《2022年虚拟专用网VPN类型与如何选购 2.pdf》由会员分享,可在线阅读,更多相关《2022年虚拟专用网VPN类型与如何选购 2.pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、虚拟专用网VPN 类型与如何选购VPN既是一种组网技术,又是一种网络安全技术。VPN涉及的技术和概念比较多,应用的形式也很丰富,其分类方式也很多,令人眼花缭乱。在技术篇中我们介绍了按实现技术将VPN 分成基于隧道的 VPN 、 基于虚电路的 VPN 和 MPLS VPN等,这里再介绍几种主要的划分方式,供下一篇选择VPN 解决方案时参考。一、VPN的类型1、按应用范围划分这是最常用的分类方法,大致可以划分为远程接入VPN (Accesss VPN )、Intranet VPN和 Extranet VPN 等 3种应用模式。远程接入 VPN 用于实现移动用户或远程办公室安全访问企业网络;Intr
2、anet VPN用于组建跨地区的企业内部互联网络;Extranet VPN 用于企业与客户、合作伙伴之间建立互联网络。2、按 VPN 网络结构划分VPN可分为以下 3 种类型。 基于 VPN 的远程访问即单机连接到网络,又称点到站点,桌面到网络。用于提供远程移动用户对公司内部网的安全访问。 基于 VPN 的网络互联即网络连接到网络,又称站点到站点,网关(路由器)到网关(路由器)或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信时,还可用于企业的内部网与企业合作伙伴网络之间的信息交流,并提供一定程度的安全保护,防止对内部信息的非法访问。 基于 VPN 的点对点通信即单机到单机,
3、又称端对端,用于企业内部网的两台主机之间的安全通信。3、按接入方式划分在 Internet上组建 VPN ,用户计算机或网络需要建立到ISP 的连接。与用户上网接入方式相似,根据连接方式,可分为两种类型。 专线 VPN 通过固定的线路连接到ISP,如 DDN 、帧中继等都是专线连接。 拨号接入 VPN简称 VPDN ,使用拨号连接(如模拟电话、ISDN和 ADSL等)连接到 ISP,是典型的按需连接方式。这是种非固定线路的VPN 。4、按隧道协议划分按隧道协议的网络分层,VPN 可划分为第 2 层隧道协议和第 3 层隧道协议。 PPTP 、L2P和 L2TP都属于第 2 层隧道协议,IPSec
4、 属于第 3层隧道协议,MPLS 跨越第 2层和第 3 层。 VPN 的实现往往将第2层和第 3层协议配合使用,如 L2TP/IPSec。当然,还可根据具体的协议来进一步划分VPN类型,如 PPTP VPN 、L2TP VPN 、IPSec VPN和 MPLS VPN 等。第 2 层和第 3 层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议,如 IP、IPX 和 AppleTalk ,也可以支持多种广域网技术,如帧中继、ATM 、X.25 或 SDH/SONET,还可以支持任意局域网技术,如以太网、令牌环网和FDDI网等。 另外,还有第 4 层隧道
5、协议,如 SSL VPN 。5、按隧道建立方式划分根据 VPN隧道建立方式,可分为两种类型。 自愿隧道( Voluntary tunnel)指客户计算机或路由器可以通过发送VPN 请求配置和创建的隧道。这种方式也称为基于用户设备的VPN 。VPN的技术实名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 3 页 - - - - - - - - - 现集中在 VPN用户端, VPN隧道的起始点和终止点都位于VPN用户端,隧道的建立、管理和维护都由用户负责。ISP 只提供通信线路
6、,不承担建立隧道的业务。这种方式技术实现容易,不过对用户的要求较高。不管怎样,这仍然是目前最普遍使用的 VPN 组网类型。 强制隧道( Compulsory tunnel )指由 VPN服务提供商配置和创建的隧道。这种方式也称为基于网络的VPN 。VPN 的技术实现集中在ISP,VPN 隧道的起始点和终止点都位于ISP,隧道的建立、 管理和维护都由 ISP 负责。VPN用户不承担隧道业务, 客户端无需安装VPN 软件。这种方式便于用户使用,增加了灵活性和扩展性,不过技术实现比较复杂,一般由电信运营商提供,或由用户委托电信运营商实现。6、按路由管理方式划分按路由管理方式划分, VPN分为两种模式
7、。 叠加模式( Overlay Model )也译为“覆盖模式”。目前大多数VPN 技术,如 IPSec、GRE 都基于叠加模式。采用叠加模式,各站点都有一个路由器通过点到点连接( IPSec、GRE 等)到其他站点的路由器上,不妨将这个由点到点的连接以及相关的路由器组成的网络称为“虚拟骨干网”。叠加模式难以支持大规模的VPN ,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其他所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。
8、对等模式( Peer Model )对等模式是针对叠加模式固有的缺点推出的。它通过限制路由信息的传播来实现VPN 。这种模式能够支持大规模的VPN业务,如一个 VPN 服务提供商可支持成百上千个VPN 。采用这种模式, 相关的路由设备很复杂, 但实际配置却非常简单;容易实现 QoS服务;扩展更加方便,因为新增一个站点,不需与其他站点建立连接。这对于网状结构的大型复杂网络非常有用。 MPLS 技术是当前主流的对等模式VPN技术。二、如何选择 VPN 产品如果单位自建 VPN 需要选购相关的产品。一套完整的 VPN 产品一般包括 3个部分即 VPN网关:用于实现 LAN到 LAN 。 VPN客户端
9、:与 VPN 网关一起可实现客户到LAN的 VPN 方案。 VPN管理中心:对 VPN网关和 VPN 客户端的安全策略进行配置和远程管理。在选择 VPN产品时,我们可从以下几个方面来考虑:1、产品定位首先应考察产品定位问题。像其他网络产品一样,不同的VPN产品有不同的定位,按从高端到低端的顺序,依次为电信级、企业级、中小企业、办公室或SOHO。当然,中小企业只能选择中小企业及以下级别的产品。2、支持的应用类型VPN有 3 种应用类型:LAN到 LAN 、客户到 LAN 、客户到客户。这里的客户指的是VPN网络中的移动用户和远程办公用户。目前多数 VPN产品都支持 LAN到 LAN和客户到 LA
10、N ,而支持客户到客户的产品不多。这一点在有些应用场合很重要,例如企业的远程办公用户之间需要交流保密信息,客户到客户的VPN方案是一种很好的解决手段。3、支持的协议自建 VPN应根据需要选择隧道协议,目前PPTP 、L2TP和 IPSec 是比较常用的协议。一般远程访问VPN (即客户到 LAN )多选择 L2TP协议,为安全起见,还需选择 IPSec 来提供加密。 网络互联(LAN到 LAN )和端到端连接多选择IPSec 协议。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2
11、页,共 3 页 - - - - - - - - - PPTP由于简单易用,而且支持NAT路由,因此在有些场合下也使用。总之,IPSec 是最安全的隧道协议,多数VPN产品都支持该协议。当然越来越多的VPN 产品开始支持 PPTP和 L2TP协议。除隧道协议之外,还要考察VPN可承载协议、 NAT (网络地址转换)以及路由协议的支持情况。许多VPN 产品的可承载协议除 IP 协议之外,还支持IPX、NetBIOS等网络协议。对 NAT的支持对于一些网络共享的应用非常重要,IPSec 本身并不支持 NAT ,但可在 VPN产品中加进这一功能。与IPSec 产生直接冲突的是网络地址端口转换(NAPT
12、 )和网络地址转换(NAT )。NAT和 NAPT 在宽带网络中应用很广,许多网络服务供应商都使用这种技术。IPSec VPN 方案如果不支持NAPT ,在这些场合就没有意义了。4、是否集成防火墙功能VPN将 IP 数据包加密封装,往往会影响防火墙的性能,甚至影响安全策略的定义。一般来说,独立的VPN 产品与防火墙难以协同工作,特别是来自不同厂家的产品。最好选择集成防火墙功能的VPN 产品。5、产品的基本配置VPN的基本配置参数如下: 可支持的最大连接数。即使是小型网络,最少应不低于100,高端产品能支持数万个连接。 VPN实现机制。有纯软件、纯硬件、软硬结合以及专用设备等方式。 可提供的网络
13、接口。常见的是以太网口,还有E1、T1等接口。操作系统平台,指VPN 产品本身所采用的操作系统,许多产品都采用专有的操作系统。6、VPN 的管理性提供专用的 VPN 管理软件或平台对于一个复杂的VPN 网络很重要,可简化管理,减轻了系统管理员的负担。7、VPN 的开放性和扩展性VPN产品应提供与第三方安全产品协同工作的能力,应适应多种平台。便于扩展,以适应VPN网络的扩展和升级。8、产品的其他功能其他功能包括硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密、认证、日志、审核等)、认证机制(RADIUS 、数字证书)和密钥管理等。另外,在选择 VPN 方案和产品的时候,不要单纯从组网和安全的技术角度考虑,还要考虑VPN的具体用途和所需成本。对于中小型 VPN 网络来说,经济实用才是最重要的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 3 页 - - - - - - - - -