本章主要关注VPN技术、协议和概念。本章将比较多协议标签交换(MPLS)、IP安全(IPsec)和安全套接字层(SSL),让您更好地了解为VPN解决方案选择每种技术的好处和不足。这是一个独立的章节,不需要通过第一章“VPN技术的承诺:从任何地方到任何地方的安全访问”就可以阅读。Even though this chapter is more technical in nature, it is essential for managers and CIOs of organizations considering deployment of a VPN solution to review this material. The comparisons in this chapter help develop an appreciation for the design considerations, deployment challenges, and management of technology for a successful VPN solution implementation.
选择正确的VPN解决方案——技术入门
在这篇技术入门文章中,考虑到VPN部署,讨论了三种技术,并进行了比较,因为这条捷径的主要焦点是决定如何实现VPN。在做出最初的决定之后,您可以从其他几个捷径中详细了解技术、协议和概念的细节。本章帮助您在做出实施决策之前比较以下三种VPN技术的关键因素:
MPLS
IPsec
SSL
注意:要详细了解基于MPLS的VPN,请阅读Ivan Pepelnjak和Jim Guichard撰写的MPLS和VPN架构。
要详细了解IPsec VPN,请阅读由Vijay Bollapragada、Mohamed Khalid和Scott Wainner撰写的IPsec VPN设计。
指标表明MPLS是一个不错的选择
MPLS本质上是一种标签交换技术,在第二层以一种高效的方式提供交换,使IP数据包的传递比正常的IP路由在第三层更快。此外,MPLS VPN提供了ATM和帧中继第2层服务的隐私性和服务质量(QoS),以及IP的灵活性、可伸缩性和连通性。我们现在可以第一次将它们组合成一个服务。
我们可以这样做的原因是,MPLS是建立在基于标签的转发层3的模型。这本质上为IP增值服务提供了基础。
MPLS vpn提供了将用户和服务灵活分组到具有任意服务的任意组的能力。这是一个基本的要素,是一个基础的变化,以准备网络基础设施,以低成本和快速的方式提供IP服务。
通过MPLS vpn提供低成本管理的IP服务是可行的,因为较低的运营成本允许服务提供商向具有所需管理能力的企业提供私有IP服务。
以下因素可以帮助企业决定何时使用MPLS:
公司需要sla来保证网络运行。
与帧中继或ATM类似的通信隔离满足了安全需求。
流量模式适合部分或全部网格拓扑。
企业计划将其数据、视频和语音流量集中到一个网络上;因此,对延迟敏感的流量,如语音、视频或关键任务数据,必须接收必要的QoS。
实现是非常大的或不断增长的。
企业希望部署多播应用程序。
企业希望部署附加的增值应用程序,如多媒体会议、电子协作或业务流程应用程序,如订单履行、企业资源规划(ERP)或客户关系管理(CRM)。
该企业想将其广域网外包出去。
注意:MPLS VPN的上述因素参考如下:http://cisco.com/en/US/partner/netsol/ns465/networking_solutions_white_paper0900aecd801b1b0f.shtml
MPLS的用户体验
作为一种基于网络的VPN服务,MPLS不需要使用VPN客户端。企业终端用户通常会像平常一样与网络进行交互。
对于远程工作者和移动工作者,可以为远程用户配置文件分配一个虚拟路由转发(VRF)实例,并且可以相应地交换属于该VRF的IP包。如果这些远程工作者和移动工作者正在穿越一个公共互联网,他们可以使用IPsec来安全传输IP数据包。在聚合点或前端(可能是提供程序边缘(PE)路由器)上终止IPsec隧道之后,所有明文流量都可以映射到随后进行标签交换的VRF实例中。
MPLS的优势
基于mpls的VPN对于企业的主要优势如下:
网络安全- mpls通过使用路线区分器,在同一核心网络上的不同vpn之间实施流量分离。当供应VPN并将其放置在包头中时,将自动分配唯一路由区分器。MPLS VPN隐私与传统的广域网(WAN)基础设施(如帧中继和ATM)中的隐私类似,其有效性已由Miercom公司进行了验证,该公司提供独立的网络服务测试和分析。服务提供商可以设计网络,使客户路由器不知道核心网络,而核心路由器不知道客户的优势。
可伸缩性——一个执行良好的、基于mpls的VPN部署可以很容易地扩展以适应公司的增长或变化。它不需要其他VPN架构所需要的全网格、端到端对等连接。例如,当一个新站点被添加到VPN时,公司或服务提供者只需要在新站点和提供者边缘之间建立本地对等网络。它不需要在其他现有站点重新配置CPE,从而节省了大量的运营成本。
对sla - sla的支持对于对网络性能和弹性有严格要求的企业非常重要。基于mpls的vpn通过提供可伸缩的、健壮的QoS机制、有保障的带宽和流量工程功能来支持sla。通过在核心网络中部署流量工程,服务提供商网络工程师可以实现策略,以帮助确保最优的流量分配和提高整体网络使用率。
何时实施MPLS
由于MPLS VPN为IP服务提供了基础,所以当您期望使用它来部署未来的IP服务时,部署它是必要的。IP电话解决方案就是一个例子。MPLS为以经济有效的方式提供IP电话提供了一个很好的基础,而IP电话对于商业通信至关重要。
一般来说,当没有加密的QoS和隐私需要保证时,选择MPLS vpn。
MPLS VPN建设与购买的考虑
对于企业来说,迁移到MPLS VPN是一种技术转变。随着广域网路路由器连接到互联网,企业不得不承担购买带宽的成本。建议寻找MPLS包,因为要真正从Internet连接中获益,并为合作伙伴、移动销售人员和远程工作人员提供访问,直接在WAN路由器上部署VPN VRFs变得非常重要。
对于业务IT部门来说,构建MPLS vpn是一项相当艰巨的任务。具有足够的设计、部署和部署经验的人员是部署VPN的必要条件。随着MPLS vpn的日益商品化,企业将it部门在某一阶段建立的MPLS vpn外包出去变得越来越普遍。同样,对于企业来说,在购买带宽时进行协商可以帮助确定允许服务提供商管理路由器的包,从而解放IT部门,同时准备好业务技术,以便能够非常快速地部署其他IP服务。
MPLS VPN的缺点
随着市场中技术的不断变化,部署MPLS VPN并没有真正的缺点。就IT部门的技能水平而言,MPLS VPN需要更多的熟练员工,而由于技术的大规模部署,这些员工可能已经供不应求。实际上,部署MPLS VPN的优点远远大于缺点。
指标表明IPsec是一个不错的选择
IPsec部署的主要驱动程序是通过加密获得的机密性。在遵守法规要求时必需的CIAN的其他租户成为企业的强制要求。
IPv4的设计考虑到了它在运行中的安全性。这可以追溯到互联网从“继承信任模型”转变为“普遍不信任模型”的历史,攻击和恶意活动对连接到互联网的企业产生了不利影响。企业还希望保护其知识产权,特别是在技术、生物技术和制造等领域,部署IPsec来增加MPLS VPN提供的隐私。
以下因素可以帮助企业确定何时使用IPsec:
企业需要数据加密或用户和设备身份验证等安全措施。IPsec提供了MPLS、帧中继或ATM网络固有的通信隔离之外的强大安全性。由于MPLS VPN支持的可伸缩性和QoS支持,选择MPLS VPN架构的企业在需要额外的安全功能(如数据加密)时,有时会使用IPsec对其进行扩充。
成本考虑很重要。IPsec VPN可以跨任何现有的IP网络部署,从而避免了构建新网络的资金和运营成本。
企业需要将其企业网络资源扩展到地理上分散的远程工作者和移动工作者。
快速部署非常重要,因为业务可以快速添加新站点或扩展到新位置。IPsec节省了时间,因为它只需要对现有IP网络基础设施进行很少或不进行更改。
交通流遵循轮辐拓扑结构。
注意:IPsec VPN的上述因素参考于http://cisco.com/en/US/partner/netsol/ns465/networking_solutions_white_paper0900aecd801b1b0f.shtml
IPsec的用户体验
站点到站点和远程访问vpn的用户体验略有不同。
远程接入的用户体验
通常,用户调用VPN软件客户端并选择适当的目的地,例如主机名或IP地址。在成功地进行身份验证和设置IPsec隧道之后,用户可以像从办公室访问应用程序一样访问应用程序。IPsec允许访问几乎所有的网络应用程序,而不需要修改托管站点或客户机。
站点的用户体验
对于通过基于ip的VPN实现站点到站点的连接,用户不需要在他们的计算机上安装客户端软件。相反,位于分支机构的用户启动应用程序,就好像它位于本地一样。在分公司的启用了IPsec的VPN路由器自动启动与中心办公室的IPsec会话。当会话协商和身份验证成功后,在分支机构和中心办公室之间建立一个安全的VPN隧道,用户无需进行任何操作。
IPsec的优势
基于ip的VPN对于企业的主要优势如下:
低成本的互联网接入可以用于网络传输。
强安全性——固有的强安全性特性支持用户身份验证、数据机密性和完整性。用户使用数字证书或预存密钥进行身份验证。不符合安全策略的数据包将被丢弃。
对远程工作者和移动工作者的支持—头端IPsec VPN设备可扩展到为成千上万地理上分散的用户服务。
部署方便——设置VPN不需要服务提供者的干预,尽管许多企业选择利用服务提供者的管理服务经验来进行区域或国家多点部署,以降低成本、加速服务引入和降低风险。
减少集线器站点的拥塞—当配置为拆分隧道时,远程VPN客户端可以直接转发internet传输的流量,而不是通过IPsec隧道,并建立一个隧道,只用于转发到集线器的相关流量。这减少了集线器站点上的拥塞。
何时实现IPsec
要实现VPN连接,特别是远程访问IPsec VPN,需要一个远程客户端。根据解决方案的不同,在连接到IPsec VPN前端的端站上安装一个软件VPN客户端,或者部署一个硬件客户端,为连接到LAN的多个客户端提供IPsec连接。反过来,只需要一个硬件VPN远程客户端连接到IPsec VPN前端,而来自LAN上所有终端站的流量都由IPsec VPN保护。考虑到这一点,以下是IPsec VPN是最佳部署解决方案的一些原因:
基于ip的vpn与应用程序无关。这意味着,只要提供了足够的IPsec VPN访问,任何应用程序都可以从任何地方访问。例如,高级应用程序(如电话或QoS)将能够在IPsec隧道上运行。
IPsec将允许访问几乎所有网络应用程序,而无需修改中心站点或客户端。
IPsec将支持几乎所有的应用程序,而不需要进行自定义更改。
由于IPsec是专为IP单播流量设计的,通过虚拟适配器概念对IP多播提供了足够的支持,因此IPsec可以提供与办公室相当的体验。