虚拟网络VPN的平台分类
一:软件平台VPN
当对数据连接速率较低要求不高,对性能和安全性要求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能,如checkpoint software 和Aventail Corp等公司的产品。甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。
这类VPN网络一般性能较差,数据传输速率较低,同时在安全性方面也比较低,一般仅适用于连接用户较少的小型企业。
二:专用硬件平台VPN
使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com等,国内的如华为、联想等。
这类VPN平台虽然投资了大量的硬件设备,但是它具有先天的不足,就是成本太高,对于中、小型企业很难承受。并且由于全是由硬件来构成的平台,因此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适,因为它们都有这方面的人才和资金优势。不过现在的主流VPN硬件设备制造商都能提供相应的管理软件来支持,如Cisco、3COM公司等,这在后面章节中将具体介绍它们的VPN解决方案。
三:辅助硬件平台VPN
这类VPN的平台介于软件平台和指定硬件平台的之间,辅助硬件平台的VPN主要是指以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。这是一种最为常见的VPN平台,性能也是最好的一种。但是通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还得添加专业的VPN设备,如VPN交换机、VPN网关或路由器等,对于一个完善的、高性能的VPN网络这些设备在一定程度上来说是非常必要的。
这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性,同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省了总体投资。目前绝大多数企业VPN方案选用。
虚拟网络VPN的协议
VPN隧道协议主要有三种: PPTP、L2TP和IPSec,PPTP和L2TP协议是工作在OSI/RM开放模型中的第二层,所以又称之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议,那就是Cisco公司的L2F(Layer 2 Forwarding)协议。在VPN网络中最常见的第三层隧道协议是IPSec,但另一种GRE(Generic Routing Encapsulation,通用路由封装协议,在RFC 1701中早有描述)也是属于一个第三隧道协议。
第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用,但合理的运用两层协议,将具有更好的安全性。例如: L2TP与IPSec协议的配合使用,可以分别形成L2TP VPN、IPSec VPN网络,也可混合使用L2TP、IPSec协议形成性能更强的L2TP VPN网络,且这一VPN网络形式是目前性能最好、应用最广的一种,因为它能提供更加安全的数据通信,解决了用户的后顾之忧。
VPN的部署模式
VPN的部署模式从本质上描述了VPN通道的起始点和终止点,不同的VPN模式适用于不同的应用环境,满足不同的用户需求,总的来说有3种VPN部署模式:
①端到端(End-to-End)模式;
该模式是自建VPN的客户所采用的典型模式,也是最为彻底的VPN网络。在这种模式中企业具有完全的自主控制权,但是要建立这种模式的VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常见的隧道协议是IPSec和PPTP。这种模式一般只有大型企业才有条件采用,这种模式最大的好处,也是最大的不足之处就是整个VPN网络的维护权都是由企业自身完成,需花巨资购买成套昂贵的VPN设备,配备专业技术人员,同时整个网络都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企业到NSP之间的透明段。
②供应商―企业(Provider-Enterprise)模式;
这是一种外包方式,也是目前一种主流的VPN部署方式,适合广大的中、小型企业组建VPN网络。在该模式中,客户不需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协议有L2TP、L2F和PPTP。
③内部供应商(Intra-Provider)模式。
这也是一种外包方式,与上一种方式最大的不同就在于用户对NSP的授权级别不同,这种模式非常适合小型企业用户,因为这类企业一般没有这方面的专业人员,自身维护起来比较困难,可以全权交给NSP来维护。这是很受电信公司欢迎的模式,因为在该模式中,VPN服务提供商保持了对整个VPN设施的控制。在该模式实现中,通道的建立和终止都是在NSP的网络设施中实现的。对客户来说,该模式的最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。最大的足也就是用户自身自主权不足,存在一定的不安全因素。
VPN的服务类型
根据VPN应用的类型来分,VPN的应用业务大致可分为3类:IntranetVPN、Access VPN与Extranet VPN,但更多情况下是需要同时用到这三种VPN网络类型,特别是对于大型企业。
(1)Access VPN
Access VPN又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
Access VPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括能随时使用如模拟拨号Modem、ISDN、数字用户线路(xDSL)、无线上网和有线电视电缆等拨号技术,安全地连接移动用户、远程工作者或分支机构。典型网络拓扑结构如图1.3所示。这种方式相对传统的拨号访问具有明显的费用优势,对于需要移动办公的企业来说不失为一种经济安全、灵活自由的好方式,所以这种方式通常也是许多大、中型企业所必需的。当然它也可以独自存在,如一些小型商务企业。
(2) Intranet VPN
Intranet VPN即企业的总部与分支机构间通过VPN虚拟网进行网络连接。随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。如果要进行企业内部各分支机构的互联,使用Intranet VPN是很好的方式。这种VPN是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤作为传输介质。它的特点就是容易建立连接、连接速度快,最大特点就是它为各分支机构提供了整个网络的访问权限。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在因特网上组建世界范围内的IntranetVPN。利用因特网的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。如图1.4所示的是企业自建的IntranetVPN 网络拓扑结构示意图。
(3) Extranet VPN
Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。如果是需要提供B2B电子商务之间的安全访问服务,则可以考虑选用Extranet VPN。