思科虛擬專用網(VPN)解決方案

2019-11-04 21:21:23

字體：大中小

來源：轉載

供稿：網友

　　VPN就是在公司網中形成企業專用的鏈路。為了形成這樣的鏈路，采用了所謂的"隧道"技術。可以模擬點對點連接技術，依靠Internet服務提供商(ISP)和其它的網絡服務提供商(NSP)在公用網中建立自己專用的"隧道"，讓數據包通過這條隧道傳輸。對于不同的信息來源，可分別給它們開出不同的隧道。于是，兼容性問題、不同的服務質量要求、以及其它的麻煩都迎刃而解。
　　
　　　　在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務，例如：(1)配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機；(2)分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器；(3)網絡服務提供商站點中的有VPN能力的訪問集中器。
　　
　　　　虛擬專網本質上是將多媒體通信網用做"公用數據網"，通過公共的多媒體通信網加密傳輸專用數據流量。虛擬網絡用戶在安全性可得到完全保證的前提下，均可通過當地的電話或租用線路服務建立聯系，而不必租用長途線路，大大節省了通信費用。
　　
　　　　虛擬專網能夠連接各機構的所有辦公室、遠程工作人員、移動員工，甚至于全國范圍的客戶和供給商。虛擬專網減少了設備需求及網絡維護責任，能夠為用戶節省大量的開支。無論是基于撥號接入還是基于專線接入的用戶，虛擬專網均適用。
　　
　　　　在VPN中，PPP數據包流是由一個LAN上的路由器發出，通過共享ip網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。隧道代替了實實在在的專用線路。
　　
　　
　　
　　IP-VPN的分類：
　　
　　　　IP-VPN
　　　　撥號客戶端發起
　　　　NAS（訪問服務器發起）
　　
　　
　　　　專線 IP隧道安全驗證設備
　　　　路由器
　　　　VC(虛電路) X.25，FR，ATM
　　　　VPN Aware Networks
　　
　　　　VPN有以下幾方面好處：
　　　　降低成本
　　
　　　　借助ISP來建立VPN，就可以節省大量的通信費用。此外，VPN還使企業不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備。這些工作都由ISP負責完成。
　　　　
　　
　　　　輕易擴展
　　
　　　　假如用戶想擴大VPN的容量和覆蓋范圍。統計局需做的事情很少，而且能立時實現：企業只需與新的ISP簽約，建立賬戶；或者與原有的ISP重簽合約，擴大服務范圍。在遠程辦公室增加VPN能力也很簡單：通過配置命令就可以使Extranet路由器擁有Internet和VPN能力，路由器還能對工作站自動進行配置。
　　
　　　　可隨意與合作伙伴聯網
　　
　　　　用戶假如想與合作伙伴聯網，假如沒有VPN，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路，有了VPN之后，這種協商也毫無必要，真正達到了要連就連、要斷就斷。
　　　　完全控制主動權
　　
　　　　VPN使用戶可以利用ISP的設施和服務，同時又完全把握著自己網絡的控制權。比方說，用戶可以把撥號訪問交給ISP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化治理等重要工作。
　　
　　　　建立在山東省公眾多媒體通信網上的虛擬專網，隨著省網二期擴容的開展和ATM寬帶業務網的建設，其網絡性能將得到不斷的提高。我公司在VPN的組網方面有著豐富的經驗，為廣大用戶提供豐富地、靈活地組網方式。現已完成的虛擬網項目有：
　　
　　　　山東省證券公司虛擬專用網　
　　
　　　　山東省統計局虛擬專用網
　　
　　　　微軟的VPN解決方案
　　
　　　　微軟虛擬專用網使用點到點通道協議（PPTP）構造跨越因特網的低成本、安全保密的遠程訪問解決方案。其易于實現且具有下列好處：
　　
　　　　支持所有主要的網絡協議。
　　　　答應繼續使用現有網絡。
　　　　答應繼續使用現有的通訊方式。
　　　　提供流控制。
　　　　支持開放的工業標準。
　　　　支持目前市場占有率最高的Windows NT Server/Workstation、和Windows95。
　　　　支持所有主要的網絡協議
　　
　　　　虛擬專用網支持所有主要的網絡協議，包括TCP/IP、IPX/SPX和NetBEUI。多協議虛擬專用網使得遠程終端用戶能夠跨越因特網訪問異構的網絡。微軟的虛擬專用網答應用戶使用普通模擬調制解調器、X.25設備和其它連接方式，通過本地撥號入網，從而節省了長途電話連接的費用。虛擬專用網可通過任何類型的網絡，包括Windows NT的遠程訪問服務器、基于IPX的NetWare服務器和NetBEUI環境。因為虛擬專用網多種網絡協議，所以用戶能在不同的網絡上保持PPTP的優點。
　　
　　　　答應繼續使用現有的網絡地址
　　
　　　　虛擬專用網不需要改變現有網絡地址方案，這非凡適合那些已經實施內部網絡的企業，這樣不必使用標準的因特網編址，無須重編內部網絡地址，只需設置遠程訪問服務就可互聯企業網絡，極大地方便了網絡治理。因為PPTP使用封裝的方式，隱含了非標準的地址，所以虛擬專用網答應企業使用非標準的IP和IPX地址。
　　
　　　　提供流控制
　　
　　　　流控制作用在客戶和服務器之間的數據路徑上。
假如沒有流控制，當傳輸出現問題時，客戶端會持續發送數據包從而導致服務器端的負載，由于數據包的重復發送會導致性能的降低。流控制答應服務器端通知客戶端停止工作并在資源可用時重發數據包。流控制同時減少了網絡擁塞，消除了不必要的數據包重發。使用開放的工業標準微軟的虛擬專用網基于PPTP，目前是IETF的草案標準，不僅可用于基于Windows的系統，還可實施于異構的環境中。任何PPP客戶機（包括UNIX和Macintosh）、服務器和其它遠程訪問系統均可使用PPP。
　　
　　　　CISCO的VPN解決方案
　　
　　　　IP虛擬專用網（IP-VPN）是指因特網服務提供商(ISP)可以提供的以IP骨干網為基礎的一系列服務。一個最終用戶采用IP-VPN的服務，就可以在多個地點之間傳送IP數據包，同時得到一定程度的服務質量保證和安全保證，就像自己的內部網一樣。訪問國際互聯網也使這種服務的一部分。CISCO的IP-VPN解決方案擴充了INTERNET的能力，同時其提供的增值服務也可以豐富IP-VPN的應用。包括加密服務，不同形式的數據優先處理以及主機代管、協同工作和多媒體服務等基于服務器的應用。數據優先處理可以答應最終用戶對網絡資源得到比傳統的廣域網更好的控制。在資源比較缺乏的時候（低帶寬鏈路），那些重要的和對延遲敏感的數據包可以得到非凡的對待，而其他低優先級的數據包則被限制在剩余的帶寬內。
　　
　　　　從經濟的角度上說，CISCO的IP-VPN解決方案除了給用戶組網節省了大量的費用，同時也帶來其他好處，包括縮短建設周期以及維護的時間，并且可以很快的完成在多點之間的移動、增加和改動。CISCO的IP-VPN解決方案十分靈活多樣，包括兩種基于撥號的，兩種基于專線的，和一種基于標記交換的，可以滿足不同的用戶需求。
　　
　　
　　
　　　　解決方案1
　　
　　　　由用戶端建立的撥號IP-VPN
　　
　　　　首先，遠程客戶撥號進入一個本地接入點（POP）。然后運行一個支持IPSec的客戶端軟件，與公司內聯網中的一臺PIX防火墻建立一條加密的隧道，這樣就可以安全地訪問防火墻內的主機了。
　　　　優勢：訪問服務器不參與IP-VPN，客戶可以同時訪問互聯網和內聯網。
　　　　限制：客戶端軟件必須是指定的支持IPSec的產品
　　　　隧道對于ISP是完全透明的，用戶無法得到ISP的增值服務。
　　　　IP地址由ISP分配，不能采用內部地址。
　　
　　　　解決方案2
　　
　　　　由訪問服務器建立的撥號IP-VPN
　　
　　　　采用AS5X00訪問服務器（NAS），通過L2F或L2TP協議，由NAS建立一條安全隧道到的內聯網網關，該網關負責身份認證和IP地址分配，遠程客戶就像直接聯到內聯網一樣。
　　　　優勢：遠程用戶端不需要非凡的軟件。
　　　　ISP可以提供高檔次的撥號IP-VPN服務。
　　　　IP地址可以采用的內聯網的內部地址，不占用ISP的地址空間。
　　　　限制：該方式不適合在國際互聯網上采用
　　
　　　　解決方案3
　　
　　　　IPSec IP 隧道的專線IP-VPN
　　　　任何聯臺支持IPSec的設備之間都可以建立一條加密隧道，支持IPSec的設備包括運行IPSec軟件的客戶機、路由器、防火墻和服務器。
　　　　優勢：方便、快捷，無需改變ISP的網絡
　　　　安全、可靠、性能高
　　　　ISP可以對隧道提供高級的IP服務
　　
　　　　解決方案4（推薦）
　　
　　　　GRE IP 隧道的專線IP-VPN
　　　　GRE 隧道是基于RFC1701和RFC1702的標準IP-VPN方案。它的做法是將IP數據包加上GRE頭，封裝在IP數據包內。在路由器看來GRE隧道是一個點到點端口，它可以被加密。ISP可以對GRE隧道提供QoS服務，但這個隧道的兩端必須在同一個ISP的網絡內。推薦用戶采用此方式。
　　　　優勢：用戶自己定義內部的IP地址
　　　　ISP可以提供針對應用層的IP QoS服務。
　　　　與媒體無關，CISCO IOS都支持
　　　　限制：只能在一個ISP網絡內
　　
　　
　　　　解決方案5
　　
　　　　基于MPLS的內嵌VPN網絡
　　　　在整個網絡上運行MPLS，每一個IP-VPN都有一個VPN-ID，通過TDP將不同的VPN-ID映射到不同的TAG上，這樣VPN的信息就內嵌在MPLS網絡中。
　　　　優勢：TAG-VPN是無連接的，無需定義隧道。
　　　　與MPLS一樣具有良好的網絡擴展性和增值服務擴展性。
　　　　在ISP網絡中可以"看見"VPN，可以為每個VPN提供增值服務
　　　　輕易增加VPN和簡化治理
　　　　IP QoS和流量治理隨MPLS與生具有
　　　　限制：
　　　　需要cisco 高端路由器VPN中的隧道是由隧道協議形成的，VPN使用的隧道協議主要有三種：點到點隧道協議（PPTP）、第二層隧道協議（L2TP）以及IPSec。
　　
　　　　PPTP封裝了PPP數據包中包含的用戶信息，支持隧道交換。隧道交換可以根據用戶權限，開啟并分配新的隧道，將PPP數據包在網絡中傳輸。另外，隧道交換還可以將用戶導向指定的企業內部服務器。PPTP便于企業在防火墻和內部服務器上實施訪問控制。位于企業防火墻的隧道終端器接受包含用戶信息的PPP數據包，然后對不同來源的數據包實施訪問控制。
　　
　　　　L2TP協議綜合了PPTP協議和L2F（Layer 2 Forwarding）協議的優點,并且支持多路隧道，這樣可以使用戶同時訪問Internet和企業網。
　　
　　　　IPSec是用來增強VPN安全性的標準協議。IPSec包含了用戶身份認證、查驗和數據完整性等內容。該協議標準由IETF組織制訂，其中規定了用以在兩個IP工作站之間進行加密、數字簽名等而使用的一系列IP級協議。IPSec實現來自不同廠商的設備在進行隧道開通和終止時的互操作。另外，由于IPSec的安全性功能與密鑰治理系統松散耦合，所以當密鑰治理系統發生變化時，IPsec的安全機制不需要進行修改。
　　
　　　　基于MPLS的VPN是一種基于網絡的新型VPN解決方案，它要求廣域網絡支持MPLS，利用MPLS的標記交換在廣域網絡上為VPN用戶提供虛擬連接。
MPLS VPN的優點是全網統一治理的能力很強，由于MPLS VPN是基于網絡的，全部的VPN網絡配置和VPN策略配置都在網絡端完成，可以大大降低治理維護的開銷。
　　
　　　　ITU－T形成的基于網絡IP VPN草案中提出了關于基于MPLS的IP VPN技術要求，在業務提供商的網絡中采用IP技術，且骨干網用MPLS，對于IP VPN業務只能在邊緣設備上提供，而對于骨干設備，IP VPN業務是透明的，這樣才有利于可擴展性。

上一篇：Cisco方案設計精華

下一篇：園區網的Catalyst交換解決方案