《企业VPN完美解决方案(68页).doc》由会员分享,可在线阅读,更多相关《企业VPN完美解决方案(68页).doc(68页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-1.02.0 企业VPN完美解决方案-第 68 页3.0 VPN技术原理分析1.1 VPN(虚拟专用网)技术概述1. VPN技术虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还
2、可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网至少应能提供如下功能:a)加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。b)信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。c)提供访问控制,不同的用户有不同的访问权限。VPN的分类根据VPN所起的作用,可以将VPN分为三类:VPDN、Intranet VPN
3、和Extranet VPN.1. VPDN(Virtual Private Dial Network)在远程用户或移动雇员和公司内部网之间的VPN,称为VPDN.实现过程如下:用户拨号NSP(网络服务提供商)的网络访问服务器NAS(Network Access Server),发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动VPDN功能,与公司总部内部连接,访问其内部资源。2. Intranet VPN在公司远程分支机构的LAN和公司总部LAN之间的VPN.通过Internet这一公共网络将公司在各地分支机构的LAN
4、连到公司总部的LAN,以便公司内部的资源共享、文件传递等,可节省DDN等专线所带来的高额费用。3. Extranet VPN在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN.由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议。由于用户的多样性,公司的网络管理员还应该设置特定的访问控制表ACL(Access Control List),根据访问者的身份、网络地址等参数来确定他所相应的访问权限,开放部分资源而非全部资源给外联网的用户。VPN的隧道协议VPN区别于一般网络互联的关键于隧道的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性。一般,在数据链路层实现数
5、据封装的协议叫第二层隧道协议,常用的有PPTP、L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec;另外,SOCKS v5协议则在TCP层实现数据安全。1. PPTP(Point-to-Point Tunneling Protocol)/ L2TP(Layer 2 Tunneling Protocol)1996年,Microsoft和Ascend等在PPP协议的基础上开发了PPTP,它集成于Windows NT Server4.0中,Windows NT Workstation和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议,可把IP、IPX、Apple
6、Talk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制,减少拥塞的可能性,避免由包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE:Microsoft Point-to-Point Encryption)算法,可以选用较弱的40位密钥或强度较大的128位密钥。1996年,Cisco提出L2F(Layer 2 Forwarding)隧道协议,它也支持多协议,但其主要用于Cisco的路由器和拨号访问服务器。1997年底,Micorosoft和Cisco公司把P
7、PTP协议和L2F协议的优点结合在一起,形成了L2TP协议。L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制,支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份。L2TP受到了许多大公司的支持。优点:PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其他网络协议,如Novell的IPX,NetBEUI和
8、Apple Talk协议,还支持流量控制。它通过减少丢弃包来改善网络性能,这样可减少重传。缺点:PPTP和L2TP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制,没有强加密和认证支持。PPTP和L2TP最适合用于远程访问虚拟专用网。1.2 VPN:BGP/MPLS VPN的实现技术分析1.2.1VPN技术概述 VPN(Virtual Private
9、 Network)是基于公网,利用隧道、加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。1. 传统VPN组网方式传统VPN组网方式分成两种,一种是专线VPN,一种是基于客户端设备的VPN (CPE-based VPN)。专线VPN使用DDN电路或者虚电路(如ATM PVC、FR PVC 等)连接客户的站点,形成一个叠加式的二层VPN网络。这种方式的VPN,成本高、建设周期长、网络拓展性不好,并且可管理性差。CPE-based VPN:其VPN功能都集成在各种各样的CPE设备之中,运营商的公网为客户提供透明的数据传输。因为VPN是跨越不可信任的公网构建而成的,所以一
10、般CPE-based VPN都采用隧道、加密、认证等方式来防止数据被复制、篡改和丢失。这种方式的VPN,其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VPN,同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。2. Provider Provisioned VPN(PP-VPN):随着通信技术的不断发展,特别是MPLS技术的出现,基于运营商网络的VPN,即PP-VPN应运而生。PP-VPN整个操作是作为一个运营商的外包资源实现在网络上,而不是在客户端设备上。这种方式的VPN,降低了客户的投入,增加了运营商的收入,同时又具有较好的网络拓展性、可管理性,因而赢得了越来越多客户和
11、运营商的青睐。基于MPLS的VPN就属于PP-VPN。1.2.2、MPLS VPN简介MPLS(Multi-Protocol Label Switch,多协议标签交换)是由IETF提出的新一代IP骨干网络交换标准,是一种集成式的IP Over ATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务。MPLS VPN有三种类型的路由器,CE路由器、PE路由器和P路由器。其中,CE路由器是客户端路由器,为用户提供到PE路由器的连接;PE路由器是运营商边缘路由器,也就是MPLS网络中的标签边缘路由器
12、(LER),它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;P路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC2547bis标准,使用BGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又
13、称为BGP/MPLS VPN。1.2.3、BGP/MPLS VPN中几个重要的概念1. VRFBGP/MPLS VPN的安全举措之一就是路由隔离和信息隔离,它是通过VPN路由转发(VPN Routing & Forwarding:VRF)表和MPLS中的LSP来实现的。在PE路由器上,存在有多个VRF表,这些VRF表是和PE路由器上的一个或多个子接口相对应的,用于存放这些子接口所属VPN的路由信息。通常情况下,VRF表中只包含一个VPN的路由信息,但是当子接口属于多个VPN时,其所对应的VRF表中就包含了子接口所属的所有VPN的路由信息。对于每一个VRF表,都具有路由区分符(Route Dis
14、tinguisher:RD)和路由目标(Route Target:RT)两大属性。2. RDVPN中IP地址的规划是由客户自行制订的,因而有可能会出现客户选择在RFC1918中定义的私有地址作为他们的站点地址或者不同的VPN使用相同的地址域,也就是所谓的地址重叠现象。地址重叠的后果之一就是BGP无法区分来自不同VPN的重叠路由,从而导致某个站点不可达。为了解决这个问题,BGP/MPLS VPN除了采用在PE路由器上使用多个VRF表的方法,还引入了RD的概念。RD具有全局唯一性,通过将8个字节的RD作为IPv4地址前缀的扩展,使不唯一的IPv4地址转化为唯一的VPN-IPv4地址。VPN-IPv
15、4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RD和VRF表之间建立了一一对应的关系。通常情况下,对于不同PE路由器上属于同一个VPN的子接口,为其所对应的VRF表分配相同的RD,换句话说,就是为每一个VPN分配一个唯一的RD。但是对于重叠VPN,即某个站点属于多个VPN的情况,由于PE路由器上的某个子接口属于多个VPN,此时,该子接口所对应的VRF表只能被分配一个RD,从而多个VPN共享一个RD。3. RTRT的作用类似于BGP中扩展团体属性,用于路由信息的分发。它分成Import RT和Export RT,分别用于路由信息的导入、导出策略。当从VRF表中导出VPN路由
16、时,要用Export RT对VPN路由进行标记;在往VRF表中导入VPN路由时,只有所带RT标记与VRF表中任意一个Import RT相符的路由才会被导入到VRF表中。RT使得PE路由器只包含和其直接相连的VPN的路由,而不是全网所有VPN的路由,从而节省了PE路由器的资源,提高了网络拓展性。RT具有全局唯一性,并且只能被一个VPN使用。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。1.2.4、BGP/MPLS VPN的体系结构1. BGP/MPLS VPN的体系结构体系结构主要分成数据面和控制面
17、。数据面定义了VPN数据的转发过程;控制面则定义了LSP的建立和VPN路由信息的分发过程。在此,我们主要讨论一下数据的转发过程和路由信息的分发过程。2. 数据转发过程在MPLS网络中传输的VPN数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构,它们分别对应于两个层面的路由:域内路由和VPN路由。域内路由即MPLS中的LSP是由PE路由器和P路由器通过运行标签分发协议(Label Distribution Protocol:LDP)或资源预留协议(Resource Reservation Protocol:RSVP)建立的,它所产生的标签转发表用于VPN分组外层标签的交换。
18、VPN路由是由PE路由器之间通过运行MP-iBGP建立的,该协议跨越骨干网的P路由器分发VPN标签形成VPN路由。在PE路由器上除了VRF表外,还有MPLS路由表,该表用于存放VPN标签和子接口的对应关系,为出口PE路由器到CE路由器之间的数据转发提供依据。具体数据转发过程如下:当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过输出接口发送到相应LSP上的第一个P路由器。骨干网中P路由器根据外层标签逐跳转发VPN分组,直至最后一个P路
19、由器弹出外层标签,将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据VPN标签,查找MPLS路由表得到对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。特别的,当出口PE路由器和入口PE路由器是同一个路由器时,PE路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路由器。3. 路由信息分发过程在MPLS VPN中,因为采用了两层标签栈结构,所以P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。(1)CE-PE路由器之间通过采用静态/
20、缺省路由,或采用IGP(RIPv2、OSPF)等动态路由协议,或建立EBGP连接等方式进行路由信息的交互。当入口PE路由器从某个子接口接收到来自CE路由器的路由信息时,除了将该路由导入对应的VRF表,PE路由器还要为该路由分配一个VPN标签。该VPN标签用以识别接收路由信息的子接口,因此从同一个子接口接收到的路由信息将被分配同样的VPN标签,从而PE路由器可以将收到的VPN分组转发到合适的子接口。(2)PE-PE之间通过采用MP-iBGP进行路由信息的交互。PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。当入口PE路由器分发路由信息时,将同时携带路由所
21、在VRF表的RD,即将路由的IPv4地址转化为VPN-IPv4地址。分发的具体路由信息包括该路由的VPN-IPv4地址前缀、下一跳BGP即入口PE路由器的VPN-IPv4地址(其中RD=0)、分配给该路由的VPN标签和该路由所在VRF表的Export RT。该路由信息我们称为带有标签的VPN-IPv4路由信息。当出口PE路由器收到路由信息时,将查看该路由的RT,如果RT和其任意VRF表中任意一个Import RT相符时,就将该路由存入VPN-IPv4.RIB表。在进行路由选择之后,将最优路由中的VPN-IPv4地址转化成IPv4地址,即去掉地址中的RD,导入到相应的VRF表中。1.2.5、跨越
22、多个运营商网络的MPLS VPN的实现在某个客户的MPLS/VPN跨越多个运营商网络的情况下,如果假定运营商所用地址域不重叠,那么可以通过下述方法来解决:为了分发带有标签的IPv4路由信息,在边缘路由器上建立EBGP连接;为了分发带有标签的VPN-IPv4路由信息,在属于不同运营商的PE路由器之间建立多跳的EBGP连接。值得注意的是,这种用于不同运营商之间的EBGP解决方案同样适用于一个具有多个AS值的运营商。1.2.6、结束语1. BGP/MPLS VPN的特点作为PP-VPN,提高了用户网络管理效率,降低了用户在网络管理方面投入的费用。解决了纯三层IP VPN所不能解决的地址重叠和重叠VP
23、N的问题。具有较好的网络拓展性,解决了传统VPN在实现用户节点全网状连接时的N2问题。不需要采用加密、认证等手段,通过路由隔离、地址隔离等多种方式,实现与传统VPN相符合1.3什么是SSL VPNSSL VPN 之RAP“遥访门”技术白皮书远程访问办公室内部网络资源是各个公司的IT部门最头疼的一件事情,而且这样的头疼由来已久了。每天都有成千上万的网络管理员会收到大量要求解决他们网络VPN 安装设置问题的用户电话。被搞得焦头烂额的用户在他们的机器上执行了一些操作,使机器突然之间不能与他们的IPSec VPN连接了。是因为他们外出所在酒店或旅馆的NAT 或防火墙设置问题吗?这些设置总是千变万化,公
24、司管理员们真的已经厌倦了做这些费力不讨好的事。对于改变防火墙和内部结构设置,为了与外部人员区分开,公司网络管理员要花费大量时间和精力给公司内部员工进行VPN 客户端配置工作。如何让外出公干的销售人员成功实现安全远程内部访问着实让网管人员费了些心思,如何让他们使用自己的电脑实现在家时查阅email 或访问公司内部重要数据呢?是否管理员要发给他们一张CD 并指导他们如何进行安装设置呢?直到现在,许多公司的网管人员还在被这个问题纠缠着,最近就有一个网络管理员这样说:“要在员工家里的计算机上安装VPN 客户端必须做的工作实在是太多了,为此我们不得不再发给员工另外一台配置好的电脑,让它专门在家里使用。这
25、样做的花费比指导员工自行安装来得要少些。”公司企业需要易于使用的安全远程访问连接,看起来IPSec VPN 实在是太麻烦了!他们不能轻而一举地给客户或是合作伙伴配置让他们安全访问内部数据。我们的最终目的就是在简单易用的前提下提供高性能的安全远程数据访问能力。公司该如何应对这种情况呢?答案到底在哪里?SSL VPN 之RAP“遥访门”1.3.1 SSL VPN的技术演变a) 演化过程随着应用程序从C/S 结构向Web 的迁移,企业必须面对一个新的挑战,就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间,用户和管理层听到因为安全原因不能够在公司以外访问内部应用
26、程序的声音不绝于耳。在70 年代,人们对远程访问概念几乎等同于从远端的办公地点访问应用程序,这需要设置非常昂贵的WAN 网并租用连接线路。到了80 年代,一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上,但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候,在家使用个人电脑才刚刚成为主流,远程访问需求还不是很大。随着90 年代的来临, 在家用PC 盛行的同时,移动电脑开始显现,在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑,他们需要实时访问公司内部信息,设立IPSec VPN 可以保护用户远程访问。它可以提供足够的
27、安全性,但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难,最终用户不得不硬着头皮忍受这些变化,因为他们别无选择。即使是现在,你也很难找到一个用户,他的VPN 一点儿问题也没有。从管理员的角度来讲,使用IPSec VPN 不仅仅意味着要对客户端进行安装和调试,而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常,有时候会出现连接断开的现象,改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构,其管理复杂性可以忍受;当IT 管理部门不能完全控制时,管理复杂性就要成倍增加。这种情况同样发生在
28、本地NAT 和防火墙对合作伙伴,在家里或在酒店。如今, 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此,用户就需要另做选择。现在,已经有公司开始考虑使用架构在因特网上的SSL 协议,在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法,许多公司对他们的内部网和外部网执行了SSL 设置,通过SSL VPN 进行访问控制。b) SSL VPN 的定义SSL VPN 的发展对现有SSL 应用是一个补充,它增加了公司执行访问控制和安全的级别和能
29、力。SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲,拨号可以保证相对安全性,因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力,因为客户端软件是需要安装的。但是,以这样的安全策略和属性, 不可否认,黑客入侵、安全威胁、身份欺诈呈增长趋势。现在,使用SSL VPN,安全特性已经发生了改变,人们可以通过浏览器访问应用程序。如果把SSL 和VPN 两个概念分开,大多数人都清楚他们的含义,但是有多少人知道他们合在一起的意思呢?从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。SSL 通过加
30、密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。这里,需要提供一个数字证书给Web 服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL, 那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。VPN 则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或
31、点到点之间的连接。以上我们简要介绍了SSL和VPN,现在我们要了解一下SSL和VPN是怎样结合在一起的?大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全
32、远程访问的新生代。c) 什么是SSL VPN?很多因素都可以证明SSL VPN 是解决远程访问问题的救星。随着越来越多的公司挣扎于如何权衡访问控制、安全和用户易用, SSL VPN 已经给出了最好的答案。在最近Infonetics 的一份调查报告中,他们指出: “到2003 年, 59% 的移动用户会使用VPN, 到2005 年,这个数字将上升到74%;增加的部分大多来自SSL VPN, 因为它可以避免客户端安装和管理所带来的麻烦。 Gartner 副总裁John Girard 在最近的一份研究报告中为SSL VPN 做出了精彩评述:” 作为传统VPN 的升级,那些希望使用更加简单更加灵活的方
33、式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 作为一项新的投资。现在,许多企业已经开始使用这项基于SSL 技术,简单、易用而且不需要高额费用的VPN 解决方案部署他们的系统了。“SSL VPN 的价值包括许多方面,最主要的是提高访问控制能力,安全易用以及高额的投资回报率。访问控制SSL VPN 对访问控制更加有效,因为实施了用户集中化管理。所有的远程访问都是通过SSL VPN 控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部员工,合作伙伴或客户。所有访问被限制在应用层,而且可以将权限细分到一个URL 或一个文件。而使用IPSec VPN, 安全权限只局
34、限到网络。1.3.2 SSL VPN 之RAP“遥访门”Remote Access Pass (遥访门系统)安全的远程访问解决方案介绍Remote Access Pass (遥访门系统) 能够实现基于浏览器来安全地访问企业局域网内部的任何一台Windows PC.键盘、鼠标以及显示界面的变化被大比例的压缩并加密后传输。使用宽带的用户能够逼真地得到“身临其境”式的体验,即使通过拨号连接,用户对于它那令人赞叹的优异性能也会感到满意。Remote Access Pass (遥访门系统) 包括以下功能:远程控制:基于任何一个浏览器都可以运行自适应程序,通过它就能够交互访问企业内网中的桌面应用(哪怕这个
35、应用不是基于WEB的)。文件传输:在计算机之间快速地传输文件、文件夹和共享目录资源,而且非常简便易用。上传下载文件速度等同于FTP.远程开机:用户可以远程唤醒位于企业内网中自己的主机。Java JSP: 动态运行在任何远程终端上的JVM网页。Java Applet:能够运行在任何远程终端上的遥控访问连接,远程用户端支持几乎所有的操作系统,包括Windows、Mac或者Unix PC.Remote Access Pass (遥访门系统) 的整体结构由以下五部分组成:企业内网主机:处于内网中的目标机控制权属于用户自己,由已被授权的用户注册目标计算机。在注册过程中,将由遥访门基于RSA算法产生证书给
36、目标计算机,连同目标计算机的私钥存于目标计算机中,以认证目标计算机和用户的所属关系及建立SSL安全通道。远程终端:在用户端,工作人员需要打开浏览器,访问企业的公共IP地址,输入用户名和密码,然后点击所要连接的目标主机名。远程用户端会自动向App模块发出一个基于SSL协议的加密请求。App模块:侦听外来的连接请求,并把他们映射给注册的目标机。通过远程浏览器动态运行JSP与该模块中的Java servlet的对应交互, 实现认证及文件的传输。 同时,当一个远程遥控连接完成,App会分配一个session任务1.4 IPSec VPN 与 SSL VPN 优势与劣势SSLVPN与IPSecVPN是目
37、前流行的两类Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。SSL的“零客户端”解决方案被认为是实现远程接入的最大优势,这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足, 它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用,如Net Meeting以及一些客户书写的应用程序,将无法进行访问。IPSec方案安全级别高基于Internet实现多专用网安全连接,IPSec VPN是比较理想的方案。IPSec工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网
38、,使远程客户端拥有内部网用户一样的权限和操作功能。IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。IPSec VPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装,不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包,因而无论对网管还是终端用户,安装过程都大为简化。IPSec VPN应用优势SSL用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Web应用访问,使得一些文件操作功能难于实现
39、,如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用,但实现成本高且复杂,难以实现。IPSec VPN能顺利实现企业网资源访问,用户不一定要采用Web接入(可以是非Web方式),这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。IPSec方案能实现网络层连接,任何LAN应用都能通过IPSec隧道进行访问,因而在用户仅需要网络层接入时,IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案,IT主管利用IPSec VPN实现网络层接入,进行网络管理,其他人员要访问的资源有限,一般也就是电子邮件、传真,以及接
40、入公司内部网(Web浏览),因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。IPSec VPN与SSL VPN优劣比较IPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。Meta Group认为,不能简单地给IP
41、Sec与SSL方案的优劣下定论。客户在关注应用方案本身的同时,还应考虑远程机器外围设备的安全性,如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估商务应用需求,以决定采纳哪类VPN策略。2.0 MPLS VPN技术的原理2.1 MPLS提出的意义传统的IP数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个:1、有些路由的查询必须对路由表进行多次查找,这就是所谓的递归搜索;2、由于路由匹配遵循最长匹配原则,所以迫使几乎所有的路由器的交换引擎必须用软件来实现,用软件实现的交换引擎和ATM交换机上
42、用硬件来实现的交换引擎在效率上无法相抗衡。当今的互联网应用需求日益增多,对带宽、对时延的要求也越来越高。如何提高转发效率,各个路由器生产厂家做了大量的改进工作,如Cisco在路由器上提供CEF(Cisco Express Forwarding)功能、修改路由表搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。IP和ATM曾经是两个互相对立的技术,各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方,想IP一统天下,或者ATM一家独秀!但是最终是这两种技术的融合,那就是MPLS(Multi-Protocol Label Switching)技术的诞生!MPLS技术结合和IP技术信令
43、简单和ATM交换引擎高效的优点!2.2 MPLS技术的实现细节2.21标签结构IP设备和ATM设备厂商实现MPLS技术是在各自原来的基础上做的,对于IP设备商,它修改了原来IP包直接封装在二层链路帧中的规范,而是在二层和三层包头之间插了一个标签(Label),而ATM设备制造商利用了原来ATM交换机上的VPI/VCI的概念,在使用Label来代替了VPI/CVI,当然ATM交换机上还必修改信令控制部分,引入了路由协议,ATM交换使用了路由协议来 和其他设备交换三层的路由信息。标签的结构入下:20比特的LABEL字段用来表示标签值,由于标签是定长的,所以对于路由器来说,可以分析定长的标签来做数据
44、包的转发,这是标签交换的最大优点,定长的标签就意味这可以用硬件来实现数据转发,这种硬件转发方式要比必须用软件实现的路由最长匹配转发方式效率要高得多!3比特的EXP用来实现QOS1比特S值用来表示标签栈是否到底了,对于VPN,TE等应用将在二层和三层头之间插入两个以上的标签,形成标签栈。8比特TTL值用来防止数据在网上形成环路。这样完整的带有标签的二层帧就成了如下形式:在ATM信元模式下,信元的结构如下形式: 2.22 LSR设备的体系结构通过修改,能支持标签交换的路由器为LSR(Label Switch Router),而支持MPLS功能的ATM交换机我们一般称之为ATM-LSR。LSR设备的
45、体系结构如下:LSR的体系结构分为两块:a) 控制平面(Control Plane)该模块的功能是用来和其他LSR交换三层路由信息,以此建立路由表;和交换标签对路由的绑定信息,以此建Label Information Table(LIB)标签信息表。同时再根据路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表。控制平面也就是我们一般所说的路由引擎模块!b)数据平面(Data Plane)数据平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。对于控制平面
46、中所使用的路由协议,可以使用以前的任何一种,如OSPF、RIP、BGP等等,这些协议的主要功能是和其他设备交换路由信息,生成路由表。这是实现标签交换的基础。在控制平面中导入了一种新的协议LDP,该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签,由此生成LIB表,再把路由条目和本地标签的绑定通告给邻居LSR,同时把邻居LSR告知的路由条目和标签帮定接收下来放到LIB表里,最后在网络路由收敛的情况下,参照路由表和LIB表的信息生成FIB表和LFIB表。具体的标签分发模式如下叙述。2.23标签的分配和分发1) 上面叙述到了,MPLS技术是IP技术和ATM技术的融合。LSR和ATM-LSR上实现标签的生成和分发是有点不同的。a) 包模式(Packet Mode)下的标签的分配和分发对于实现包模式