作者最近正在忙一件比较头疼的事,那就是为分公司、办事处、出差人员、合作单位解决访问公司总部网络资源的问题,同时要求总部对分公司、办事处访问Internet进行控制。大家都知道这种情况需要用VPN(Virtual Private Network,虚拟私有网络)技术解决,但选哪种VPN技术还是挺有讲究的,下面作者就谈谈这方面的心得吧! VPN是指在公用网络
上建立一个私有的、专用的虚拟通信网络。在企业网络中VPN广泛应用于分支机构和出差员工连接公司总部网络。VPN网络和VPN技术通常是如何分类的呢? 根据建设单位不同分类:
这种分类根据绿隔热玻璃VPN网络端点设备(关键设备)由运营商提供,还是由企业自己提供来划分。
∙ 租用运营商VPN专线搭建企业VPN网络:目前主要指租用运营商MPLS VPN专线,比如联通、电信都提供MPLS VPN专线服务。跟传统的租用传输专线(比如租用E1、SDH专线)相比,MPLS VPN专线的优势主要在于线路租用成本低。
∙ 用户自建企业VPN网络:目前最常用的就是基于Internet建立企业VPN网络,具体技术包括GRE、L2TP带通滤波器、IPSec、SSL VPN等。这种方案企业只需要支付设备购买费用和上网费用,没有VPN专线租用费用;另外企业在网络控制方面享有更多的主动权、更方便企业进行网络调整。作者要分享的正是这类VPN。
根据组网方式不同分类:
∙
远程访问VPN(Access VPN):适合出差员工VPN拨号接入的场景。员工可以在任何能够接入公网的地方,通过远程拨号接入企业内网,从而访问内网资源。
∙
∙
局域网到局域网的VPN(也称为网关到网关的VPN):它适用于公司两个异地机构的局域网互连。
∙
根据应用场景不同分类:
∙ 远程访问VPN:Access VPN面向出差员工。允许出差员工跨越公用网络远程接入公司内部网络。
∙ Intranet VPN(企业内部虚拟专网):Intranet VPN通过公用网络进行企业内部各个网络的互连。
∙ Extranet VPN大豆油墨(扩展的企业内部虚拟专网):Extranet VPN是指利用VPN将企业网延伸至合作伙伴处,使不同企业间通过公网来构筑VPN。Intranet VPN 和Extranet VPN的不同点主要在于访问公司总部网络资源的权限有区别。
按照VPN技术实现的网络层次进行分类:
∙
基于数据链路层的VPN:L2TP、L2F、PPTP。其中L2F和PPTP已经基本上被L2TP替代了,作者不再关注这两种技术了。
∙
∙
基于网络层的VPN:GRE、IPSec。
垄玥菲∙
∙
基于应用层的VPN:SSL。
∙
基于Internet的VPN技术有一个共同点就是必须解决VPN网络的安全问题:
∙
出差员工的地理接入位置不固定,其所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确控制。接入认证涉及身份认证技术。
∙
∙
木醋合作伙伴需要根据业务开展的情况,灵活进行授权,限制合作伙伴可以访问的网络范围、可以传输的数据类型。此时推荐对合作伙伴进行身份认证,认证通过后进行可以通过策略配置等对合作伙伴的权限进行限制。
∙
∙
另外分支机构、合作伙伴和出差用户与公司总部之间的数据传输都必须是安全的。都涉及数据加密和数据验证技术。
∙
下面简单讲解一下VPN用到的几个关键技术点:
1、隧道技术
隧道技术是VPN的基本技术,类似于点到点连接技术。它的基本过程就是在数据进入源VPN网关后,将数据“封装”后通过公网传输到目的VPN网关后再对数据“解封装”。“封装/解封装”过程本身就可以为原始报文提供安全防护功能,所以被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。不同的VPN技术封装/解封装的过程完全不同,具体封装过程在每个协议中详细介绍。
2、身份认证技术
主要用于移动办公的用户远程接入的情况。通过对用户的身份进行认证,确保接入内部网络的用户是合法用户,而非恶意用户。
不同的VPN技术能提供的用户身份认证方法不同:
