安全虚拟专用网VPN的类型

2020-03-30 17:43:08 yousu 113

安全虚拟专用网VPN的类型

无论您身在何处或拥有哪种网络连接,都可以使用您可能需要的所有数字资源,这已成为大多数人的生活方式。无论您是与其他企业共享数据的企业,还是需要始终保持联系的旅行者,对资源的访问都是理所当然的。

尽管托管在公共云中的应用程序在使位置成为非问题上还有很长的路要走,但出于安全和隐私等原因,许多资源都是私有托管的。通常通过VPN(虚拟专用网络)处理对这些专用资源的访问。

VPN技术是一个简单的定义:通过不信任的网络将您信任的人安全地连接到他们需要的资源。而对于客户而言,诀窍在于知道何时使用哪种类型的VPN。让我们考虑几种不同的VPN,并考虑它们适合的位置。我们将研究VPN的两个主要类别,我将它们称为基于客户端的VPN和基于网络的VPN。

基于客户端的VPN

基于客户端的VPN是在单个用户和远程网络之间创建的虚拟专用网络。VPN连接通常涉及一个应用程序。在大多数情况下,用户手动启动VPN客户端,并使用用户名和密码进行身份验证。客户端在用户计算机和远程网络之间创建一个加密的隧道。然后,用户可以通过加密隧道访问远程网络。

基于客户端的VPN应用程序使用户可以轻松地将笔记本电脑或移动设备从任何地方连接到您的私有资源。例如,我在旅行时使用iPhone,iPad和Mac上的VPN客户端连接到总部。这使我可以跨设在设备与总部防火墙之间的安全VPN隧道远程管理网络。

除基本连接性外,VPN客户端通常还提供增强的安全性功能。一种是在允许用户进入网络之前仔细检查其设备的能力。

基于网络的VPN

基于网络的VPN是虚拟专用网络,可跨不信任的网络将两个网络安全地连接在一起。一个常见的示例是基于IPsec的WAN,其中企业的所有办公室都使用IPsec隧道通过Internet相互连接。

IPsec隧道

最简单的网络VPN是基于标准的IPsec隧道,大多数网络路由器和防火墙都可以构建。原则上,基于网络的VPN上的隧道与基于客户端的IPsec隧道没有什么不同。网络和客户端实现都创建安全的隧道,加密的流量通过该隧道在网络之间流动。尽管基于客户端的IPsec隧道旨在封装单个设备的流量,但基于网络的IPsec隧道却承载整个设备网络的流量,从而使它们可以通信。

动态多点VPN(DMVPN)

当前版本的DMVPN将IPsec点对点隧道的概念扩展到了连接网络的云中。借助DMVPN,任何网络都可以直接通过DMVPN云与任何其他网络进行通信。

DMVPN是一项复杂的技术,需要使用GRE隧道,IPsec,NHRP(下一跳解析协议)和路由协议,所有相互依赖的组件都允许进行全网状通信。为了减轻复杂性,思科提供了出色的DMVPN设计指南,可以帮助网络架构师确定适合其环境的最合适的设计以及基准配置。

使用DMVPN,通过标准的路由器配置将远程站点连接到公共Internet上的大型公司网络,该配置一旦完成就可以移交。例如,我已经为家庭办公室用户使用了DMVPN路由器,以提供到头端站点的冗余连接,并最大程度地减少了站点之间语音通话的延迟。使用传统的IPsec点对点VPN隧道无法实现前端冗余或减少延迟(在实际意义上)。

DMVPN消除了知道远程IP地址的需求,允许动态分配的IP安全地连接到基础架构,并在DMVPN

NHRP集线器路由器中注册其IP地址。这使解决方案可以扩展到多达数千个参与站点。最终结果感觉就像传统的WAN连接。

基于MPLS的L3VPN

MPLS L3VPN是多协议标签交换(MPLS)网络上最常用的应用程序。MPLS最常见于服务提供商网络中,MPLS允许服务提供商虚拟化其网络,以便客户可以共享物理网络,但仍在逻辑上保持分离。一些大型企业在内部将MPLS用于其自己的全球基础结构。

如果您的公司从服务提供商那里获得WAN服务,则该服务提供商很可能会通过其MPLS网络向您的公司提供L3VPN服务。在这种情况下,公司中的每个办公室都通过服务提供商视为客户路由器的方式连接到服务提供商,该路由器将WAN电路从服务提供商连接到网络的其余部分。

MPLS WAN电路的另一端是提供商边缘(PE)路由器。PE路由器将来自您公司电路的流量丢弃到您公司唯一的虚拟路由转发(VRF)实例中,然后将其转发到提供商核心路由器,使用MPLS标记该流量并识别该流量所属的VRF。提供者核心将流量通过其核心传递到另一台PE路由器,然后再传递到另一台WAN路由器,然后您的路由器将流量传递到远程办公室网络。

当您需要远程办公室之间的国家或国际连接时,请从提供商处购买MPLS L3VPN服务,保证网络服务质量。