網絡管理員入門 VPN基礎知識詳解二

2019-11-04 20:29:43

字體：大中小

來源：轉載

供稿：網友

　　2. 主要VPN協議
　　
　　通過前面的介紹知道VPN隧道協議主要有三種:PPTP、L2TP和ipSec，PPTP和L2TP協議是工作在OSI/RM開放模型中的第二層，所以又稱之為第二層隧道協議。其實在第二層隧道協議中還有一種不是很主流的協議，那就是Cisco公司的L2F(Layer 2 Forwarding)協議。在VPN網絡中最常見的第三層隧道協議是IPSec，但另一種GRE(Generic Routing Encapsulation，通用路由封裝協議，在RFC 1701中早有描述)也是屬于一個第三隧道協議。
　　
　　第二層隧道和第三層隧道的本質區別在于用戶的數據包是被封裝在哪一層的數據包隧道里傳輸的。第二層隧道協議和第三層隧道協議一般來說分別使用，但合理的運用兩層協議，將具有更好的安全性。例如:L2TP與IPSec協議的配合使用，可以分別形成L2TP VPN、IPSec VPN網絡，也可混合使用L2TP、IPSec協議形成性能更強的L2TP VPN網絡，且這一VPN網絡形式是目前性能最好、應用最廣的一種，因為它能提供更加安全的數據通信，解決了用戶的后顧之憂。
　　
　　3. VPN的部署模式
　　
　　VPN的部署模式從本質上描述了VPN通道的起始點和終止點，不同的VPN模式適用于不同的應用環境，滿足不同的用戶需求，總的來說有3種VPN部署模式:
　　
　　(1)端到端(End-to-End)模式;
　　
　　該模式是自建VPN的客戶所采用的典型模式，也是最為徹底的VPN網絡。在這種模式中企業具有完全的自主控制權，但是要建立這種模式的VPN網絡需要企業自身具備足夠的資金和人才實力，這種模式在總體投金上是最多的。最常見的隧道協議是IPSec和PPTP。這種模式一般只有大型企業才有條件采用，這種模式最大的好處，也是最大的不足之處就是整個VPN網絡的維護權都是由企業自身完成，需花巨資購買成套昂貴的VPN設備，配備專業技術人員，同時整個網絡都是在加密的隧道中完成通信的，非常安全，不像外包方式中存在由企業到NSP之間的透明段。
　　
　　(2)供給商―企業(PRovider-Enterprise)模式;
　　
　　這是一種外包方式，也是目前一種主流的VPN部署方式，適合廣大的中、小型企業組建VPN網絡。在該模式中，客戶不需要購買專門的隧道設備、軟件，由VPN服務提供商(NSP)提供設備來建立通道并驗證。然而，客戶仍然可以通過加密數據實現端到端的全面安全性。在該模式中，最常見的隧道協議有L2TP、L2F和PPTP。
　　
　　(3)內部供給商(Intra-Provider)模式。
　　
　　這也是一種外包方式，與上一種方式最大的不同就在于用戶對NSP的授權級別不同，這種模式非常適合小型企業用戶，因為這類企業一般沒有這方面的專業人員，自身維護起來比較困難，可以全權交給NSP來維護。這是很受電信公司歡迎的模式，因為在該模式中，VPN服務提供商保持了對整個VPN設施的控制。在該模式實現中，通道的建立和終止都是在NSP的網絡設施中實現的。對客戶來說，該模式的最大優點是他們不需要做任何實現VPN的工作，客戶不需要增加任何設備或軟件投資，整個網絡都由VPN服務提供商維護。最大的足也就是用戶自身自主權不足，存在一定的不安全因素。
　　
　　4. VPN的服務類型
　　
　　根據VPN應用的類型來分，VPN的應用業務大致可分為3類:IntranetVPN、access VPN與Extranet VPN，但更多情況下是需要同時用到這三種VPN網絡類型，非凡是對于大型企業。
　　
　　(1)Access VPN
　　
　　Access VPN又稱為撥號VPN(即VPDN)，是指企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。假如企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用AccessVPN。
　　
　　Access VPN通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。Access VPN包括能隨時使用如模擬撥號Modem、ISDN、數字用戶線路(xDSL)、無線上網和有線電視電纜等撥號技術，安全地連接移動用戶、遠程工作者或分支機構。典型網絡拓撲結構如圖1.3所示。這種方式相對傳統的撥號訪問具有明顯的費用優勢，對于需要移動辦公的企業來說不失為一種經濟安全、靈活自由的好方式，所以這種方式通常也是許多大、中型企業所必需的。當然它也可以獨自存在，如一些小型商務企業。
　　
　　(2) Intranet VPN
　　
　　Intranet VPN即企業的總部與分支機構間通過VPN虛擬網進行網絡連接。隨著企業的跨地區、國際化經營，這是絕大多數大、中型企業所必需的。假如要進行企業內部各分支機構的互聯，使用Intranet VPN是很好的方式。這種VPN是通過公用因特網或者第三方專用網進行連接的，有條件的企業可以采用光纖作為傳輸介質。它的特點就是輕易建立連接、連接速度快，最大特點就是它為各分支機構提供了整個網絡的訪問權限。
　　
　　越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網絡連接方式一般是租用專線。顯然，在分公司增多、業務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。利用VPN特性可以在因特網上組建世界范圍內的IntranetVPN。利用因特網的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎設施，連接企業總部、遠程辦事處和分支機構。企業擁有與專用網絡的相同政策，包括安全、服務質量(QoS)、可治理性和可靠性。如圖1.4所示的是企業自建的IntranetVPN 網絡拓撲結構示意圖。
　　
　　(3) Extranet VPN
　　
　　Extranet VPN即企業間發生收購、兼并或企業間建立戰略聯盟后，使不同企業網通過公網來構筑的虛擬網。假如是需要提供B2B電子商務之間的安全訪問服務，則可以考慮選用Extranet VPN。
　　
　　隨著信息時代的到來，各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業之間的合作關系也越來越多，信息交換日益頻繁。因特網為這樣的一種發展趨勢提供了良好的基礎，而如何利用因特網進行有效的信息治理，是企業發展中不可避免的一個要害問題。利用VPN技術可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內部網絡的安全。
　　
　　Extranet VPN通過一個使用專用連接的共享基礎設施，將客戶、供給商、合作伙伴或愛好群體連接到企業內部網。企業擁有與專用網絡的相同政策，包括安全、服務質量(QoS)、可治理性和可靠性。典型結構如圖1.5所示。
　　
　　Extranet VPN對用戶的吸引力在于:能輕易地對外部網進行部署和治理，外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。主要的不同是接入許可，外部網的用戶被許可只有一次機會連接到其合作人的網絡，并且只擁有部分網絡資源訪問權限，這要求企業用戶對各外部用戶進行相應訪問權限的設定。典型網絡結構如圖1.5所示。
　　
　　以上三種VPN模式，其實在后面將要介紹的windows 2000系統中的VPN網絡中都統歸于兩種模式，即:遠程訪問VPN和路由器到路由器VPN，“遠程訪問VPN”對應于本節所介紹的Access VPN(VPDN)模式，而“Extranet VPN”和“Intranet VPN”則可統歸“路由器到路由器VPN”模式。但是又不能完全這么劃分，因為不同系統中對VPN模式的分類標準和前提不太一樣，本節所介紹的這三種VPN模式是基于整個VPN網絡來劃分的，而在Windows 2000系統中的這種VPN模式劃分的前提是在純軟件方式下進行的。

上一篇：簡化之道網絡參數設置切換全接觸一(圖)

下一篇：怎樣才可以把內網服務發布到公網(圖)