VPN 介紹:(VPN工作于第3層)
概述:隨著企業網應用的不斷發展,企業網的范圍也不斷擴大,從一個本地網絡發展到跨地區跨城市甚至是跨國家的網絡。與此同時隨著互聯網絡的迅猛發展,Internet已經遍布世界各地,從物理上講Internet把世界各地的資源相互連通。正因為Internet是對全世界開放的,如果企業的信息要通過Internet進行傳輸,在安全性上可能存在著很多問題。但如果采用專用線路構建企業專網,往往需要租用昂貴的跨地區數據專線。如何能夠利用現有的Internet來建立企業的安全的專有網絡呢?虛擬專用網(VPN)技術就成為一個很好的解決方案。虛擬專用網(VPN)是指在公共網絡中建立專用網絡,數據通過安全的"加密通道"在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的Internet,各地的機構就可以互相傳遞信息;同時,企業還可以利用Internet的撥號接入設備,讓自己的用戶撥號到Internet上,就可以連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等優點,將會成為今后企業網絡發展的趨勢。
虛擬專用網的本質實際上涉及到密碼的問題。在無法保證電路安全、信道安全、網絡安全、應用安全的情況下,或者也不相信其他安全措施的情況下,一種行之有效的辦法就是加密,而加密就是必須考慮加密算法和密碼的問題。考慮到我國對密碼管理的體制情況,密碼是一個單獨的領域。對防火墻而言,是否防火墻支持對其他密碼體制的支持,支持提供API來調用第三方的加密算法和密碼,非常重要。
VPN通常采用的加密標準是3DES,然而它的算法相當復雜,加密過程需要很多計算處理步驟,這會影響到系統性能,增加加密設備的帶寬開銷。
另一類新型加密標準是AES(增強加密標準),它采用的算法要簡單些,但目前還只有Check Point和Nortel支持。AES具備較大的密鑰空間,不易攻破,AES有望在不遠的將來取代3DES。對大多數公司來說,主要是選擇加密標準(3DES或AES),至于與加密相關的其它功能,如IKE(Internet密鑰交換)會話、加密密鑰生成、通道協議以及安全機制組合都易于設置,一般運用產品的默認設置也就可以了。
VPN的安全協議:
PPTP-Point to Point Tunnel Protocal(點對點隧道協議)
這是一個最流行的Internet協議,它提供PPTP客戶機 與PPTP服務器之間的加密通信,它允許公司使用專用的“ 隧道”,通過公共Internet來擴展公司的網絡。通過Internet的數據通信,需要對數據流進行封裝和加密,PPTP就可以實現這兩個功能,從而可以通過Internet實現多功能通信。這就是說,通過PPTP的封裝或“隧道”服務,使非IP網絡可以獲得進行Internet通信的優點。但是PPTP會話不可通過代理器進行,PPTP是Microsoft和其它廠家支持的標準,它是PPTP協議的擴展,它可以通過Internet建立多協議VPN。
L2TP-Layer2 Tunneling Protocol(第二層隧道協議)
除Microsft外,另有一些廠家也做了許多開發工作,PPTP能支持Macintosh和Unix,Cisco的L2F(Layer2 Forwarding)就是又一個隧道協議。Microsoft、Cisco和其它一些網絡廠商正一起努力使L2F與PPTP融合,產生一個新的L2TP協議。PPTP和L2TP十分相似,因為L2TP有一部分就是采用PPTP協議,兩個協議都允許客戶通過其間的網絡建立隧道,L2TP正在由包括Microsoft在內的幾家廠商開發。L2TP還支持信道認證,但它沒有規定信道保護的方法。
IPSEC—Internet Portocol Security(因特網協議安全性)
該協議正在IETF(因特網工程任務組)的指導下開發。開發這個協議的目的是要解決當前協議中存在的一些缺點,這個標準開發完成最快也要在一年以后。Microsoft承諾支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作組定義的協議集,它用于確保網絡層之間的安全通信。該協議草案建議使用IPSEC協議集保護IP網和非IP網上的L2TP業務,以及如何將IPSEC和L2FP一起使用,但它并未試圖將端對端的安全性標準化。
SOCKs
SOCKs是一個網絡連接的代理協議,它使SOCKs一端的主機完全訪問SOCKs;而另一端的主機不要求IP直接可達。SOCKs能將連接請求進行鑒別和授權,并建立代理連接和傳送數據。SOCKs通常用作網絡防火墻,它使SOCKs后面的主機能通過Internet取得完全的訪問權,而避免了通過Internet對內部主機進行未授權訪問。目前,有SOCKsV4和SOCKsV5二個版本,SOCKsV5可以處理UDP,而SOCKsV4則不能。
VPN在網絡中拓撲示意圖如1-1所示。
圖1-1 VPN網絡拓撲圖
VLAN技術:
VLAN具有以下優點:
① 控制網絡的廣播風暴
② 確保網絡安全
③ 簡化網絡管理
1 、VLAN概述
VLAN(Virtual Local Area Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。
VLAN(虛擬局域網)是對連接到的第二層交換機端口的網絡用戶的邏輯分段,不受網絡用戶的物理位置限制而根據用戶需求進行網絡分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組。基于交換機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。
VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。
VLAN是為解決以太網的廣播問題和安全性而提出的一種協議,它在以太網幀的基礎上增加了VLAN頭,用VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。
VLAN在交換機上的實現方法,可以大致劃分為4類:
1、 基于端口劃分的VLAN
這種劃分VLAN的方法是根據以太網交換機的端口來劃分,比如Quidway S3526的1~4端口為VLAN 10,5~17為VLAN 20,18~24為VLAN 30,當然,這些屬于同一VLAN的端口可以不連續,如何配置,由管理員決定,如果有多個交換機,例如,可以指定交換機 1 的1~6端口和交換機 2 的1~4端口為同一VLAN,即同一VLAN可以跨越數個以太網交換機,根據端口劃分是目前定義VLAN的最廣泛的方法,IEEE 802.1Q規定了依據以太網交換機的端口來劃分VLAN的國際標準。
這種劃分的方法的優點是定義VLAN成員時非常簡單,只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口,到了一個新的交換機的某個端口,那么就必須重新定義。
2、 基于MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對于使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停的配置。
3、 基于網絡層劃分VLAN
這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的,雖然這種劃分方法是根據網絡地址,比如IP地址,但它不是路由,與網絡層的路由毫無關系。它雖然查看每個數據包的IP地址,但由于不是路由,所以,沒有RIP,OSPF等路由協議,而是根據生成樹算法進行橋交換,
這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的幀標簽來識別VLAN,這樣可以減少網絡的通信量。
這種方法的缺點是效率低,因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網禎頭,但要讓芯片能檢查IP幀頭,需要更高的技術,同時也更費時。當然,這與各個廠商的實現方法有關。
4、 根據IP組播劃分VLAN
IP 組播實際上也是一種VLAN的定義,即認為一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網,主要是效率不高。
鑒于當前業界VLAN發展的趨勢,考慮到各種VLAN劃分方式的優缺點,為了最大程度上地滿足用戶在具體使用過程中需求,減輕用戶在VLAN的具體使用和維護中的工作量,Quidway S系列交換機采用根據端口來劃分VLAN的方法。
TPC基準程序:是一個專門負責計算機事務處理能力的測試標準。
|
|
資源大小:741.92 KB 
