《2022年动态vpn的工作原理与解决方法教学内容.pdf》由会员分享,可在线阅读,更多相关《2022年动态vpn的工作原理与解决方法教学内容.pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、资料收集于网络,如有侵权请联系网站删除word 可编辑动态 vpn 的工作原理与解决方法1、概述在现有的 IP VPN 组网方案中,一般采用GRE 隧道、 L2TP 、IPSec 等方式。但是这些方案都存在一个弊端,就是必须是按照事先的配置进行组网,并且要完成一个全联通的网络时(如 1.1.1.1 1.1)结构和配置就变得复杂。由于要建立一对一的连接,所以当有N 个网络设备进行互联时,网络的就必须建立N(N1) / 2 个连接,这样不仅造成了组网和配置的复杂,而且配置时必须知道对端设备的基本信息。图 1 传统 VPN 方式下的全联通Quidway SecPath VPN 安全网关(以下简称网关
2、)可以提供动态VPN 的解决方案,能有效地解决以上传统VPN 的缺陷。动态VPN 采用了 Client 和 Server 的方式,任意一个Client设备只需要知道Server 的信息就能够和其他Client 设备进行互通, 并且这种互通是自动的,不需要任何人为的干预。通过这种方案进行VPN 的组网不尽降低了维护成本,而且使得网络应用更加灵活,加上动态VPN 提供的认证和加密特性完全保证了用户的网络安全。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页,共 6 页 - - - - - - - - -
3、 - 资料收集于网络,如有侵权请联系网站删除word 可编辑2、动态 VPN 的基本原理和关键技术2.1、动态 VPN 的基本原理动态 VPN 采用了 Client / Server 的方式,一台网关作为Server, 其他的网关作为Client。每个 Client 都需要到 Server 进行注册,注册成功之后Client 就可以互相通讯了。Server 在一个 VPN 当中的主要任务就是获得Client 的注册信息,当有一个Client 需要访问另一个Client 时通知该 Client 所要到达目的地的真正地址。动态 VPN 采用了隧道技术,即在每对互相通讯的网关上都自动打通一条隧道,所
4、有的数据都在隧道中传输,当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。目前动态VPN 支持两种隧道方式,即GRE 隧道和 UDP 隧道。 GRE 隧道方式属于标准协议的隧道;而UDP 隧道方式是华为3Com 公司的专利方式,这种方式能够很好的解决穿透 NAT/ 防火墙的问题,这是GRE 方式所不及的。2.2.1 穿透 NAT/ 防火墙技术精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页,共 6 页 - - - - - - - - - - 资料收集于网络,如有侵权请联系网站删除word
5、 可编辑动态 VPN 采用 UDP 方式建立隧道,使用这种技术建立隧道的最大好处就是能够穿透NAT/ 防火墙。传统的GRE 方式建立隧道,由于GRE Tunnel 是基于三层IP 建立隧道,所以不支持 PAT 端口方式的一对多的地址转换,就需要大量的公网IP 地址。动态VPN 采用UDP 方式建立隧道就完全避免了这种问题的发生,当网关使用UDP 连接建立隧道, 可以支持地址和端口的应用,当隧道通过NAT/ 防火墙的时候就会转换为对应的公网IP 地址和相应的端口号,从而完成数据的穿越NAT 网关。2.2.2、动态 IP 地址构建VPN 技术传统的 GRE 方式建立隧道就必须知道对端设备的IP 地
6、址,一旦有一台设备IP 地址更换,那其他相关设备就全部都需要更改配置;同时由于传统的GRE 隧道建立必须知道对方的 IP 地址,这样就使得动态IP 地址的设备就无法正常建链。现在的宽带不断的推广应用,如果中小企业使用xDSL 或者以太网接入方式的话要比以前专线方式接入节省大量的线路租用费用,但是一般的xDSL 接入或者以太网接入使用的是动态的IP 地址,这样就出现了一个问题,如何使用动态的IP 地址来建立企业自己的VPN 网络?显然传统的VPN 构建方式已经满足不了现在的应用了,为此华为 3Com 公司的Quidway SecPath VPN 安全网关, 推出适合动态IP 地址构建企业VPN
7、的动态 VPN 技术和解决方案。动态 VPN 在同一个VPN 内部构建隧道不需要知道其他Client 网关的任何信息,只需要配置自己的信息并指定相应的Server 就完成了。所以使用动态VPN 时用户只需配置一次,不管其他Client 设备怎么更改也都能够进行互相通讯,同时用户也不用关心自己当前使用的 IP 地址是多少,更加适应现在动态IP 地址的使用方式。为了能够让用户使用更加方便、为了让更多的用户能够享受华为3Com 动态 VPN 的优点、同时也为了用户降低组网成本,华为 3Com 公司还推出基于PC 的客户端软件Quidway SecPoint, 这样用户能够在外出时只需通过PC 进行
8、ADSL 或者普通拨号方式就能够和公司的其他用户进行连接。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页,共 6 页 - - - - - - - - - - 资料收集于网络,如有侵权请联系网站删除word 可编辑2.3、动态 IP 的使用动态 IP 地址 (Dynamic IP)指的是在需要的时候才进行IP 地址分配的方式。动态IP 地址和静态 IP 地址是对应的。 。所谓动态就是指当你每一次上网时,电信会随机分配一个IP 地址,静态指的是固定分配一个IP 地址,每次都用这一个地址。由于IP 地址
9、资源很宝贵,因此大部分用户上网都是使用动态IP 地址的,比如通过Modem、 ISDN 、ADSL 、有线宽频、小区宽频等方式连接脸谱vpn 上网的计算机, 都是在每次上网的时候临时分配一个IP 地址。2.2.4、认证加密技术VPN 的主要特点就是在公共网络构建一个属于企业自己的专用网络,使用了 VPN 技术之后企业内部的设备都在一个VPN 网络内部, 不管各个分支机构所处何地都像是公司内部网络,可以直接进行访问和数据传输。但是由于是在公网上传输数据,那么安全特性就显得尤为重要了,没有一定的安全机制,企业内部的数据在公网上就会被其他人所截取,企业内部的机器也将受到网络上其他设备的攻击,这样给企
10、业将带来灾难性后果。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页,共 6 页 - - - - - - - - - - 资料收集于网络,如有侵权请联系网站删除word 可编辑动态 VPN 使用了认证、加密等技术,最大程度地保证用户数据的安全,用户网络的安全。首先,动态VPN 提供了注册认证机制,Client 端设备要想加入到某个特定的动态VPN内,必须首先经过Server 的认证,只有通过Server 认证的Client 设备才能够接入企业的VPN 网络,这样保证了非授权用户非法登录,同时也阻止了
11、人为的破坏。其次,Client 和Client 之间建立隧道时也必须经过认证,就是说必须两个Client 都经过同一个Server 的认证才允许建立隧道,这样就可以防止公网上非法用户的入侵。另外,在使用动态VPN 的接口上可以启用IPSec 进行加密,保证用户在公网上传输的数据的安全可靠。有了上述这些措施之后,动态VPN 网络内部就是一个相对安全的区域,企业可以放心的在VPN 内传输自己的数据了。2.2.5 支持多个 VPN 域为了能够使得用户能够最大限度的使用网络设备资源,降低用户的网络构建成本,动态VPN 允许用户在一台网关上支持多个VPN 域。即一台网关不仅可以属于VPN A,也可以属于
12、 VPN B ,并且可以在VPN A 中作为 Client 设备,同时还可以在VPN B 中作为 Server设备使用。这样大大提高了组网的灵活性,也可以更加充分的使用网络设备资源,减少了用户的投资。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页,共 6 页 - - - - - - - - - - 资料收集于网络,如有侵权请联系网站删除word 可编辑图 4 一台网关支持多个VPN 域3、总结由于传统的VPN 技术在构建网络的时候越来越显得烦杂,对移动的用户或者动态IP 地址的用户支持显得力不从心
13、,使得传统方式构建的企业级的VPN 网络处于尴尬境地。对于企业来说,需要能够采用一种新的简单的方式,既能够满足跨不同地域的固定IP 地址用户互相访问,也同时能够满足移动的动态IP 地址用户的企业网络访问。对于运营商来说,也希望能够借助目前自己的网络来给企业用户构建VPN 网络,满足跨地域企业组网需求。但是目前提供的组网方式对于中小型企业来说是一种价格高昂花费,使得好多中小型企业望而却步。随着 IP 宽带网络的发展,越来越多的企业从原来的专线方式投到了宽带接入的怀抱,特别是近期 xDSL 接入的兴起, 更多的中小型企业选择xDSL 作为公司接入网络的一种首选方案。但随之而来的问题也渐渐暴露,使用一般的xDSL 接入方式虽然价格低廉,但是和普通拨号一样是非固定的IP 地址,甚至是某个ISP 提供的私网IP 地址,这些问题导致用户无法按照传统的方式来建立VPN 网络。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页,共 6 页 - - - - - - - - - -