新手指南!關(guān)于VPN的基本模型和協(xié)議

責(zé)任編輯:editor006

作者:寧飛虹編譯

2016-12-05 16:08:11

摘自:it168網(wǎng)站

取代了舊的幀中繼和撥號系統(tǒng)以來,在過去二十多年中,它已經(jīng)成為企業(yè)遠程連接的主要部分。DMVPN捆綁了幾種技術(shù),包括多點GRE隧道和下一跳解析協(xié)議(NHRP),以便遠離點到點連接,并允許構(gòu)建動態(tài)網(wǎng)格架構(gòu)。

自從虛擬專用網(wǎng)(VPN)取代了舊的幀中繼和撥號系統(tǒng)以來,在過去二十多年中,它已經(jīng)成為企業(yè)遠程連接的主要部分。VPN為遠程用戶和網(wǎng)絡(luò)提供低成本和安全連接的能力,同時在企業(yè)中發(fā)揮越來越重要的作用,因為如今的工作場所模式已轉(zhuǎn)移到遠程辦公。

多年來,我們已經(jīng)看到了基于傳統(tǒng)VPN架構(gòu)的穩(wěn)步改進,包括SSL VPN的興起。在文中,將介紹如今企業(yè)中使用的基本VPN模型和協(xié)議。

關(guān)于VPN的基本指南

  ●遠程訪問VPN

關(guān)于VPN的基本指南

這種類型的VPN是基于客戶端或遠程訪問形式的VPN,這是當客戶端設(shè)備(如PC、平板電腦或智能手機)通過Internet連接到遠程網(wǎng)絡(luò)時使用的, 一旦用戶發(fā)起遠程網(wǎng)絡(luò)的連接,該用戶必須在授予特定網(wǎng)絡(luò)訪問權(quán)之前進行認證。遠程訪問VPN非常適合在家中或旅行中工作的用戶,因為客戶端上的連接是動態(tài)的,這意味著客戶端設(shè)備可以位于互聯(lián)網(wǎng)上任何地方的不同IP地址進行鏈接。

●點到點VPN

關(guān)于VPN的基本指南

這種類型的連接用于擴展對遠程位置或第三方網(wǎng)絡(luò)的透明網(wǎng)絡(luò)訪問。它是一種靜態(tài)連接; 如果IP地址由于辦公室移動或因特網(wǎng)服務(wù)提供商的更改而發(fā)生改變,則必須手動更新VPN通道配置以反應(yīng)這些更改。這與基于客戶端的VPN的動態(tài)特性形成對比,它允許動態(tài)改變客戶端源IP地址。

●IPsec和SSL VPN

新手指南!關(guān)于VPN的基本模型和協(xié)議

在遠程訪問VPN中,您可能會運行兩種不同的協(xié)議類型。 第一個是經(jīng)典的IPsec(Internet協(xié)議安全)VPN,它需要客戶端軟件。 一旦用戶通過VPN隧道進行身份驗證并連接到遠程網(wǎng)絡(luò),就可以限制訪問,但只能在基本IP級別進行限制。但由于缺乏基于IPsec的遠程訪問VPN固有的粒度,許多IT部門已遷移到SSL VPN,允許管理員在應(yīng)用程序級別限制用戶訪問。 基于SSL的遠程訪問VPN的另一個好處是,您不一定需要在端點上安裝第三方軟件,就像使用基于IPsec的VPN一樣。

●IPsec和DMVPN

對于點到點VPN連接,企業(yè)使用IPsec隧道和稱為動態(tài)多點VPN(DMVPN)技術(shù)的混合。

IPsec隧道是一種低成本解決方案,用于關(guān)鍵遠程站點的備份連接,在專用WAN鏈路(如專用T1或MPLS電路)發(fā)生故障時啟動,VPN隧道自動形成并保持兩個網(wǎng)絡(luò)之間的連接,直到主鏈路恢復(fù)。使用IPsec VPN的問題是它是嚴格的靜態(tài)點對點技術(shù)。因此,基于IPsec的VPN網(wǎng)絡(luò)主要構(gòu)建為中心和分支網(wǎng)絡(luò)。但如果路由流量連續(xù)通過集線器從一個輻條到另一個輻條,這會導(dǎo)致效率低下的問題,這就需要DMVPN的幫助。

DMVPN捆綁了幾種技術(shù),包括多點GRE隧道和下一跳解析協(xié)議(NHRP),以便遠離點到點連接,并允許構(gòu)建動態(tài)網(wǎng)格架構(gòu)。DMVPN允許在兩個輻條之間的GRE隧道的動態(tài)鏈接和直接連接。因此,它消除了復(fù)雜的靜態(tài)配置,并減少了集線器VPN端點上的潛在流量瓶頸。

●新興VPN技術(shù)

即使使用今天最強大的VPN技術(shù),如果他們利用互聯(lián)網(wǎng)在位置之間的連接,基于擁塞或降級等優(yōu)化數(shù)據(jù)路徑都是不可能實現(xiàn)的。為了解決這個問題,幾個網(wǎng)絡(luò)供應(yīng)商正在合并VPN的安全性與SD-WAN的靈活性和敏捷性。

這種新興技術(shù)創(chuàng)建了一個框架,可以快速識別有問題的路徑并重新規(guī)劃這些區(qū)域周圍的路由流量,這允許最終用戶數(shù)據(jù)實時使用最佳路徑,以提供絕對最佳性能。 SD-WANs可以使用低成本的互聯(lián)網(wǎng)運營性能和專用WAN連接選項的混合組合。雖然一些網(wǎng)絡(luò)供應(yīng)商允許部署和控制內(nèi)部智能VPN解決方案,但還有很多其他網(wǎng)絡(luò)供應(yīng)商將這些技術(shù)作為基于云的服務(wù)。

VPN技術(shù)在過去二十年中取得了一定的進步。VPN過去是一種簡單的,非智能連接的技術(shù)。它即使可以幫助運營商級的廣域網(wǎng)減少一小部分成本,但不能把它作為一種高度適應(yīng)性的解決方案。由于WAN連接是IT部門不斷增加的成本負擔(dān),因此希望看到越來越多的企業(yè)組織在不久的將來選擇下一代智能VPN選項。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號