《企业VPN完美解决方案.doc》由会员分享,可在线阅读,更多相关《企业VPN完美解决方案.doc(60页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1.0 P技术原理分析.1 VPN(虚拟专用网)技术概述1. VN技术虚拟专用网(PN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输.通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚
2、拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网至少应能提供如下功能:a)加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。b)信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。)提供访问控制,不同的用户有不同的访问权限。 VN的分类根据N所起的作用,可以将P分为三类:VPDN、ntranet VPN和ExraetVN。1。 PDN(rtual PivateDial ew
3、o)在远程用户或移动雇员和公司内部网之间的VP,称为VPD.实现过程如下:用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NtworkAces Sever),发出PP连接请求,NAS收到呼叫后,在用户和NAS之间建立P链路,然后,NAS对用户进行身份验证,确定是合法用户,就启动PDN功能,与公司总部内部连接,访问其内部资源. . Iet VPN在公司远程分支机构的LAN和公司总部LA之间的PN.通过Internt这一公共网络将公司在各地分支机构的LAN连到公司总部的AN,以便公司内部的资源共享、文件传递等,可节省DD等专线所带来的高额费用. 3。 EtratN在供应商、商业合作伙伴的L
4、AN和公司的AN之间的PN。由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议.由于用户的多样性,公司的网络管理员还应该设置特定的访问控制表CL(Acce Cntro List),根据访问者的身份、网络地址等参数来确定他所相应的访问权限,开放部分资源而非全部资源给外联网的用户。 VP的隧道协议PN区别于一般网络互联的关键于隧道的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性.一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP、L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如Pec;另外,SOCKS 协议则在TP层实现数据安全。 1.
5、 PTP(Poit-t-PoitTunneing rtoco)/L2TP(Layer Tuein roocol)19年,icrooft和Asnd等在PPP协议的基础上开发了PPP,它集成于WindosT rer4.0中,Widws Worktin和ndw 9.X也提供相应的客户端软件.P支持多种网络协议,可把IP、IX、AleTalk或NeEUI的数据包封装在PPP包中,再将整个报文封装在TP隧道协议包中,最后,再嵌入P报文或帧中继或TM中进行传输。PPP提供流量控制,减少拥塞的可能性,避免由包丢弃而引发包重传的数量.PTP的加密方法采用icrosf点对点加密(MP:MicostPontto-
6、Pint Encryptin)算法,可以选用较弱的4位密钥或强度较大的128位密钥。 996年,Cisc提出L2F(Laer2 orading)隧道协议,它也支持多协议,但其主要用于Cico的路由器和拨号访问服务器。199年底,Mirsoft和Ciso公司把PTP协议和协议的优点结合在一起,形成了2T协议.L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制,支持MP(Mink Protol),把多个物理通道捆绑为单一逻辑信道。L2TP使用PP可靠性发送(RFC66)实现数据包的可靠发送.L2TP隧道在两端的PN服务器之间采用口令握手协议P
7、来验证对方的身份。L2TP受到了许多大公司的支持。 优点:PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其他网络协议,如oel的IX,tBEUI和ppe Tlk协议,还支持流量控制。它通过减少丢弃包来改善网络性能,这样可减少重传。 缺点:PPT和LTP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题它不对两个节点间的信息传输进行监视或控制。PP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道.认证和加密受
8、到限制,没有强加密和认证支持。 PPT和L2TP最适合用于远程访问虚拟专用网。1。2PN:BG/MPS VP的实现技术分析12。1VN技术概述VN(Vrua Pritewor)是基于公网,利用隧道、加密等技术,为用户提供的虚拟专用网络,它给用户一种直接连接到私人局域网的感觉。 。 传统P组网方式传统VN组网方式分成两种,一种是专线V,一种是基于客户端设备的PN (CEase VPN)。 专线VP使用DDN电路或者虚电路(如TM VC、FR PVC 等)连接客户的站点,形成一个叠加式的二层VPN网络。这种方式的VPN,成本高、建设周期长、网络拓展性不好,并且可管理性差。 CPEbasdVN:其V
9、P功能都集成在各种各样的PE设备之中,运营商的公网为客户提供透明的数据传输。因为VPN是跨越不可信任的公网构建而成的,所以一般PEbaeVP都采用隧道、加密、认证等方式来防止数据被复制、篡改和丢失。这种方式的PN,其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VN,同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响. 2. Provie rovsond VPN(PPVPN):随着通信技术的不断发展,特别是MPLS技术的出现,基于运营商网络的P,即P-VP应运而生。PN整个操作是作为一个运营商的外包资源实现在网络上,而不是在客户端设备上.这种方式的VN,降低了客户的投入,增加
10、了运营商的收入,同时又具有较好的网络拓展性、可管理性,因而赢得了越来越多客户和运营商的青睐。基于MPLS的PN就属于PPN。1。22、PLVP简介PLS(MultiProlLb Sitch,多协议标签交换)是由T提出的新一代IP骨干网络交换标准,是一种集成式的IP Over TM技术。它融合了P路由技术灵活性和A交换技术简洁性的优点,在面向无连接的IP网络中引入了MPLS面向连接的属性,提供了类似于虚电路的标签交换业务。 PLS VPN有三种类型的路由器,E路由器、路由器和P路由器。其中,E路由器是客户端路由器,为用户提供到PE路由器的连接;E路由器是运营商边缘路由器,也就是MPLS网络中的标
11、签边缘路由器(LER),它根据存放的路由信息将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;路由器是运营商网络主干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VN数据进行透明转发,路由器只维护到E路由器的路由信息而不维护VP相关的路由信息 根据PE路由器是否参与客户的路由,MPSVPN分成Laer3 MPLS VPN和Laye2 MPLSVPN。其中ayer PLSVPN遵循RFC2547bis标准,使用BG在P路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为GP/LS PN
12、。23、BPMPL VP中几个重要的概念1。 RFBG/MPLS VP的安全举措之一就是路由隔离和信息隔离,它是通过PN路由转发(VPN Rtig &Frwarding:VRF)表和MPLS中的LP来实现的。在P路由器上,存在有多个VRF表,这些VRF表是和PE路由器上的一个或多个子接口相对应的,用于存放这些子接口所属VPN的路由信息。通常情况下,VRF表中只包含一个PN的路由信息,但是当子接口属于多个VN时,其所对应的VRF表中就包含了子接口所属的所有VN的路由信息。 对于每一个VF表,都具有路由区分符(Route Distingr:R)和路由目标(Roue art:T)两大属性。.RDVN
13、中IP地址的规划是由客户自行制订的,因而有可能会出现客户选择在RF191中定义的私有地址作为他们的站点地址或者不同的PN使用相同的地址域,也就是所谓的地址重叠现象。地址重叠的后果之一就是BGP无法区分来自不同VP的重叠路由,从而导致某个站点不可达。 为了解决这个问题,GP/ML VPN除了采用在路由器上使用多个VRF表的方法,还引入了RD的概念。RD具有全局唯一性,通过将个字节的R作为I地址前缀的扩展,使不唯一的4地址转化为唯一的VPNIPv4地址。VNIPv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RD和VRF表之间建立了一一对应的关系。通常情况下,对于不同路由器上
14、属于同一个PN的子接口,为其所对应的RF表分配相同的R,换句话说,就是为每一个VP分配一个唯一的D。但是对于重叠VPN,即某个站点属于多个VPN的情况,由于E路由器上的某个子接口属于多个VN,此时,该子接口所对应的VRF表只能被分配一个D,从而多个P共享一个RD。 3 RT的作用类似于BG中扩展团体属性,用于路由信息的分发。它分成Impot 和Ex RT,分别用于路由信息的导入、导出策略。当从VR表中导出P路由时,要用Expor RT对N路由进行标记;在往VRF表中导入VN路由时,只有所带RT标记与F表中任意一个Impor RT相符的路由才会被导入到VRF表中。RT使得路由器只包含和其直接相连
15、的P的路由,而不是全网所有VPN的路由,从而节省了PE路由器的资源,提高了网络拓展性。 RT具有全局唯一性,并且只能被一个PN使用.通过对Import T和xport T的合理配置,运营商可以构建不同拓扑类型的PN,如重叠式VPN和Hubadspke N。1.24、BGP/MLS VP的体系结构1.BGP/PLS VPN的体系结构体系结构主要分成数据面和控制面。数据面定义了VN数据的转发过程;控制面则定义了SP的建立和P路由信息的分发过程。在此,我们主要讨论一下数据的转发过程和路由信息的分发过程。 2. 数据转发过程在MPLS网络中传输的VPN数据采用外标签(又称隧道标签)和内标签(又称VPN
16、标签)两层标签栈结构,它们分别对应于两个层面的路由:域内路由和VPN路由。域内路由即MPLS中的LSP是由PE路由器和P路由器通过运行标签分发协议(be Distrbuo Ptocl:D)或资源预留协议(Reore Reervatio Protocol:RS)建立的,它所产生的标签转发表用于VP分组外层标签的交换。路由是由PE路由器之间通过运行MPiP建立的,该协议跨越骨干网的P路由器分发PN标签形成VN路由。 在路由器上除了RF表外,还有MPL路由表,该表用于存放V标签和子接口的对应关系,为出口PE路由器到CE路由器之间的数据转发提供依据具体数据转发过程如下:当路由器通过某个子接口将一个VP
17、N分组发给入口PE路由器后,PE路由器查找该子接口对应的VF表,从VF表中得到VN标签、初始外层标签以及到出口P路由器的输出接口。当VP分组被打上两层标签之后,就通过输出接口发送到相应上的第一个P路由器。骨干网中路由器根据外层标签逐跳转发VN分组,直至最后一个P路由器弹出外层标签,将只含有VPN标签的分组转发给出口路由器。出口PE路由器根据VPN标签,查找MPS路由表得到对应的输出接口,在弹出VPN标签后通过该接口将VN分组发送给正确的CE路由器,从而实现了整个数据转发过程。特别的,当出口PE路由器和入口PE路由器是同一个路由器时,E路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路
18、由器。 . 路由信息分发过程在MPLSVN中,因为采用了两层标签栈结构,所以路由器并不参与VPN路由信息的交互,客户路由器是通过CE和E路由器之间、E路由器之间的路由交互知道属于某个PN的网络拓扑信息。 (1)EPE路由器之间通过采用静态缺省路由,或采用IGP(RIPv2、OSPF)等动态路由协议,或建立EBGP连接等方式进行路由信息的交互。 当入口P路由器从某个子接口接收到来自C路由器的路由信息时,除了将该路由导入对应的RF表,E路由器还要为该路由分配一个VP标签。该P标签用以识别接收路由信息的子接口,因此从同一个子接口接收到的路由信息将被分配同样的VPN标签,从而PE路由器可以将收到的VN
19、分组转发到合适的子接口。 (2)PE之间通过采用MPiG进行路由信息的交互。PE路由器通过维持BGP网状连接或使用路由反射器来确保路由信息被分发给所有的P路由器。当入口P路由器分发路由信息时,将同时携带路由所在VRF表的RD,即将路由的IPv地址转化为PN-4地址。分发的具体路由信息包括该路由的NIPv地址前缀、下一跳BP即入口E路由器的PIPv4地址(其中RD=)、分配给该路由的VPN标签和该路由所在F表的Epr R。该路由信息我们称为带有标签的PIPv4路由信息。 当出口P路由器收到路由信息时,将查看该路由的R,如果和其任意VF表中任意一个mo RT相符时,就将该路由存入VPPv4RI表。
20、在进行路由选择之后,将最优路由中的VNIP4地址转化成IPv4地址,即去掉地址中的R,导入到相应的VRF表中。1.25、跨越多个运营商网络的MPLS VPN的实现在某个客户的MPS/VPN跨越多个运营商网络的情况下,如果假定运营商所用地址域不重叠,那么可以通过下述方法来解决:为了分发带有标签的Iv4路由信息,在边缘路由器上建立EBG连接;为了分发带有标签的VPNI路由信息,在属于不同运营商的E路由器之间建立多跳的EBGP连接。值得注意的是,这种用于不同运营商之间的EGP解决方案同样适用于一个具有多个A值的运营商。.、结束语 1. BP/MLSVPN的特点 作为PPVPN,提高了用户网络管理效率
21、,降低了用户在网络管理方面投入的费用。解决了纯三层IP VPN所不能解决的地址重叠和重叠PN的问题. 具有较好的网络拓展性,解决了传统VN在实现用户节点全网状连接时的N2问题。 不需要采用加密、认证等手段,通过路由隔离、地址隔离等多种方式,实现与传统PN相符合1。3什么是SL PNSSL VPN 之RAP“遥访门”技术白皮书远程访问办公室内部网络资源是各个公司的部门最头疼的一件事情,而且这样的头疼由来已久了。 每天都有成千上万的网络管理员会收到大量要求解决他们网络N 安装设置问题的用户电话。被搞得焦头烂额的用户在他们的机器上执行了一些操作,使机器突然之间不能与他们的ISecPN连接了。是因为他
22、们外出所在酒店或旅馆的NT 或防火墙设置问题吗?这些设置总是千变万化,公司管理员们真的已经厌倦了做这些费力不讨好的事。 对于改变防火墙和内部结构设置,为了与外部人员区分开,公司网络管理员要花费大量时间和精力给公司内部员工进行N 客户端配置工作。如何让外出公干的销售人员成功实现安全远程内部访问着实让网管人员费了些心思,如何让他们使用自己的电脑实现在家时查阅ema 或访问公司内部重要数据呢?是否管理员要发给他们一张CD 并指导他们如何进行安装设置呢?直到现在,许多公司的网管人员还在被这个问题纠缠着,最近就有一个网络管理员这样说:“要在员工家里的计算机上安装PN 客户端必须做的工作实在是太多了,为此
23、我们不得不再发给员工另外一台配置好的电脑,让它专门在家里使用。这样做的花费比指导员工自行安装来得要少些.”公司企业需要易于使用的安全远程访问连接,看起来IPSec VN实在是太麻烦了!他们不能轻而一举地给客户或是合作伙伴配置让他们安全访问内部数据。我们的最终目的就是在简单易用的前提下提供高性能的安全远程数据访问能力.公司该如何应对这种情况呢?答案到底在哪里?SSV 之RAP“遥访门”1.3.1 SL VPN的技术演变a) 演化过程随着应用程序从/S 结构向W 的迁移,企业必须面对一个新的挑战,就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近2 年间,用户和管理层听
24、到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在7 年代,人们对远程访问概念几乎等同于从远端的办公地点访问应用程序,这需要设置非常昂贵的WA 网并租用连接线路。到了80 年代,一小部分用户可以使用调制解调器直接拨号到mode bnks 或他们自己的PC 上,但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候,在家使用个人电脑才刚刚成为主流,远程访问需求还不是很大。随着0 年代的来临, 在家用PC盛行的同时,移动电脑开始显现,在家办公也开始兴起.公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑,他们需要实时访问公司内部信息,设立IPSe VP可以保护用户远
25、程访问。它可以提供足够的安全性,但是问题是安装和维护相当麻烦。任何在C 上的改变对PN而言可能都是一场灾难,最终用户不得不硬着头皮忍受这些变化,因为他们别无选择。即使是现在,你也很难找到一个用户,他的VN 一点儿问题也没有.从管理员的角度来讲,使用IPSec PN不仅仅意味着要对客户端进行安装和调试,而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常,有时候会出现连接断开的现象,改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构,其管理复杂性可以忍受;当T 管理部门不能完全控制时,管理复杂性就要成倍增加。这种情况
26、同样发生在本地NAT 和防火墙对合作伙伴,在家里或在酒店。 如今,公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN和租用N线路对于不经常更改网络结构的用户来说是非常好的选择.如果情况并非如此,用户就需要另做选择。现在,已经有公司开始考虑使用架构在因特网上的SS 协议,在不破坏已有网络布局的前提下进行安全远程访问。SL是通过因特网进行加密传输保护一种常用方法,许多公司对他们的内部网和外部网执行了SSL设置,通过SSLVP 进行访问控制.b) SS VPN 的定义SLVP 的发展对现有SS 应用是一个补充,它增加了公司执行访问控制和安全的级别和能力。 SLVP 还对
27、那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲,拨号可以保证相对安全性,因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力,因为客户端软件是需要安装的。但是,以这样的安全策略和属性, 不可否认,黑客入侵、安全威胁、身份欺诈呈增长趋势.现在,使用LVPN,安全特性已经发生了改变,人们可以通过浏览器访问应用程序。如果把SSL 和VPN 两个概念分开,大多数人都清楚他们的含义,但是有多少人知道他们合在一起的意思呢?从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。 SSL 通过加密方式保护在互联网上传输的数
28、据安全性,它可以自动应用在每一个浏览器上。这里,需要提供一个数字证书给eb 服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL, 那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SL 进行加速以避免流量瓶颈。通常SL 加速装置为热插拔装置。 VP 则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN总是和ec 联系在一起,因为它是VP 加密信息实际用到的协议.IPSec 运行于网络层,ISec VP 则多用于连接两个网络或点到点之间的连接。 以上我们简要介绍了S和VPN
29、,现在我们要了解一下SSL和VPN是怎样结合在一起的?大量理论可以证明SS的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止,SL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术与复杂的IPSec VN相比,SSL通过简单易用的方法实现信息远程连通.任何安装浏览器的机器都可以使用SLVN, 这是因为L 内嵌在浏览器中,它不需要象传统PSecP一样必须为每一台客户机安装客户端软件.这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。c) 什么是SSL VP? 很多因素都可以证明SSL VP
30、是解决远程访问问题的救星。随着越来越多的公司挣扎于如何权衡访问控制、安全和用户易用, SLVPN 已经给出了最好的答案。在最近nfontcs 的一份调查报告中,他们指出:“到23 年,5% 的移动用户会使用N,到05年,这个数字将上升到74;增加的部分大多来自S VPN, 因为它可以避免客户端安装和管理所带来的麻烦.Gate 副总裁Jon Gra 在最近的一份研究报告中为S 做出了精彩评述:” 作为传统VPN的升级,那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用L N 作为一项新的投资。现在,许多企业已经开始使用这项基于SL 技术,简单、易用而且不需要高额费用的
31、VPN 解决方案部署他们的系统了。“SS VP 的价值包括许多方面,最主要的是提高访问控制能力,安全易用以及高额的投资回报率。 访问控制SS PN 对访问控制更加有效,因为实施了用户集中化管理。所有的远程访问都是通过SL P控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部员工,合作伙伴或客户。所有访问被限制在应用层,而且可以将权限细分到一个U 或一个文件。而使用IPec VPN, 安全权限只局限到网络。1。2 SL PN 之AP“遥访门Remote cess a(遥访门系统)安全的远程访问解决方案介绍RemoteAcces Pass(遥访门系统) 能够实现基于浏览器来
32、安全地访问企业局域网内部的任何一台Winows PC.键盘、鼠标以及显示界面的变化被大比例的压缩并加密后传输。使用宽带的用户能够逼真地得到“身临其境”式的体验,即使通过拨号连接,用户对于它那令人赞叹的优异性能也会感到满意。 Remot Acc Ps(遥访门系统) 包括以下功能: 远程控制:基于任何一个浏览器都可以运行自适应程序,通过它就能够交互访问企业内网中的桌面应用(哪怕这个应用不是基于WB的)。 文件传输:在计算机之间快速地传输文件、文件夹和共享目录资源,而且非常简便易用。上传下载文件速度等同于TP。远程开机:用户可以远程唤醒位于企业内网中自己的主机.Java JS: 动态运行在任何远程终
33、端上的JVM网页. Jaapplt:能够运行在任何远程终端上的遥控访问连接,远程用户端支持几乎所有的操作系统,包括Window、Mac或者Unix PC。 Remote Acesass (遥访门系统) 的整体结构由以下五部分组成: 企业内网主机:处于内网中的目标机控制权属于用户自己,由已被授权的用户注册目标计算机在注册过程中,将由遥访门基于RS算法产生证书给目标计算机,连同目标计算机的私钥存于目标计算机中,以认证目标计算机和用户的所属关系及建立SSL安全通道。远程终端:在用户端,工作人员需要打开浏览器,访问企业的公共IP地址,输入用户名和密码,然后点击所要连接的目标主机名。远程用户端会自动向A
34、模块发出一个基于SL协议的加密请求.Ap模块:侦听外来的连接请求,并把他们映射给注册的目标机。通过远程浏览器动态运行JP与该模块中的aa selet的对应交互, 实现认证及文件的传输。同时,当一个远程遥控连接完成,App会分配一个eion任务1。4 IPec VPN与 SL VPN 优势与劣势SLVP与IPSecVP是目前流行的两类Intet远程安全接入技术,它们具有类似功能特性,但也存在很大不同 SL的“零客户端解决方案被认为是实现远程接入的最大优势,这对缺乏维护大型IPec配置资源的用户来说的确如此。但S方案也有不足, 它仅支持以代理方式访问基于eb或特定的客户端服务器的应用。由服务器直接
35、操纵的应用,如et eei以及一些客户书写的应用程序,将无法进行访问。IPSc方案安全级别高基于Iteet实现多专用网安全连接,IPecPN是比较理想的方案.IPc工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。 IPScVPN要求在远程接入客户端适当安装和配置Ie客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。IPSec VPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装,不需要用户参与。V服务
36、器能够为终端用户接入设备自动安装和配置客户端软件包,因而无论对网管还是终端用户,安装过程都大为简化。ISecVN应用优势 SSL用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Wb应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SL网关或其它办法来支持非Web应用,但实现成本高且复杂,难以实现。IPSec VPN能顺利实现企业网资源访问,用户不一定要采用Wb接入(可以是非Web方式),这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案. PSec方案能实现网络层连接,任何LA应用都能
37、通过PSec隧道进行访问,因而在用户仅需要网络层接入时,IPSec是理想方案。如今有的机构同时采用IPc和S远程接入方案,IT主管利用IPScN实现网络层接入,进行网络管理,其他人员要访问的资源有限,一般也就是电子邮件、传真,以及接入公司内部网(eb浏览),因而采用SS方案.这正是充分利用了IPSec的网络层接入功能。Iec VPN与SL VN优劣比较 PSecVPN和SS VPN各有优缺点。IPec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SS VPN的“零客户端架构特别适合于远程用户连接,用户可通过任何Wb浏览器访问企业网We应用。SS VPN存在一定安全风
38、险,因为用户可运用公众Intrnt站点接入;IPSe 需要软件客户端支撑,不支持公共Inern站点接入,但能实现Web或非We类企业应用访问。 Mta rup认为,不能简单地给IPSec与SS方案的优劣下定论。客户在关注应用方案本身的同时,还应考虑远程机器外围设备的安全性,如是否配置有个人防火墙和反病毒防护系统I主管需要综合评估商务应用需求,以决定采纳哪类VPN策略。2.0 MPLS VP技术的原理2.1 PS提出的意义传统的IP数据转发是基于逐跳式的,每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口,这是个繁琐又效率低下的工作,主要的原因是两个:、有些路由的查询必须
39、对路由表进行多次查找,这就是所谓的递归搜索;2、由于路由匹配遵循最长匹配原则,所以迫使几乎所有的路由器的交换引擎必须用软件来实现,用软件实现的交换引擎和TM交换机上用硬件来实现的交换引擎在效率上无法相抗衡当今的互联网应用需求日益增多,对带宽、对时延的要求也越来越高.如何提高转发效率,各个路由器生产厂家做了大量的改进工作,如Csco在路由器上提供CEF(iso Eprss Fwadin)功能、修改路由表搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。IP和T曾经是两个互相对立的技术,各个IP设备制造商和TM设备制造商都曾努力想吃掉对方,想I一统天下,或者一家独秀!但是最终是这两种技
40、术的融合,那就是ML(MuiPtcLae Siching)技术的诞生!PLS技术结合和IP技术信令简单和AM交换引擎高效的优点!. PLS技术的实现细节2.21标签结构IP设备和TM设备厂商实现MPLS技术是在各自原来的基础上做的,对于IP设备商,它修改了原来P包直接封装在二层链路帧中的规范,而是在二层和三层包头之间插了一个标签(Lbl),而ATM设备制造商利用了原来M交换机上的VP/VCI的概念,在使用Lae来代替了VI/CV,当然T交换机上还必修改信令控制部分,引入了路由协议,AT交换使用了路由协议来和其他设备交换三层的路由信息。标签的结构入下: 20比特的LAL字段用来表示标签值,由于标
41、签是定长的,所以对于路由器来说,可以分析定长的标签来做数据包的转发,这是标签交换的最大优点,定长的标签就意味这可以用硬件来实现数据转发,这种硬件转发方式要比必须用软件实现的路由最长匹配转发方式效率要高得多! 比特的EXP用来实现QOS1比特S值用来表示标签栈是否到底了,对于VP,等应用将在二层和三层头之间插入两个以上的标签,形成标签栈。 8比特TTL值用来防止数据在网上形成环路。 这样完整的带有标签的二层帧就成了如下形式: 在ATM信元模式下,信元的结构如下形式:2.22LS设备的体系结构通过修改,能支持标签交换的路由器为S(LabelSwtchRou),而支持PS功能的TM交换机我们一般称之
42、为AMLS。 LR设备的体系结构如下: SR的体系结构分为两块:a) 控制平面(ontolPlane)该模块的功能是用来和其他SR交换三层路由信息,以此建立路由表;和交换标签对路由的绑定信息,以此建Lal Informaion Tle(LIB)标签信息表同时再根据路由表和LI生成Forwrding Informaion able(IB)表和LabeForardin nomio able()表。控制平面也就是我们一般所说的路由引擎模块!b)数据平面(Daa Plae)数据平面的功能主要是根据控制平面生成的FIB表和FIB表转发包和标签包。 对于控制平面中所使用的路由协议,可以使用以前的任何一种,
43、如OPF、RI、BG等等,这些协议的主要功能是和其他设备交换路由信息,生成路由表。这是实现标签交换的基础.在控制平面中导入了一种新的协议-LDP,该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签,由此生成LIB表,再把路由条目和本地标签的绑定通告给邻居LSR,同时把邻居LSR告知的路由条目和标签帮定接收下来放到LB表里,最后在网络路由收敛的情况下,参照路由表和IB表的信息生成IB表和LIB表。具体的标签分发模式如下叙述。223标签的分配和分发1) 上面叙述到了,MPS技术是技术和AT技术的融合。LSR和AML上实现标签的生成和分发是有点不同的。a)包模式(aket Mde)下
44、的标签的分配和分发对于实现包模式MPS网络中,是下游LR独立生成路由条目和标签的绑定,并且是主动分发出去的. 如上图,所有L上启动了LP协议。以LSRB为例,它已经通过路由协议获得网络的路由了,一旦启动LD协议,LSRB立即查找路由表,如果X网络的路由是由IGP路由协议学到的,则在LIB表中为通向X网络的路由生成一个本地标签25,由于LR-和LSR、LSR-C、SE形成了P邻居关系,所以下游LSB会主动给所有的邻居发送这个X=5的路由条目和标签的绑定!A、SR-E、LSC会把该路由条目和标签的绑定放置到本地的IB表中,再结合本地的路由表,在IB表中生成有关X网络的“网络地址-出标签条目,在LB
45、中生成有关X网络的“进标签-出标签条目。所有的LR上都如此操作。最终的结果使整个P网络内部所有LS上达到路由表、LIB表、FIB表、LFB表的动态平衡。如果LSA接收到要去X网段的数据,由于LR-处在PLS网络的边缘,必须查找FIB表,对接收到的I包,做标签插入操作对于LR-B,LSRC则纯粹是分析标签包,对包头的标签做转换,在转发标签包而已。数据到了LSD,该边缘LS会去掉标签包中的标签,再对恢复的P包做转发!如下图:b)信元模式(el Mod)下的标签分配和分发在信元模式下,下游ATM-L接收到了上游ATM-LR标签绑定请求后,下游受控分配标签,被动向上游分发标签。如下图最上游的LSA向TM-SRB发起对网络X的标签求情,T-SRB再向TMLSR-C发请求,最后请求到达SR,LRD生成本地对X网络的标签37,把该标签告诉ATM-LSR,C做同样操作,这样一步一步到达SR-。最终生成一条从A-B-C-D的LP(Labe SwitchPath)。这样如果收到要到X网络的数据,A就把IP数据包分割成带有标签的信元,通过A接口发送到B,接下来B和C就纯粹做AM信元的转发,到了D后再把信元组合成P数据包,发向网络X。在此要强调的如果要组建以ATM交换