當前主流、最新技術回眸(三)
三、VPN技術
VPN((Virtual Private Network,虛擬專用網)技術因其廉價的遠端通訊成本和較高的安全性受到了各界使用者的普遍歡迎,在近幾年中得到長足的發展。除了以前已有的PPTP VPN、L2TP IPSEC VPN外,目前也不斷湧現新的VPN通訊技術,如MPLS VPN、SSL VPN等。我們首先要清楚什麼是VPN?VPN的主要優勢是什麼?的是這幾種VPN的特點,相互之間的區別在哪裡?
1. VPN定義
虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網路服務提供商),在公用網路中建立專用的資料通訊網路的技術。在虛擬專用網中,任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。
IETF草案理解基於IP的VPN為:“使用IP機制模擬出一個私有的廣域網”,是通過私有的隧道技術在公共資料網路上模擬一條點到點的專線技術。所謂虛擬,是指使用者不再需要擁有實際的長途資料線路,而是使用Internet公眾資料網路的長途資料線路。所謂專用網路,是指使用者可以為自己制定一個最符合自己需求的網路。
IETF草案理解基於IP的VPN為:“使用IP機制模擬出一個私有的廣域網”,是通過私有的隧道技術在公共資料網路上模擬一條點到點的專線技術。所謂虛擬,是指使用者不再需要擁有實際的長途資料線路,而是使用Internet公眾資料網路的長途資料線路。所謂專用網路,是指使用者可以為自己制定一個最符合自己需求的網路。
2. VPN的主要優勢
l 節約成本:主要表現在移動通訊費用的節省(只需接入本地ISP);專線費用的節省(無需租用專線);支援費用的節省(允許單一WAN埠多種用途)等幾個方面。
l 增強的安全性:可通過隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、金鑰管理技術(Key Management)、身份認證技術(Authentication)安全技術保證VPN通訊安全。
l 廣泛的網路協議支援:支援IP、IPX、NetBEUI、AppleTalk、DECNet和SNA等當前應用的協議。
l 完全控制主動權:企業可以利用ISP的設施和服務,同時又完全掌握著自己網路的控制權。
l 支援新興應用:如IP語音,IP傳真,還有各種協議,如RSIP、IPv6、MPLS、SNMPv3等 。
2. 主要隧道協議
u 點對點隧道協議(PPTP)
點對點隧道協議(PPTP,Point-to-point Tunneling Protocol)是一種用於讓遠端使用者撥號連線到本地ISP,通過因特網安全遠端訪問公司網路資源的技術。PPTP對PPP協議本身並沒有做任何修 改,只是使用PPP撥號連線,然後獲取這些PPP包,並把它們封裝進GRE頭中。PPTP使用PPP協議的PAP或CHAP(MS-CHAP)進行認證, 另外也支援Microsoft公司的點到點加密技術(MPPE)。PPTP支援的是一種Client-LAN型隧道的VPN實現。
u 第二層轉發(L2F)
L2F(Layer 2 Forwarding: 第二層轉發)協議是由Cisco公司在1998年5月提交給IETF的。它可以在多種介質(如AMT、幀中繼、IP網)上建 立多協議的安全虛擬專用網,將鏈路層的協議(如HDLC、PPP、ASYNC等)封裝起來傳送。
L2F 遠端使用者能夠通過任何撥號方式接入公共IP網路,首先按常規方式撥號到ISP的接入伺服器(NAS),建立PPP連線:NAS根據使用者名稱等資訊,發起第二 重連線,呼叫使用者網路的伺服器。因為在資料加密方面的缺陷,目前基本上不用了,而是採用了技術更為先進L2TP協議。
u 二層隧道協議(L2TP)
L2TP協議的 前身是Microsoft公司的點到點隧道協議(PPTP)和Cisco公司的二層轉發協議(L2F)。 因為PPTP協議在實現上存在著重大安全隱患,有研究表明其安全性甚至比PPP還要弱,因此不適用於需要一定安全保證的通訊。L2F協議是一種安全通訊 隧道協議,但它的主要缺陷是沒有把標準加密方法包括在內,因此它也已經成為一個過時的隧道協議。IETF的開放標準L2TP協議結合了PPTP協議和 L2F的優點,特別適合組建遠端接入方式的VPN,已經成為事實上的工業標準。
3. VPN的主要型別
按VPN連線方式可分為:撥號VPN(VDPN)和專線VPN。撥號VPN主要是基於PPTP和L2F隧道協議;專線VPN採用專線ADSL、Cable Modem或其它專線方式連線。
按VPN應用的型別來分,VPN的應用業務大致可分為3類:IntranetVPN(內聯VPN)、Access VPN(接入VPN)與Extranet VPN(外聯VPN)三種。
按VPN的部署模式可分為:端到端(End-to-End)模式、供應商―企業(Provider-Enterprise)模式和內部供應商(Intra-Provider)模式三種。
按所用裝置可分為:路由器VPN、交換機VPN和防火牆VPN等幾類。
按VPN應用的型別來分,VPN的應用業務大致可分為3類:IntranetVPN(內聯VPN)、Access VPN(接入VPN)與Extranet VPN(外聯VPN)三種。
按VPN的部署模式可分為:端到端(End-to-End)模式、供應商―企業(Provider-Enterprise)模式和內部供應商(Intra-Provider)模式三種。
按所用裝置可分為:路由器VPN、交換機VPN和防火牆VPN等幾類。
4. IPSec VPN、MPLS VPN和SSL VPN
IPSec(Internet Protocol Security,因特網安全協議)VPN 技術在IP 傳輸上通過加密隧道,在用公網傳送內部專網的內容的同時,保證內部資料的安全性,從而實現企業總部與各分支機構之間的資料、話音、視訊業務互通。
IPSec安全協議是VPN的基本加密協議,它為資料在通過公用網路(如因特網)在網路層進行傳輸時提供安全保障。通訊雙方要建立IPSec通道,首先要採用一定的方式建立通訊連線。
在IPSec協議中,一旦IPSec通道建立,所有在網路層之上的協議在通訊雙方都經過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM等,而不管這些通道構建時所採用的安全和加密方法如何。
IPSec VPN主要優勢表現在:經濟性、靈活性、應用廣泛性、多業務性、高安全性、可管理性,支援冗餘設計、通道分離和動/靜態路由等方面。
IPSec安全協議是VPN的基本加密協議,它為資料在通過公用網路(如因特網)在網路層進行傳輸時提供安全保障。通訊雙方要建立IPSec通道,首先要採用一定的方式建立通訊連線。
在IPSec協議中,一旦IPSec通道建立,所有在網路層之上的協議在通訊雙方都經過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM等,而不管這些通道構建時所採用的安全和加密方法如何。
IPSec VPN主要優勢表現在:經濟性、靈活性、應用廣泛性、多業務性、高安全性、可管理性,支援冗餘設計、通道分離和動/靜態路由等方面。
IPSec VPN 的顯著特點就是它的安全性,這是它保證內部資料安全的根本。在VPN 交換機上,通過支援所有領先的通道協議、資料加密、過濾/防火牆、通過RADIUS、LDAP和 SecurID實現授權等多種方式保證安全。同時,VPN 裝置提供內建防火牆功能,可以在VPN通道之外,從公網到私網介面傳輸流量。此外,該技術還可通過RADIUS、 PAP、CHAP、Tokens、X.509、 LDAP 和 SecurID等認證方式。
IPSec的主要不足主要表現在:安全效能高,但通訊效能較低(如果外出辦公的使用者在公司客戶或合作伙伴的防火牆後面,IPSec VPN就會阻止他們重新連線到企業資源);需要客戶端軟體(每一客戶端安裝特殊用途的客戶端軟體,用這些軟體來替換或者增加客戶系統的TCP/IP堆疊,可能帶來了與其他系統軟體之間相容性問題的風險 );安裝和維護困難;實際全面支援的系統比較少(IPSec安全協議客戶的計算機通常只執行基於Windows系統,很少有執行其它PC系統平臺的,如Mac、Linux、Solaris 等)。
IPSec的主要不足主要表現在:安全效能高,但通訊效能較低(如果外出辦公的使用者在公司客戶或合作伙伴的防火牆後面,IPSec VPN就會阻止他們重新連線到企業資源);需要客戶端軟體(每一客戶端安裝特殊用途的客戶端軟體,用這些軟體來替換或者增加客戶系統的TCP/IP堆疊,可能帶來了與其他系統軟體之間相容性問題的風險 );安裝和維護困難;實際全面支援的系統比較少(IPSec安全協議客戶的計算機通常只執行基於Windows系統,很少有執行其它PC系統平臺的,如Mac、Linux、Solaris 等)。
SSL VPN的SSL是一種通訊安全協議,由記錄協議、握手協議、金鑰更改協議和告警協議組成,共同為應用訪問連線提供認證、加密和防篡改功能。它通過加密方式保護在網際網路上傳輸的資料安全性,可以自動應用在每一個瀏覽器上。
作為應用層協議,SSL使用公開金鑰體制和X.509數字證書技術保護資訊傳輸的機密性和完整性。SSL安全功能元件包括三部分:認證(在連 接兩端對伺服器或同時對伺服器和客戶端進行驗證),加密(對通訊進行加密,只有經過加密的雙方才能交換資訊並相互識別),完整性檢驗(進 行資訊內容檢測,防止被篡改)。
過去,VPN 總是和IPSec 聯絡在一起,因為它是VPN 加密資訊實際用到的協議。IPSec 執行於網路層,IPSec VPN則多用於連線兩個網路或點到點之間的連線;而SSL VPN則執行於OSI的應用層。由此可見,SSL VPN的優勢更加明顯。也正因如此,Microsoft公司也即將在新的系統中通過收購Whale公司把所支援的IPSec VPN轉向SSL VPN了。
作為應用層協議,SSL使用公開金鑰體制和X.509數字證書技術保護資訊傳輸的機密性和完整性。SSL安全功能元件包括三部分:認證(在連 接兩端對伺服器或同時對伺服器和客戶端進行驗證),加密(對通訊進行加密,只有經過加密的雙方才能交換資訊並相互識別),完整性檢驗(進 行資訊內容檢測,防止被篡改)。
過去,VPN 總是和IPSec 聯絡在一起,因為它是VPN 加密資訊實際用到的協議。IPSec 執行於網路層,IPSec VPN則多用於連線兩個網路或點到點之間的連線;而SSL VPN則執行於OSI的應用層。由此可見,SSL VPN的優勢更加明顯。也正因如此,Microsoft公司也即將在新的系統中通過收購Whale公司把所支援的IPSec VPN轉向SSL VPN了。
MPLS(Multiprotocol Label Switching,多協議標記交換) VPN是一種基於MPLS技術的IP-VPN,是在網路路由和交換裝置上應用MPLS技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網路(IP VPN),可用來構造寬頻的Intranet、Extranet,滿足多種靈活的業務需求。採用MPLS VPN技術可以把現有的IP網路分解成邏輯上隔離的網路,這種邏輯上隔離的網路的應用可以是千變萬化的:可以是用在解決企業互連、政府相同/不同部門的互連、也可以時用來提供新的業務—如為IP電話業務專門開闢一個VPN,也可以為用MPLS VPN為IPv6提供開展業務的可能。
MPLS VPN也分為二層MPLS VPN與三層MPLS VPN(MPLS L3 VPN)。三層MPLS VPN基於IETF RFC2547bis標準,而二層MPLS VPN是指IETF Draft Kompella或IETF Draft Martini標準。一般而言,MPLS/BGP VPN指的是三層VPN。
MPLS VPN也分為二層MPLS VPN與三層MPLS VPN(MPLS L3 VPN)。三層MPLS VPN基於IETF RFC2547bis標準,而二層MPLS VPN是指IETF Draft Kompella或IETF Draft Martini標準。一般而言,MPLS/BGP VPN指的是三層VPN。
MPLS L2VPN就是在MPLS網路上透明傳遞使用者的二層資料。從使用者的角度來看,這個MPLS網路就是一個二層的交換網路。對於MPLS二層VPN,網路運營商負責提供給二層VPN使用者提供二層的連通性,不需要參與VPN使用者的路由計算。在提供全連線的二層VPN時,和傳統的二層VPN一樣( 如ATM PVC提供的VPN),存在N方問題,每個VPN的CE到其它的CE都需要在CE與PE之間分配一條連線。
MPLS L3 VPN通過和Internet路由之間配置一些靜態路由的方式,可以實現VPN的Internet上網服務,還可以為跨不同地域的、屬於同一個AS但是沒有自己的骨幹網的運營商提供VPN互連,即提供“運營商的運營商”模式的VPN網路互連。對於三層MPLS VPN來說,由於路由協議和信令協議的限制,面前只支援純IP的業務,而二層MPLS VPN的解決方案由於採用二層的透傳技術,對於客戶側的很多三層協議是透明的,其中包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。
MPLS VPN的主要優勢表現在以下幾個方面:
MPLS L3 VPN通過和Internet路由之間配置一些靜態路由的方式,可以實現VPN的Internet上網服務,還可以為跨不同地域的、屬於同一個AS但是沒有自己的骨幹網的運營商提供VPN互連,即提供“運營商的運營商”模式的VPN網路互連。對於三層MPLS VPN來說,由於路由協議和信令協議的限制,面前只支援純IP的業務,而二層MPLS VPN的解決方案由於採用二層的透傳技術,對於客戶側的很多三層協議是透明的,其中包括:IPv4、IPv6、IPX、DECnet、OSI、SNA等。
MPLS VPN的主要優勢表現在以下幾個方面:
u 安全性高
MPLSVPN成員資格由服務供應商決定,對VPN組未經過認證的訪問被裝置配置所拒絕。通過對不同使用者間、使用者與公網間的路由資訊進行隔離,採用MPLS作為通道機制實現透明報文傳輸,具有與FR和ATM 相類似級別的安全性。
u 易擴充套件性
網路中可以容納的VPN數目很大,服務啟用只需要一次性地在使用者邊(CE)和服務供應商邊(PE)裝置進行配置準備就可以讓站點成為某個MPLS VPN組的成員。
u 靈活的控制策略和服務級別協議
可以制定特殊的控制策略,滿足不同使用者的特殊要求,實現增殖服務,目前有差別服務、流量整形和服務級別來保證一定的流量效能。
u 可為使用者節省費用
MPLS VPN能利用公用骨幹網路廣泛而強大的傳輸能力,降低企業內部網路的建設成本。如線路費:價格比租用專線節約;裝置費:使用者只須配備CE裝置,不需專門的VPN閘道器;管理費用:使用者不必進行專門管理維護;人員費用:不必要僱用大量的專業技術人員。
5. IPSec VPN、MPLS VPN與SSL VPN的比較
MPLS VPN與IPSec VPN的比較
SSL VPN與IPSec VPN的比較
未完,轉下篇
本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/25007如需轉載請自行聯絡原作者
茶鄉浪子
相關文章
- 培訓當前相關技術
- 當前主流的單元測試工具
- 當前最火的web開發技術Web
- 當前主流瀏覽器核心有哪幾個瀏覽器
- Java 處理 XML 的三種主流技術及介紹JavaXML
- 當紅開發語言Go,真的是未來的技術主流嗎?Go
- 輸出當前分支的最新commit IDMIT
- 三種主流虛擬化技術的比較(Vmware/Citrix/Microsoft)ROS
- 技術實踐的主流方向
- 10分鐘弄懂當前各主流區塊鏈架構區塊鏈架構
- 別太把技術當回事 也別不把技術當回事
- 當前區塊鏈研究領域的前沿技術和研究方向區塊鏈
- 三種主流動態網頁製作技術比較之我見網頁
- 主流技術之網易雲換膚方案
- 主流無線通訊技術盤點
- 匯出當前域內所有使用者hash的技術整理
- 當前主流Brower/Server架構的軟體所面臨的問題Server架構
- 【主流技術】Mybatis Plus的理解與應用MyBatis
- 淺談Android主流熱修復技術Android
- 當前技術選擇對企業未來造成哪些網路安全威脅?
- 今日技術誰當家?——ThoughtWorks技術雷達討論
- 「技術層面」詳解供應鏈管理平臺主流技術架構方案架構
- php 獲取當前域名和當前協議PHP協議
- 華為網路技術-三層交換技術
- 技術更迭,一往無前
- 【主流技術】Redis 在 Spring 框架中的實踐RedisSpring框架
- [專業術語]淺析當代 LBS 技術
- vue重新整理當前頁面或者當前元件Vue元件
- 連結串列面試題(三)---當前結點前插入一個資料x面試題
- Linux當前當前程式Linux
- 未來的App技術、當前的大前端實踐,一次都給你了APP前端
- 微信域名檢測技術最新解析
- 最新的B/S開發技術 (轉)
- 釋出前的遺憾?三星Note7缺失這項技術
- 微信域名防封技術分享,微信中主流的微信域名防封技術都在這裡!
- Pack:2017年最新技術工具以及技術趨勢調查
- 三星S7鏡頭不再凸起:採用最新感測器技術
- 當金融行業遇上開源技術行業