本章的重点是VPN技术、协议和概念。本章介绍多协议标签交换(MPLS)、IP安全(IPsec)和安全套接字层(SSL)的比较,使您更好地了解为VPN解决方案选择每种技术的优缺点。这是一个独立的部分,可以阅读,而不需要阅读第1章,“VPN技术承诺:从任何地方到任何地方的安全访问”。尽管这一章更具技术性,但对于考虑部署VPN解决方案的组织的经理和首席信息官来说,审查本材料是至关重要的。本章中的比较有助于了解成功实施VPN解决方案的设计考虑因素、部署挑战和技术管理。
选择正确的VPN解决方案——技术入门
在这篇技术入门文章中,我们讨论了三种技术,并对其进行了比较,因为这条捷径的主要关注点是决定如何实现VPN。在您做出最初的决定之后,您可以从其他几个捷径中详细了解有关技术、协议和概念的细节。这一章帮助你比较以下三种VPN技术的关键因素,然后再做你的实现决定:
MPLS
IPsec
SSL
注意-要了解基于MPLS的VPN的详细信息,请阅读Ivan Pepelnjak和Jim Guichard的《MPLS和VPN架构》。
想要更详细地了解IPsec VPN,可以参考Vijay Bollapragada、Mohamed Khalid和Scott Wainner的IPsec VPN设计。
表明MPLS是一个好的选择
MPLS本质上是一种标签交换技术,并以一种时间效率的方式在第2层提供交换,使IP包的交付比在第3层的正常IP路由更快。此外,MPLS VPN还提供了ATM和帧中继层2业务的隐私性和服务质量(QoS),以及IP的灵活性、可扩展性和连通性。现在,我们第一次可以将它们组合成单个服务。
我们可以这样做的原因是MPLS是在第3层基于标签的转发上建模的。这基本上为IP增值服务提供了基础。
MPLS vpn能够灵活地将用户和服务分组到具有任意服务的任意组中。这是一个基本要素,也是为网络基础设施准备以经济高效和快速的方式提供IP服务的一个基本变化。
在MPLS VPN上提供低成本的托管IP服务是可行的,因为较低的运营成本允许服务提供商向具有所需管理能力的企业提供私有IP服务。
以下因素可以帮助企业决定何时使用MPLS:
公司需要sla来保证网络运营。
通过类似于帧中继或ATM的业务分离来满足安全需求。
流量模式适用于部分或全网格拓扑。
企业计划将其数据、视频和语音流量汇聚到单个网络中;因此,对延迟敏感的流量(如语音、视频或关键任务数据)必须接收必要的QoS。
实施规模非常大或正在增长。
企业要部署多播应用程序。
企业希望部署附加增值应用程序,如多媒体会议、电子协作或业务流程应用程序,如订单履行、企业资源规划(ERP)或客户关系管理(CRM)。
企业希望将其广域网外包出去。
注意-MPLS VPN的上述因素可参考以下内容:http://cisco.com/en/US/partner/netsol/ns465/networking_solutions_white_paper0900aecd801b1b0f.shtml
MPLS用户体验
作为一种基于网络的VPN服务,MPLS不需要使用VPN客户端。企业终端用户通常会像平常一样与网络交互。
对于远程工作者和移动工作者,可以为远程用户配置文件分配一个虚拟路由转发(VRF)实例,并且属于这个VRF的IP包可以相应地进行切换。如果这些远程工作者和移动工作者通过公共互联网,他们可以使用IPsec来安全传输IP包。在聚合点或头端(可能是提供者边缘(PE)路由器)上结束IPsec隧道后,所有明文通信可以映射到VRF实例中,该实例随后被交换标签。
MPLS优势
对于企业来说,基于mpls的VPN的主要优点如下:
网络安全MPLS通过路由区分器实现同一核心网络上不同vpn之间的流量分离。当配置VPN并将其放置在数据包标头中时,将自动分配唯一的路由区分符。MPLS-VPN隐私与传统的广域网基础设施(如帧中继、ATM)中的隐私相似,其有效性已被Miercom所证明,它提供了对网络服务的独立测试和分析。服务提供商可以设计网络,使客户路由器不知道核心网络,而核心路由器不知道客户边缘。
可扩展性—一个执行良好、基于MPLS的VPN部署可轻松扩展以适应公司的增长或变化。它不需要其他VPN架构所需的完全网状、端到端对等。例如,当一个新站点被添加到VPN中时,公司或服务提供商只需要在新站点和提供商边缘之间建立本地对等。它不需要在其他现有站点重新配置CPE,从而大大节省了运营成本。
对SLAs sla的支持对于对网络性能和弹性有严格要求的企业非常重要。基于MPLS的vpn通过提供可扩展、健壮的QoS机制、有保证的带宽和流量工程功能来支持sla。通过在核心网络中部署流量工程,服务提供商网络工程师可以实施策略来帮助确保最佳的流量分配和提高总体网络使用率。
何时实施MPLS
由于MPLS VPN为IP服务提供了基础,当您预期使用它来部署将来的IP服务时,部署是必不可少的。IP电话解决方案就是一个例子。MPLS为以成本效益的方式提供商务通信所必需的IP电话提供了良好的基础。
一般情况下,在保证QoS和保密性的前提下,选择MPLS vpn。
MPLS VPN建设与购买的考虑因素
对于企业来说,迁移到mplsvpn是一种技术转变。随着广域网路由器连接到互联网,企业不得不承担购买带宽的成本。建议寻找MPLS捆绑包,因为要真正受益于Internet连接并提供与合作伙伴、移动销售人员和远程工作人员的访问,直接在WAN路由器上部署VPN VRF变得越来越重要。
对于企业IT部门来说,建立MPLS vpn是一项艰巨的任务。设计、部署和展示的熟练人员对于部署VPN至关重要。随着MPLS vpn的商品化,业务外包由it部门在某一阶段建立的MPLS vpn变得越来越普遍。同样,对于企业来说,在采购带宽时的谈判可以帮助确定bundle,允许服务提供商管理路由器解放IT部门,同时准备好业务技术,以便其他IP服务可以非常迅速地部署。
MPLS VPN的缺点
随着市场技术的不断变化,部署mplsvpn并不存在真正的缺点。就IT部门的技能水平而言,mplsvpn需要更熟练的员工,因为大规模部署该技术,这些员工可能已经供不应求。实际上,部署mplsvpn的好处远远大于缺点。
表明IPsec是一个不错的选择
IPsec部署的主要驱动因素是由于加密而获得的机密性。在遵守监管要求时,CIAN的其他租户成为企业的强制性要求。
IPv4在设计上有一些考虑因素,使其在运行中更加安全。这要追溯到互联网从“继承信任的模式”转变为“普遍不信任的模式”,历史上的攻击和恶意活动对连接到互联网的企业造成不利影响。企业也希望保护自己的知识产权,特别是在技术、生物技术和制造业等领域,部署IPsec来增加mplsvpn提供的隐私。
以下因素有助于企业确定何时使用IPsec:
企业需要数据加密或用户和设备身份验证等安全措施。IPsec提供了强大的安全性,超越了MPLS、帧中继或ATM网络固有的流量分离。由于MPLSVPN的可扩展性和QoS支持而选择MPLSVPN体系结构的企业在需要额外的安全功能(如数据加密)时,有时会使用IPsec对其进行扩展。
成本考虑很重要。IPsec VPN可以部署在任何现有的IP网络上,避免了构建新网络的资本和运营费用。
企业需要将其企业网络资源扩展到地理上分散的远程工作者和移动工作者。
快速部署非常重要,因为企业可以快速添加新站点或扩展到新位置。IPsec节省了时间,因为它几乎不需要对现有的IP网络基础设施进行任何更改。
交通流遵循轴辐式拓扑结构。
注意-IPsec VPN的上述因素引用自http://cisco.com/en/US/partner/netsol/ns465/networking_solutions_white_paper0900aecd801b1b0f.shtml
IPsec用户体验
站点对站点和远程访问vpn的用户体验略有不同。
远程访问用户体验
通常,用户调用VPN软件客户端并选择适当的目的地,例如主机名或IP地址。成功的身份验证和IPsec隧道设置之后,用户可以像从办公室访问应用程序一样。IPsec允许访问几乎所有的网络应用程序,而不需要修改托管站点或客户端。
站点到站点用户体验
对于通过基于IPsec的VPN的站点到站点的连接,用户不需要在其计算机上安装客户端软件。如果用户在本地分支机构,则作为本地分支机构启动。分支机构中启用IPsec的VPN路由器会自动启动与中心局的IPsec会话。在会话协商和身份验证成功后,在分支机构和中心局之间建立一个安全的VPN隧道,用户无需任何操作。
IPsec的优势
基于IPsec的VPN对企业的主要优势如下:
低成本低成本的互联网接入可用于网络传输。
强安全性——固有的强安全性特性支持用户身份验证、数据机密性和完整性。使用数字证书或预共享密钥对用户进行身份验证。不符合安全策略的数据包将被丢弃。
对teleworkers和mobile workers前端IPsec VPN设备的支持可扩展到数千个地理位置分散的用户。
易于部署尽管许多企业选择利用服务提供商的托管服务经验进行区域或国家级多站点部署,以降低成本、加快服务引入和降低风险,但无需服务提供商干预即可建立VPN。
减少了集线器站点的拥塞当配置为分割隧道时,远程VPN客户端可以直接转发以互联网为目的的流量,而不是通过IPsec隧道,并且只为转发到集线器的相关流量建立一个隧道。这减少了集线器站点的拥塞。
何时实施IPsec
要实现VPN连接,特别是IPsec VPN的远程访问,需要一个远程客户端。根据不同的解决方案,在端站上安装一个软件VPN客户端连接到IPsec VPN头端,或者部署一个硬件客户端,为连接到LAN的多个客户端提供IPsec连接。反过来,只有一个硬件VPN远程客户端需要连接到IPsec VPN头端,并且来自LAN上所有端站的流量都由IPsec VPN保护。请记住,IPsec VPN是部署的最佳解决方案的原因如下:
基于IPsec的vpn与应用程序无关。这意味着只要提供足够的IPsec VPN访问,任何应用程序都可以从任何地方访问。例如,IPsec隧道可以通过电话等高级应用来实现。
IPsec将允许访问几乎所有的网络应用程序,而无需对中心站点或客户端进行修改。
IPsec将支持几乎所有应用程序,而无需自定义更改。
由于IPsec仅为IP单播通信量设计,通过虚拟适配器概念充分支持IP多播,IPsec可以提供与办公室相当的体验。