.4.4、OSI参考模型层次分类
1、L2 VPN
二层VPN服务的主要特征是根据用户数据包的二层地址(如MAC地址、帧中继的DLCI、 ATM的PVC等)在网络的第二层对数据包进行转发和发送。
服务提供商的网络负责提供CE之间的二层连接,包括用MAC地址(例如LAN仿真)、 点到点的链路层连接(ATM 帧中继MPLS)、 多点到点(用MPLS多点到点的LSP)和点到多点(例如ATM VCC) ,而三层的连接,例如选路由等由用户负责。
PE设备可以是路由器或交换机,从支持二层连接的角度看交换机更合适一些。VLL及局域网仿真服务VPLS就属于二层VPN。
主要的二层VPN技术:
- L2TP
- PPTP
- MPLS L2 VPN
2、L3VPN
三层VPN服务的主要特征是PE转发用户数据包,是以其IP地址为依据的,VPRN就属于三层VPN 。通常用户网络使用专用的IP地址,所以PE要了解用户的专用IP地址空间,从CE的角度看PE 它是一个IP路由器在三层VPN中SP,也参与VPN的管理并提供VPN, 用户也可在其VPN范围内对其进行管理。
主要的三层VPN技术
- GRE
- IPSec VPN
- BGP/MPLS VPN
1.5、当前主要的VPN技术
1.5.1、PPTP点到点隧道协议
PPTP(Point to Point Tunneling Protocol,点对点隧道协议),是一种支持多协议虚拟专用网络的协议。这类方案采用了一项名为通用路由封装(Generic Routing Encapsulation,GRE)的技术。它是一种因特网协议,可以让发往某个网络的数据包经加密后,一个包接一个包地发送到可信服务器。然后,服务器拆开数据包,重新发送到专用网上。微软推出的PPTP/GRE方案就利用了GRE,并采用微软的算法对数据进行加密。通过该协议,远程用户能够跨越 Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系统以及其它点对点激活系统安全访问共同网络,并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置,对于初阶应用安全性足以应用。
PPTP适用范围:适合移动的用户,不适用于点对点或者点对多点的VPN架构。
1.5.2、L2TP二层隧道协议
L2TP(Layer Two Tunneling Protocol,二层虚拟隧道协议)是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
L2TP协议自身不提供加密与可靠性验证的功能,可以和安全协议搭配使用,从而实现数据的加密传输。经常与L2TP协议搭配的加密协议是IPsec,当这两个协议搭配使用时,通常合称L2TP/IPsec。
在IP网络中,L2TP协议使用注册端口UDP 1701。因此,在某种意义上,尽管L2TP协议的确是一个数据链路层协议,但在IP网络中,它又的确是一个会话层协议。
1.5.3、MPLS L2 VPN
MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起,为用户提供高质量的服务。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。广泛应用于跨国企业、银行、证券、教育、互联网服务等行业的互联,并与国内外知名电信运营商合作,将高可用性、高扩展性的网络服务延伸到世界各地。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。
1.5.4、SSL VPN技术
SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件,使用方便,适用于用户安装配置不易或是特定应用情况。(安全套接层协议层)方案,它只允许通过安全的Web浏览器,访问某几种具有Web功能的应用。它只能访问使用标准Web创作工具如HTML和JavaScript的应用。这项技术可以分析每个网页,确保从该网页引出的程序化的导航路径通过安全连接,转发到SSL VPN服务器。为用户远程访问公司内部网络提供了安全保证。
安全远程接入方案,SSL VPN称为第二代。需要安装可以连接到VPN服务器的软件。
1.5.5、IPSec VPN技术
IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它依靠GRE(IPSec/GRE)以及另一种名为封装安全载荷(Encapsulating Security Payload,ESP)的协议,IP数据包进行封装和加密处理。不过,与PPTP和L2TP相比, IPSec方案更安全、更可靠,这归功于IPSec选择及支持的加密算法。通常采用IPSec的VPN方案来解决在多个分公司间构建稳定的VPN的需求。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
安全远程接入方案, IPSec VPN称为第一代。SSL VPN主要让远程设备可以访问基于浏览器的应用。SSL VPN加密性级别不如IPSec VPN,优点是相对于IPSec VPN容易部署、管理成本低,更安全,更好的可扩展性,控制更精细;缺点是对移动用户的安全访问仍存在较大风险。
扫一扫
1478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
