資源描述:
《各種類型的vpn介紹》由會員上傳分享���,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1、各種類型的VPN介紹~教育資源庫 當(dāng)一種資源開始稀缺時����,人們總會創(chuàng)造更多的資源或者尋找更好的替代資源,當(dāng)資源開始豐富的時候�,人們又會開始浪費資源����,最終導(dǎo)致資源再次稀缺����。網(wǎng)絡(luò)帶寬就是這樣,帶寬和應(yīng)用需求在不斷賽跑��,盡管帶寬越來越寬����,但是人們總是有越來越多的帶寬需求。所以解決帶寬稀缺的方法不僅包括尋找更高的帶寬����,同時也需要充分地利用現(xiàn)有帶寬?���! ?gòu)建VPN網(wǎng)絡(luò)的基礎(chǔ)網(wǎng)絡(luò)平臺可以是IP網(wǎng)絡(luò),也可以是ATM網(wǎng)絡(luò)或者FR網(wǎng)絡(luò)等�。基于ATM/FR等網(wǎng)絡(luò)構(gòu)建的虛擬專用網(wǎng)絡(luò)都屬于傳統(tǒng)數(shù)據(jù)專網(wǎng)的范疇�,本文重點討論基于IP網(wǎng)絡(luò)構(gòu)建虛擬專用網(wǎng)絡(luò)的若干種技術(shù)?! 「鶕?jù)構(gòu)建VPN的基礎(chǔ)網(wǎng)絡(luò)平臺的層次不同,可以
2����、將VPN劃分為二層VPN,比如利用VLAN在以太網(wǎng)絡(luò)上實現(xiàn)多個虛擬網(wǎng)絡(luò)���;三層VPN�,比如利用IPSec實現(xiàn)VPN等���;四層VPN�,比如利用SSL技術(shù)構(gòu)建VPN�。至于在國內(nèi)應(yīng)用較多的基于TDM技術(shù)實現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)�,比如DDN等,則一般將其稱為數(shù)據(jù)專網(wǎng)��,而不再將其納入VPN的概念���,盡管數(shù)據(jù)專網(wǎng)也是在電信運營商提供的統(tǒng)一的數(shù)據(jù)網(wǎng)絡(luò)平臺上利用時分復(fù)用等技術(shù)構(gòu)建的虛擬的用戶專用網(wǎng)絡(luò)���。 鏈路加密機實現(xiàn)VPN 鏈路加密機指的是針對具體的鏈路層協(xié)議提供數(shù)據(jù)加密功能的設(shè)備�����,比如ATM加密機、幀中繼加密機�、DDN加密機等。加密機的特點是必須在鏈路兩端配對使用��,比如一個企業(yè)租用一條64K的鏈路�,那么必須在鏈路
3、兩端分別部署加密機���。利用鏈路加密機可以實現(xiàn)鏈路兩端的網(wǎng)絡(luò)之間通信的保密性�,但是其組網(wǎng)方式也因此受到限制����,不能實現(xiàn)任意兩點之間靈活的加密保護?�! ‰S著Inter和寬帶網(wǎng)絡(luò)的發(fā)展��,鏈路加密機已經(jīng)不適合在Inter和寬帶網(wǎng)絡(luò)環(huán)境下應(yīng)用了�����,因為企業(yè)利用Inter構(gòu)建Intra時��,企業(yè)兩個分支機構(gòu)之間網(wǎng)絡(luò)連接可能會跨越很多種鏈路,比如一方接入利用ADSL�����,然后通過運營商的骨干ATM網(wǎng)絡(luò)達到另外一段城域網(wǎng)����,在這樣的網(wǎng)絡(luò)環(huán)境下利用鏈路加密機實現(xiàn)端到端的網(wǎng)絡(luò)保護是不可能的��?�! 』贗PSec的VPN 基于IPSec的VPN主要目的是解決網(wǎng)絡(luò)通信的安全性和利用開放的Inter實現(xiàn)異地的局域網(wǎng)絡(luò)之間的虛
4����、擬連接,IPSecVPN既可以在IPv4網(wǎng)絡(luò)也可以在IPv6網(wǎng)絡(luò)中部署�����。圖1是典型的基于IPSec的VPN組網(wǎng)模式�����,其中體現(xiàn)了移動用戶接入VPN(AccessVPN)�、企業(yè)分支機構(gòu)同總部之間構(gòu)建的IntraVPN�����,以及企業(yè)同合作伙伴之間構(gòu)建的ExtraVPN�?�! 』贗PSec的VPN不依賴于網(wǎng)絡(luò)接入方式�����,它可以在任意基礎(chǔ)網(wǎng)絡(luò)上部署�,而且可以實現(xiàn)端到端的安全保護,即兩個異地局域網(wǎng)絡(luò)的出口上只要部署了基于IPSec的網(wǎng)關(guān)設(shè)備�����,那么不管采用何種廣域網(wǎng)絡(luò)都能夠保證兩個局域網(wǎng)絡(luò)安全地互聯(lián)在一起�����?��! 』赟SL的VPN SSL(SecureSocketLayer���,安全套接字層)是Netscap
5�、e公司開發(fā)的協(xié)議軟件�����,目的是保護HTTP協(xié)議�,但是這個協(xié)議本身可以保護任何一種基于TCP協(xié)議的應(yīng)用?�! 』赟SL也可以構(gòu)建VPN���,因為SSL在Socket層上實施安全措施,因此它可以針對具體的應(yīng)用實施安全保護�,目前應(yīng)用最多的就是利用SSL實現(xiàn)對PLS的VPN MPLS(MultiProtocolLabelSPLS協(xié)議,可以在純粹的IP網(wǎng)絡(luò)上實現(xiàn)虛擬專用網(wǎng)絡(luò)�,但是此虛擬專用網(wǎng)絡(luò)不能保證用戶數(shù)據(jù)的安全性?�! ±肕PLS構(gòu)建的VPN網(wǎng)絡(luò)需要全網(wǎng)的設(shè)備都支持MPLS協(xié)議����,而IPSecVPN則僅僅需要部署在網(wǎng)絡(luò)邊緣上的設(shè)備具備IPSec協(xié)議的支持即可,從這一點上來看���,IPSecVPN非常適
6�、合企業(yè)用戶在公共IP網(wǎng)絡(luò)上構(gòu)建自己的虛擬專用網(wǎng)絡(luò),而MPLS則只能由運營商進行統(tǒng)一部署�。這種建立VPN的方式有一點利用IP網(wǎng)絡(luò)模擬傳統(tǒng)的DDN/FR等專線網(wǎng)絡(luò)的味道,因為在用戶使用MPLSVPN之前��,需要網(wǎng)絡(luò)運營者根據(jù)用戶的需求在全局的MPLS網(wǎng)絡(luò)中為用戶設(shè)定通道���。MPLSVPN隧道劃分的原理是網(wǎng)絡(luò)中MPLS路由器利用數(shù)據(jù)包自身攜帶的通道信息來對數(shù)據(jù)進行轉(zhuǎn)發(fā)����,而不再向傳統(tǒng)的路由器那樣要根據(jù)IP包的地址信息來匹配路由表查找轉(zhuǎn)發(fā)路徑��。這種做法可以減少路由器尋址的時間��,而且能夠?qū)崿F(xiàn)資源預(yù)留保證制定VPN通道的服務(wù)質(zhì)量���?�! PLS本身不能提供對數(shù)據(jù)的安全性����,MPLS協(xié)議封裝的數(shù)據(jù)沒有經(jīng)過任何
7���、的加密處理����,僅僅是在報文中增加一個TAG標(biāo)識,這個標(biāo)識被路由設(shè)備用來進行數(shù)據(jù)鏈路的識別和對數(shù)據(jù)的快速轉(zhuǎn)發(fā)使用���?�! PLS更適合運營商部署���,而不適合企業(yè)用戶自己建設(shè),運營商部署了MPLS網(wǎng)絡(luò)之后��,可以向企業(yè)用戶提供具有服務(wù)質(zhì)量保證的網(wǎng)絡(luò)傳輸服務(wù)�����。但是如果用戶希望保障自己的數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全性還是需要借助IPSecVPN或者SSLVPN來實現(xiàn)�?! 』贚2TP的VPN L2TP協(xié)議由IETF起草,微軟�����、Ascend、Cisco���、3等公司參與
