|
vpn既是一种组网技术,又是一种网络安全技术。vpn涉及的技术和概念比较多,应用的形式也很丰富,其分类方式也很多,令人眼花缭乱。这里介绍几种主要的划分方式。
一、vpn的类型
1、按应用范围划分
这是最常用的分类方法,大致可以划分为远程接入vpn(accesss vpn)、intranet vpn和extranet vpn等3种应用模式。远程接入vpn用于实现移动用户或远程办公室安全访问企业网络;intranet vpn用于组建跨地区的企业内部互联网络;extranet vpn用于企业与客户、合作伙伴之间建立互联网络。
2、按vpn网络结构划分
vpn可分为以下3种类型。
① 基于vpn的远程访问
即单机连接到网络,又称点到站点,桌面到网络。用于提供远程移动用户对公司内部网的安全访问。
② 基于vpn的网络互联
即网络连接到网络,又称站点到站点,网关(路由器)到网关(路由器)或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信时,还可用于企业的内部网与企业合作伙伴网络之间的信息交流,并提供一定程度的安全保护,防止对内部信息的非法访问。
③ 基于vpn的点对点通信
即单机到单机,又称端对端,用于企业内部网的两台主机之间的安全通信。
3、按接入方式划分
在internet上组建vpn,用户计算机或网络需要建立到isp的连接。与用户上网接入方式相似,根据连接方式,可分为两种类型。
① 专线vpn通过固定的线路连接到isp,如ddn、帧中继等都是专线连接。
② 拨号接入vpn简称vpdn,使用拨号连接(如模拟电话、isdn和adsl等)连接到isp,是典型的按需连接方式。这是—种非固定线路的vpn。
4、按隧道协议划分
按隧道协议的网络分层,vpn可划分为第2层隧道协议和第3层隧道协议。pptp、l2p和l2tp都属于第2层隧道协议,ipsec属于第3层隧道协议,mpls跨越第2层和第3层。vpn的实现往往将第2层和第3层协议配合使用,如l2tp/ipsec。当然,还可根据具体的协议来进一步划分vpn类型,如pptp vpn、l2tp vpn、ipsec vpn和mpls vpn等。
第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议,如ip、ipx和appletalk,也可以支持多种广域网技术,如帧中继、atm、x.25或sdh/sonet,还可以支持任意局域网技术,如以太网、令牌环网和fddi网等。 另外,还有第4层隧道协议,如ssl vpn。
5、按隧道建立方式划分
根据vpn隧道建立方式,可分为两种类型。
① 自愿隧道(voluntary tunnel)
指客户计算机或路由器可以通过发送vpn请求配置和创建的隧道。这种方式也称为基于用户设备的vpn。vpn的技术实现集中在vpn用户端,vpn隧道的起始点和终止点都位于vpn用户端,隧道的建立、管理和维护都由用户负责。isp只提供通信线路,不承担建立隧道的业务。这种方式技术实现容易,不过对用户的要求较高。不管怎样,这仍然是目前最普遍使用的vpn组网类型。
② 强制隧道(compulsory tunnel)
指由vpn服务提供商配置和创建的隧道。这种方式也称为基于网络的vpn。vpn的技术实现集中在isp,vpn隧道的起始点和终止点都位于isp,隧道的建立、管理和维护都由isp负责。vpn用户不承担隧道业务,客户端无需安装vpn软件。这种方式便于用户使用,增加了灵活性和扩展性,不过技术实现比较复杂,一般由电信运营商提供,或由用户委托电信运营商实现。
6、按路由管理方式划分
按路由管理方式划分,vpn分为两种模式。
① 叠加模式(overlay model)
也译为“覆盖模式”。目前大多数vpn技术,如ipsec、gre都基于叠加模式。采用叠加模式,各站点都有一个路由器通过点到点连接(ipsec、gre等)到其他站点的路由器上,不妨将这个由点到点的连接以及相关的路由器组成的网络称为“虚拟骨干网”。叠加模式难以支持大规模的vpn,可扩展性差。如果一个vpn用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其他所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。
② 对等模式(peer model)
对等模式是针对叠加模式固有的缺点推出的。它通过限制路由信息的传播来实现vpn。这种模式能够支持大规模的vpn业务,如一个vpn服务提供商可支持成百上千个vpn。采用这种模式,相关的路由设备很复杂,但实际配置却非常简单;容易实现qos服务;扩展更加方便,因为新增一个站点,不需与其他站点建立连接。这对于网状结构的大型复杂网络非常有用。mpls技术是当前主流的对等模式vpn技术。
二、如何选择vpn产品
如果单位自建vpn需要选购相关的产品。 一套完整的vpn产品一般包括3个部分即① vpn网关:用于实现lan到lan。② vpn客户端:与vpn网关一起可实现客户到lan的vpn方案。③ vpn管理中心:对vpn网关和vpn客户端的安全策略进行配置和远程管理。 在选择vpn产品时,我们可从以下几个方面来考虑:
1、产品定位
首先应考察产品定位问题。像其他网络产品一样,不同的vpn产品有不同的定位,按从高端到低端的顺序,依次为电信级、企业级、中小企业、办公室或soho。当然,中小企业只能选择中小企业及以下级别的产品。
2、支持的应用类型
vpn有3种应用类型:lan到lan、客户到lan、客户到客户。这里的客户指的是vpn网络中的移动用户和远程办公用户。目前多数vpn产品都支持lan到lan和客户到lan,而支持客户到客户的产品不多。这一点在有些应用场合很重要,例如企业的远程办公用户之间需要交流保密信息,客户到客户的vpn方案是一种很好的解决手段。
3、支持的协议
自建vpn应根据需要选择隧道协议,目前pptp、l2tp和ipsec是比较常用的协议。一般远程访问vpn(即客户到lan)多选择l2tp协议,为安全起见,还需选择ipsec来提供加密。网络互联(lan到lan)和端到端连接多选择ipsec协议。pptp由于简单易用,而且支持nat路由,因此在有些场合下也使用。总之,ipsec是最安全的隧道协议,多数vpn产品都支持该协议。当然越来越多的vpn产品开始支持pptp和l2tp协议。
除隧道协议之外,还要考察vpn可承载协议、nat(网络地址转换)以及路由协议的支持情况。许多vpn产品的可承载协议除ip协议之外,还支持ipx、netbios等网络协议。对nat的支持对于一些网络共享的应用非常重要,ipsec本身并不支持nat,但可在vpn产品中加进这一功能。与ipsec产生直接冲突的是网络地址端口转换(napt)和网络地址转换(nat)。
nat和napt在宽带网络中应用很广,许多网络服务供应商都使用这种技术。ipsec vpn方案如果不支持napt,在这些场合就没有意义了。
4、是否集成防火墙功能
vpn将ip数据包加密封装,往往会影响防火墙的性能,甚至影响安全策略的定义。一般来说,独立的vpn产品与防火墙难以协同工作,特别是来自不同厂家的产品。最好选择集成防火墙功能的vpn产品。
5、产品的基本配置
vpn的基本配置参数如下:
① 可支持的最大连接数。即使是小型网络,最少应不低于100,高端产品能支持数万个连接。
② vpn实现机制。有纯软件、纯硬件、软硬结合以及专用设备等方式。
③ 可提供的网络接口。常见的是以太网口,还有e1、t1等接口。
④ 操作系统平台,指vpn产品本身所采用的操作系统,许多产品都采用专有的操作系统。
6、vpn的管理性
提供专用的vpn管理软件或平台对于一个复杂的vpn网络很重要,可简化管理,减轻了系统管理员的负担。
7、vpn的开放性和扩展性
vpn产品应提供与第三方安全产品协同工作的能力,应适应多种平台。便于扩展,以适应vpn网络的扩展和升级。
8、产品的其他功能
其他功能包括硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密、认证、日志、审核等)、认证机制(radius、数字证书)和密钥管理等。
另外,在选择vpn方案和产品的时候,不要单纯从组网和安全的技术角度考虑,还要考虑vpn的具体用途和所需成本。对于中小型vpn网络来说,经济实用才是最重要的。
| 
