在現有的ip VPN組網方案中,一般采用GRE隧道、L2TP、IPSec等方式。但是這些方案都存在一個弊端,就是必須是按照事先的配置進行組網,并且要完成一個全聯通的網絡時(如1.1.1.1 1.1)a.圖1所示),結構和配置就變得復雜。由于要建立一對一的連接,所以當有 N 個網絡設備進行互聯時,網絡的就必須建立N×(N-1) / 2個連接,這樣不僅造成了組網和配置的復雜,而且配置時必須知道對端設備的基本信息,試想假如其中有一個節點的設備修改了配置,那么其他所有節點都必須針對這臺設備修改本地配置,這給維護增加了很大的成本。
圖1 傳統VPN方式下的全聯通
Quidway SecPath VPN安全網關(以下簡稱網關)可以提供動態VPN的解決方案,能有效地解決以上傳統VPN的缺陷。動態VPN采用了Client和Server的方式,任意一個Client設備只需要知道Server的信息就能夠和其他Client設備進行互通,并且這種互通是自動的,不需要任何人為的干預。企業的總部放置一臺網關作為Server,其他設備完全就可以隨時通過VPN互聯,并且每個屬于該VPN內的Client設備都能夠互相訪問(如圖2所示)。通過這種方案進行VPN的組網不盡降低了維護成本,而且使得網絡應用更加靈活,加上動態VPN提供的認證和加密特性完全保證了用戶的網絡安全。
圖2 動態VPN組網方式
動態VPN采用了Client / Server的方式,一臺網關作為Server,其他的網關作為Client。每個Client都需要到Server進行注冊,注冊成功之后Client就可以互相通訊了。Server在一個VPN當中的主要任務就是獲得Client的注冊信息,當有一個Client需要訪問另一個Client時通知該Client所要到達目的地的真正地址。
動態VPN采用了隧道技術,即在每對互相通訊的網關上都自動打通一條隧道,所有的數據都在隧道中傳輸,當該隧道沒有數據流量的時候又會自動切斷該隧道以節約資源或成本。目前動態VPN支持兩種隧道方式,即GRE隧道和UDP隧道。GRE隧道方式屬于標準協議的隧道;而UDP隧道方式是華為3Com公司的專利方式,這種方式能夠很好的解決穿透NAT/防火墻的問題,這是GRE方式所不及的。
動態VPN采用UDP方式建立隧道,使用這種技術建立隧道的最大好處就是能夠穿透NAT/防火墻。傳統的GRE方式建立隧道,由于GRE Tunnel是基于三層IP建立隧道,所以不支持PAT端口方式的一對多的地址轉換,就需要大量的公網IP地址。動態VPN采用UDP方式建立隧道就完全避免了這種問題的發生,當網關使用UDP連接建立隧道,可以支持地址和端口的應用,當隧道通過NAT/防火墻的時候就會轉換為對應的公網IP地址和相應的端口號,從而完成數據的穿越NAT網關。
傳統的GRE方式建立隧道就必須知道對端設備的IP地址,一旦有一臺設備IP地址更換,那其他相關設備就全部都需要更改配置;同時由于傳統的GRE隧道建立必須知道對方的IP地址,這樣就使得動態IP地址的設備就無法正常建鏈。
現在的寬帶不斷的推廣應用,假如中小企業使用xDSL或者以太網接入方式的話要比以前專線方式接入節省大量的線路租用費用,但是一般的xDSL接入或者以太網接入使用的是動態的IP地址,這樣就出現了一個問題,如何使用動態的IP地址來建立企業自己的VPN網絡?顯然傳統的VPN構建方式已經滿足不了現在的應用了,為此華為3Com公司的Quidway SecPath VPN安全網關,推出適合動態IP地址構建企業VPN的動態VPN技術和解決方案。
動態VPN在同一個VPN內部構建隧道不需要知道其他Client網關的任何信息,只需要配置自己的信息并指定相應的Server就完成了。所以使用動態VPN時用戶只需配置一次,不管其他Client設備怎么更改也都能夠進行互相通訊,同時用戶也不用關心自己當前使用的IP地址是多少,更加適應現在動態IP地址的使用方式。
為了能夠讓用戶使用更加方便、為了讓更多的用戶能夠享受華為3Com動態VPN的優點、同時也為了用戶降低組網成本,華為3Com公司還推出基于PC的客戶端軟件Quidway SecPoint,這樣用戶能夠在外出時只需通過PC進行ADSL或者普通撥號方式就能夠和公司的其他用戶進行連接。
下圖描述一個公司的VPN網絡,既有固定IP地址用戶(總部固定網絡),也有動態IP地址用戶(分支機構ADSL撥號和SOHO用戶普通撥號)。假如這時有公司內部人員出差需要訪問公司網絡資源,那么只需要該用戶撥號上網,到公司Server上注冊,然后就可以訪問任何用戶(包括固定IP地址用戶和其他動態IP地址用戶設備)。在下圖中以紅色虛線表示。
圖3 移動撥號用戶訪問整個VPN網絡
使用傳統GRE方式構建VPN,假如有N臺網關需要建立一個全聯通的網絡的話就需要在每臺網關上創建N-1個Tunnel接口,使每個Tunnel接口對應一臺對端設備,并且需要配置N-1個對端地址,整個網絡一共需要配置N×(N-1)個Tunnel接口,這個工作量對于一個中型網絡來說簡直就是不可想象的工作量。不光如此,每當更改一臺設備的IP地址時,其他N-1個設備都需要重新更改配置,這樣給維護帶來了很大的成本,并且也輕易導致人為的錯誤。
當人為操作會給整個通訊網絡帶來一定的風險的時候我們就需要一種自動方式來維護網絡的正常運行。動態VPN在兩個網關之間建立隧道完全是自動建立的,每臺作為Client的網關只需配置自己相關的東西,如本地的IP地址、UDP方式下使用的端口號、所屬的VPN和Server等;不需要知道其他Client端的任何信息就可以互相通訊。在這種方式下會比傳統的GRE隧道方式減少大部分的工作量,假如是N臺網關構建VPN網絡的話,只需配置N臺設備自己的信息就可以了,要比傳統的方式減少N×(N-2)的工作量,并且很大程度上減少了人為錯誤的發生。
VPN的主要特點就是在公共網絡構建一個屬于企業自己的專用網絡,使用了VPN技術之后企業內部的設備都在一個VPN網絡內部,不管各個分支機構所處何地都像是公司內部網絡,可以直接進行訪問和數據傳輸。但是由于是在公網上傳輸數據,那么安全特性就顯得尤為重要了,沒有一定的安全機制,企業內部的數據在公網上就會被其他人所截取,企業內部的機器也將受到網絡上其他設備的攻擊,這樣給企業將帶來災難性后果。
動態VPN使用了認證、加密等技術,最大程度地保證用戶數據的安全,用戶網絡的安全。首先,動態VPN提供了注冊認證機制,Client端設備要想加入到某個特定的動態VPN內,必須首先經過Server的認證,只有通過Server認證的Client設備才能夠接入企業的VPN網絡,這樣保證了非授權用戶非法登錄,同時也阻止了人為的破壞。其次,Client和Client之間建立隧道時也必須經過認證,就是說必須兩個Client都經過同一個Server的認證才答應建立隧道,這樣就可以防止公網上非法用戶的入侵。另外,在使用動態VPN的接口上可以啟用IPSec進行加密,保證用戶在公網上傳輸的數據的安全可靠。有了上述這些措施之后,動態VPN網絡內部就是一個相對安全的區域,企業可以放心的在VPN內傳輸自己的數據了。
為了能夠使得用戶能夠最大限度的使用網絡設備資源,降低用戶的網絡構建成本,動態VPN答應用戶在一臺網關上支持多個VPN域。即一臺網關不僅可以屬于VPN A,也可以屬于VPN B,并且可以在VPN A中作為Client設備,同時還可以在VPN B中作為Server設備使用。這樣大大提高了組網的靈活性,也可以更加充分的使用網絡設備資源,減少了用戶的投資。
圖4 一臺網關支持多個VPN域
由于傳統的VPN技術在構建網絡的時候越來越顯得煩雜,對移動的用戶或者動態IP地址的用戶支持顯得力不從心,使得傳統方式構建的企業級的VPN網絡處于尷尬境地。對于企業來說,需要能夠采用一種新的簡單的方式,既能夠滿足跨不同地域的固定IP地址用戶互相訪問,也同時能夠滿足移動的動態IP地址用戶的企業網絡訪問。對于運營商來說,也希望能夠借助目前自己的網絡來給企業用戶構建VPN網絡,滿足跨地域企業組網需求。但是目前提供的組網方式對于中小型企業來說是一種價格高昂花費,使得好多中小型企業望而卻步。
隨著IP寬帶網絡的發展,越來越多的企業從原來的專線方式投到了寬帶接入的懷抱,非凡是近期xDSL接入的興起,更多的中小型企業選擇xDSL作為公司接入網絡的一種首選方案。但隨之而來的問題也漸漸暴露,使用一般的xDSL接入方式雖然價格低廉,但是和普通撥號一樣是非固定的IP地址,甚至是某個ISP提供的私網IP地址,這些問題導致用戶無法按照傳統的方式來建立VPN網絡。
華為3Com公司提出的動態VPN解決方案充分考慮了企業用戶的需求,同時也考慮了運營商的利益。動態VPN不但使動態IP地址之間建立VPN成為可能,而且使用戶付出較低的成本就可以享受寬帶VPN帶來的方便,同時動態VPN使用的安全特性能夠讓用戶對VPN的數據更加安心。
新聞熱點
疑難解答
