虚拟专用网(VPN)技术的实现方式

2020-08-10 17:35:08 云杰 113

   

虚拟专用网(VPN)技术的实现方式

  虚拟专用网(VPN)为远程工作提供了一个安全的通道,让人们可以连接远程站点的本地局域网,并存取自己所需的相关资源。

  VPN技术的实现方式有很多种:

  1.链路加密机

  针对具体的链路层协议提供数据加密功能的设备,比如ATM加密机、帧中继加密机、DDN加密机等。

  加密机的特点是必须在链路两端配对使用,比如一个企业租用一条64K的链路,那么必须在链路两端分别部署加密机。实现链路两端的网络之间通信的保密性,但是其组网方式也因此受到限制,不能实现任意两点之间灵活的加密保护。

  2.基于IPSec 的VPN

  这种方式的实现目的是为了解决网络通信的安全性和利用开放的Internet实现异地的局域网络之间的虚拟连接,IPSec VPN既可以在IPv4网络也可以在IPv6网络中部署。是典型的基于IPSec的VPN组网模式,其中体现了移动用户接入VPN(Access VPN)、企业分支机构同总部之间构建的Intranet VPN,以及企业同合作伙伴之间构建的Extranet VPN。

  基于IPSec的VPN不依赖于网络接入方式,它可以在任意基础网络上部署,而且可以实现端到端的安全保护,即两个异地局域网络的出口上只要部署了基于IPSec的网关设备,那么不管采用何种广域网络都能够保证两个局域网络安全地互联在一起。

  3.基于SSL的VPN

  SSL VPN目的是保护HTTP协议,基于SSL也可以构建VPN,因为SSL在Socket层上实施安全措施,因此它可以针对具体的应用实施安全保护,目前应用最多的就是利用SSL实现对Web应用的保护。

  在应用服务器前面需要部署一台SSL服务器,它负责接入各个分布的SSL客户端。这种应用模式也是SSL主要的应用模式,类似于IPSec VPN中的Access VPN模式,如果企业分布的网络环境下只有这种基于C/S或B/S架构的应用,不要求各分支机构之间的计算机能够相互访问,则可以选择利用SSL构建简单的VPN。

  4.基于MPLS的VPN

  MPLS的目的是希望利用三层以太网交换机一次路由多次转发的思想,用来提高路由器的转发性能,其基本的原理则是在报文中增加一个TAG字段,在数据报文经过的路径上的设备根据该标签决定下一步的转发方向。利用MPLS协议,可以在纯粹的IP网络上实现虚拟专用网络,但是此虚拟专用网络不能保证用户数据的安全性。

  MPLS本身不能提供对数据的安全性,MPLS协议封装的数据没有经过任何的加密处理,仅仅是在报文中增加一个TAG标识,这个标识被路由设备用来进行数据链路的识别和对数据的快速转发使用。MPLS更适合运营商部署,而不适合企业用户自己建设,运营商部署了MPLS网络之后,可以向企业用户提供具有服务质量保证的网络传输服务。但是如果用户希望保障自己的数据在网络传输中的安全性还是需要借助IPSec VPN或者SSL VPN来实现。

  5.基于L2TP的VPN

  该协议结合了众多公司支持的点对点隧道协议(PPTP),和 Cisco、北方电信等公司支持的 二层转发协议(L2F)。利用L2TP来构建企业的VPN,一样需要运营商支持,因为LAC一般是在传统电话交换网络中部署的,并且一个公司的分支机构以及移动办公的员工在地域上分布很广,所以需要各地的运营商都具备LAC才能够实现企业大范围构建VPN网络。当然企业也可以构建自己的基于L2TP的VPN网络。

  在L2TP VPN中,用户端的感觉就像是利用PPP协议直接接到了企业总部的PPP端接设备上一样,其地址分配可以由企业通过DHCP来分配,认证方式可以沿用PPP一直沿用的各种认证方式,并且L2TP是IETF定义的,其MIB库也将定义出来从而可以实现全局的网络管理。