資源描述:
《VPN遠(yuǎn)程訪問概述.doc》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1�����、技術(shù)點(diǎn)詳解---VPN遠(yuǎn)程訪問概述為什么需要遠(yuǎn)程訪問很多企業(yè)隨著業(yè)務(wù)的發(fā)展����,已經(jīng)在異地建立分支機(jī)構(gòu)�����,或者許多員工出差至外地開展工作�,甚至需要回家繼續(xù)辦公,那么這些遠(yuǎn)程員工是否還能夠連接到總部網(wǎng)絡(luò)享受到統(tǒng)一的企業(yè)信息化管理呢�?我想,大家必定會回答可以����,既然可以,是通過什么技術(shù)實(shí)現(xiàn)的呢��?或者說實(shí)現(xiàn)的時候要考慮哪些因素呢��?從上面的圖中我們可以看到似乎有很多種異地網(wǎng)絡(luò)用戶,布置這種技術(shù)似乎很困難���,我們先把圖中網(wǎng)絡(luò)單元可以分為3類:1.??????總部機(jī)構(gòu)�,總部在連接互聯(lián)網(wǎng)絕大多數(shù)情況下使用固定出口以及固定地
2���、址��,在一些極端情況下可能會采用動態(tài)地址方式�。2.??????遠(yuǎn)程分支機(jī)構(gòu)����,這類網(wǎng)絡(luò)有固定的網(wǎng)絡(luò)出口連接到互聯(lián)網(wǎng),互聯(lián)網(wǎng)出口設(shè)備以及內(nèi)部網(wǎng)絡(luò)都是完全受企業(yè)管理的�,在圖中,分支1和分支2都是這類�����,雖然網(wǎng)絡(luò)出口是固定的����,但是出口地址是否固定和接入方式有關(guān),比如租用光纖那么通常會從運(yùn)營商獲得一個固定地址��,如果是ADSL則是動態(tài)的,遠(yuǎn)程分支機(jī)構(gòu)的典型特征是以一個網(wǎng)絡(luò)作為遠(yuǎn)程接入單位���。3.??????出差員工�,這類網(wǎng)絡(luò)用戶的特點(diǎn)是以用戶PC為遠(yuǎn)程網(wǎng)絡(luò)單元��,為什么呢���,因?yàn)檫@類用戶的互聯(lián)網(wǎng)出口通常不受企業(yè)管理,比如
3��、出差員工在酒店通過酒店網(wǎng)絡(luò)接入互聯(lián)網(wǎng)�、員工在家上網(wǎng)、員工在酒店直接撥號到互聯(lián)網(wǎng)等�,這類用戶的特征是以單臺PC作為遠(yuǎn)程接入單位。這些異地網(wǎng)絡(luò)用戶訪問總部網(wǎng)絡(luò)��,可能大家會認(rèn)為很簡單����,直接訪問總部網(wǎng)絡(luò)的網(wǎng)段就可以了。實(shí)際上�,企業(yè)網(wǎng)絡(luò)通常使用私有地址,是無法從互聯(lián)網(wǎng)直接訪問的�����,那么我們可以通過什么手段訪問這些總部的私有網(wǎng)段嗎?1.??????使用專線�,即每個異地網(wǎng)絡(luò)用戶單元使用一條專線連接到總部,那么在上圖中��,我們至少需要5條專線����,如果出差員工或者分支多起來需要更多專線,每條專線都價值不菲���,而且專線只能連接
4����、總部����,無法訪問互聯(lián)網(wǎng),顯然這種方式對于非常注重成本的企業(yè)而言是不可接受的��。2.??????既然總部和各個異地網(wǎng)絡(luò)都連接到了互聯(lián)網(wǎng)��,能不能通過互聯(lián)網(wǎng)把大家連起來呢����?我們可以看到各個網(wǎng)絡(luò)單元的出口都是互聯(lián)網(wǎng)公有地址�,讓這些地址互相訪問不成問題�����,那么能不能把訪問內(nèi)部私有網(wǎng)絡(luò)的連接建立在這些共有連接上呢���?答案當(dāng)然可以�����,這就是今天要講的內(nèi)容——虛擬私有網(wǎng)(VirtualPrivateNetwork),即在公共網(wǎng)絡(luò)上建立虛擬的隧道�,模擬成專線,如下圖所示����。那么如何建立這些隧道呢?要建立什么樣的隧道�����?我們可以通過
5����、這張表來描述異地網(wǎng)絡(luò)用戶和總部網(wǎng)絡(luò)出口隧道的特點(diǎn)�。??????隧道端點(diǎn)隧道內(nèi)流量隧道發(fā)起安全性需求是否穿越NAT異地分支分支出口?à總部出口分支內(nèi)網(wǎng)?à總部內(nèi)網(wǎng)總部和分支都可以發(fā)起少量身份認(rèn)證和加密不需要酒店�����、家庭辦公異地PC?à總部出口異地PC?à總部內(nèi)網(wǎng)只能從PC發(fā)起大量動態(tài)身份認(rèn)證和加密需要遠(yuǎn)程撥號PC異地PC?à總部出口異地PC?à總部內(nèi)網(wǎng)只能從PC發(fā)起大量動態(tài)身份認(rèn)證和加密不需要我們可以從上表中發(fā)現(xiàn)異地分支和總部�����、異地PC和總部之間隧道有較多不同�����,可以把VPN劃分為這兩類場景進(jìn)行研究����,有什
6、么樣的需求就有什么樣的技術(shù):1.??????PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)�����、L2TP(二層隧道協(xié)議)���、SSLVPN(安全會話層VPN):這兩個技術(shù)主要用于異地PC向總部方向建立VPN���,但PPTP���、L2TP不支持加密(PPTP的兼容性沒有L2TP好),SSLVPN則必須要求加密�����;這三類技術(shù)都有很靈活的動態(tài)身份認(rèn)證機(jī)制�,SSLVPN不但擁有靈活安全的認(rèn)證機(jī)制,在用戶角色權(quán)限控制上具備極強(qiáng)的擴(kuò)展性����,因此這3類技術(shù)非常適合遠(yuǎn)程PC撥號接入場景,隨著SSLVPN技術(shù)成熟��,部署成本下降����,正在不斷地侵占L2TP原有市
7����、場。2.??????IPSec:通用性最強(qiáng)的VPN安全技術(shù)���,能夠適應(yīng)異地分支和總部互聯(lián)����,也適用于異地PC向總部發(fā)起連接;可以單獨(dú)使用��,也可以和L2TP結(jié)合����,保證L2TP的安全,但是IPSec的動態(tài)身份認(rèn)證功能較弱���,不太適用于大量動態(tài)用戶撥號的場景�����,比較適合接入數(shù)量相對穩(wěn)定的場景�����,此外IPSec功能復(fù)雜�����,PC上通常是通過各廠家專用客戶端實(shí)現(xiàn)�����,因此IPSec技術(shù)更適合異地分支和總部網(wǎng)絡(luò)互連的場景���。下面對集中VPN技術(shù)和應(yīng)用場景進(jìn)行詳細(xì)介紹�����。由于PPTP功能和L2TP重疊�����,且應(yīng)用較窄�,在此文中不作介紹��。L
8�、2TP和SSLVPN該類型的VPN可以分為如下幾個階段:1.??????分支向總部發(fā)出連接請求,要就建立VPN��,如果是SSLVPN����,該階段還需要協(xié)商密鑰�,為后續(xù)所有通信進(jìn)行加密保護(hù)�����,而L2TP則沒有專用保護(hù)手段�,除非借助IPSec的幫助�。2.??????對接入請求進(jìn)行身份驗(yàn)證,因?yàn)槠髽I(yè)的VPN資源只允許對本企業(yè)員工開放�,所以必須對接入者身份進(jìn)行驗(yàn)證,身份驗(yàn)證通常分為身份確認(rèn)和口令驗(yàn)證兩部分組成����,身份表明用戶的角色,而口令則是進(jìn)一步確認(rèn)角色的準(zhǔn)確性�����。3.??????身份
