SSL是一种加密传输控制协议(TCP)在OSI栈的第4层操作的协议。最初由Netscape开发,SSL允许两个工作站通过Internet之间的通信安全交换。在传输层安全(TLS)由IETF的批准,SSL 3.0版表示在其TLS 1.0的基础。SSL和TLS使用的加密系统使用两个密钥对数据进行加密,公钥为大家所熟知且只有该邮件的收件人的私人或秘密密钥。HTTP通常是通过SSL或TLS保护开展了安全交易如信用卡信息交换。安全HTTP(S-HTTP)是SSL提供类似功能的另一种协议。SSL创建客户机和服务器,在其上数据的任何量可以被安全地发送之间的安全连接;S-HTTP被设计为安全地传输单独的消息。IETF已经批准了这两个协议SSL和S-HTTP;它们是互补而不是竞争的技术。
最后,分割路由是路由技术以分离的IP通信,从而VPN可以通过分离从特定网络源和目的地为指定的目的地的流量来创建。
表3-1显示了在VPN解决方案部署的考虑光MPLS,IPsec和SSL之间的直接比较,并帮助决策者选择合适的技术,以满足他们的业务需求。
表3-1 MPLS,IPsec的比较,以及SSL部署
| 基于MPLS的VPN | 基于IPSec的VPN | SSL-VPN基于 | |
| 拓扑 | 站点到站点VPN:中枢辐射型或全网状。 | 站点到站点VPN:主要枢纽 - 轮辐和轮毂的双备份。 远程接入VPN:VPN主要是头端与冗余。 |
远程接入VPN:端点与负载在头端平衡到终点。 |
| IPSec会话认证 | 设置过程中建立VPN成员,基于逻辑端口和独特的路线描述上。 定义服务配置过程中访问到VPN服务组,拒绝未经授权的访问。 |
通过数字证书或预共享密钥进行身份验证。 丢弃那些不符合安全策略的数据包。 |
与扩展握手过程允许客户端与虚拟服务器发起会话。 |
| 保密 | 分隔流量,达到可信帧中继或ATM网络环境中提供相同的结果。 | 在IP网络层使用灵活的加密和隧道机制套件。 | 使用标准的对称密码加密流量。 |
| 基于服务质量的服务水平协议 | 启用SLA具有可扩展的,强大的QoS机制和流量工程能力。 | 没有解决QoS和SLA直接,虽然思科的IPsec VPN部署可以保留数据包分类为IPsec隧道内的QoS。 | 不适用;服务提供商网络是不知道SSL流量。 |
| 可扩展性 | 高度可扩展的,因为没有站点到站点的对等是必需的。 能够在同一个网络支持的VPN数以万计。 |
站点到站点的VPN;在最典型的中心辐射型部署可接受的可扩展性。 可扩展性成为一个非常大的,全网状的IPsec VPN部署的挑战;需要补充的规划和协调,地址密钥分配,密钥管理,和对等配置。 远程访问VPN:在所述头端可扩展性与VPN集中型设备的寻址。 |
负载均衡需要在头端因为SSL需要点到终点的连接。 不适用在客户端站点由于运营商网络不知道SSL流量。 |
| 管理 | MPLS监控,要求交通工程。 需要一次性的客户边缘和提供商边缘设备供应,以使现场成为MPLS VPN组的成员。 |
减少了通过集中式网络级供应为IPsec VPN上CPE终止运营费用。 采用集中供应的的IPsec VPN的网络设备终端。典型地映射到MPLS VRF的指定实例。 可以在任何现有的IP网络或Internet上进行部署。 前端的需求,以确保IPsec连接发起每秒和数量的同时IKE协商的可以加工IKE会话。 |
无需管理客户端,因为SSL支持从端点标准。 头端需要监测和容量管理,以确保同时SSL连接的每秒SSL连接和数量可以在头端被终止。 |
| VPN客户端 | 透明的终点,因为不需要标签交换知识。 MPLS VPN是一种基于网络的VPN服务;用户不需要VPN客户端与网络进行交互。 |
需要客户端发起的IPsec VPN部署。 思科VPN客户端软件是由微软的Windows,Solaris和Linux和Macintosh操作系统的支持。 |
不需要;依赖于Web浏览器。 |
| 在网上邻居 | 核心网。 | 本地环路,边,断网。 | 本地环路,边,断网。 |
| 透明度 | 驻留在网络层。 对应用程序透明。 |
驻留在网络层。 对应用程序透明。 |
驻留在会话层。 目前,许多基于TCP的应用程序使用SSL;然而,语音和视频远程客户端一般不超过SSL连接运行。 |
概要
由传统的技术定义,如帧中继和ATM MPLS VPN提供了安全性。MPLS集成二层约一个服务提供商的网络内的网络链路,例如带宽,等待时间,和利用到第3层(IP)信息,以简化和改善IP的分组交换。
构建MPLS VPN互连提供企业网络的有效传输机制,又提供了从其他业务流量穿越的共享基础架构的流量分离。因为对于企业运营所需的高可用性是通过转移和周围路由链路故障,拥堵和交通瓶颈提供MPLS VPN是灵活的。
除了数据分离,的MPLS VPN还提供优质的服务来管理不同类型的数据流根据业务优先级和业务服务计划。
的IPsec VPN几乎任何数据,语音,视频或在办公室可用的应用程序扩展到远程工作地点提供了最强大的远程接入环境中的远程用户。在远程系统上的IPsec VPN客户端软件能够通过提供简单的应用程序访问和系统完整性执法办公环境一致的用户体验和工作流程。的IPsec VPN提供的网络访问远程用户最多的综合水平,因此办事处的生产力延伸到几乎任何位置。这种“任何应用程序的访问”取得的IPsec VPN用于扩展连接到家庭办公室,出差的员工,远程工作人员,和日增的事实标准。
基于SSL的VPN是一种较新的技术,可以从几乎使用Web浏览器和本地SSL加密任何支持Internet的位置提供了远程访问连接。虽然应用程序可访问性是相对于的IPSec VPN的限制,基于SSL的VPN允许访问一组通用应用软件越来越多。基于SSL的VPN需要对用户的工作流程略有变化,因为某些应用程序通过Web浏览器界面中,而不是通过他们的原生界面。客户机/服务器应用支持通常需要特定的和有时浏览器的小应用程序依赖要被动态地下载到远程系统。使用Web技术进行连接,您可以无障碍几乎从任何联网的系统,而无需安装额外的桌面软件。因为基于SSL的VPN几乎可以从任何联网的系统向用户提供网络接入,它是用于远程访问延伸到谁需要访问特定应用程序的用户的新兴选择。
版权所有©2007培生教育。版权所有。