SSL协议进行加密传输控制协议(TCP)在第四层OSI的堆栈。最初由网景,允许一个安全的SSL交换两个工作站之间通过互联网沟通。批准在传输层安全性(Transport Layer Security, TLS)由IETF SSL版本3.0代表TLS 1.0建立的基础。SSL和TLS利用一个加密系统,使用两个密钥来加密数据——通常公钥众所周知和私人密钥只知道消息的接收者。HTTP是通常由SSL和TLS安全进行安全事务,比如信用卡信息交换。安全HTTP (S-HTTP)是另一个协议为SSL提供类似的功能。SSL创建一个客户端和服务器之间的安全连接,在任何可以安全地发送的数据量;S-HTTP旨在传递个人信息安全。IETF已批准协议SSL和S-HTTP;他们是互补的而不是竞争技术。
最后,把路由路由技术可以创建单独的IP流量,这样vpn通过将交通来自特定网络和注定要指定的目的地。
表3 - 1显示了MPLS之间的直接比较,IPsec, SSL VPN解决方案部署的考虑和帮助决策者选择适当的技术来满足他们的业务需求。
表3 - 1比较MPLS、IPsec和SSL部署
| MPLS-Based VPN | IPsec-Based VPN | 基于ssl VPN | |
| 拓扑结构 | 站点VPN:轮辐式或全网状。 | 站点VPN:主要轮辐式和双备份中心。 远程访问VPN:主要和冗余VPN前端。 |
远程访问VPN:端点到端点在前端负载均衡。 |
| IPsec的会话的身份验证 | 建立VPN会员在配置期间,基于逻辑端口和独特的路线描述符。 定义访问VPN服务集团在服务配置,否认了未经授权的访问。 |
通过数字证书或预共享密钥认证。 滴不符合安全策略的信息包。 |
握手过程与扩展允许客户与虚拟服务器发起会话。 |
| 保密 | 交通分离,达到相同的结果在信任的帧中继或ATM网络环境。 | 使用一个灵活的套件在IP网络层加密和隧道机制。 | 使用标准的对称密码加密流量。 |
| 基于服务质量的服务水平协议 | 使SLA和一个可伸缩的、健壮的QoS机制和交通工程能力。 | 不直接解决QoS和SLA,尽管思科IPsec VPN部署可以保存报文分类中的QoS IPsec隧道。 | 不适用;网络服务提供者不知道SSL流量。 |
| 可伸缩性 | 高度可伸缩的,因为不需要站点对等。 能够支持成千上万的vpn在同一网络。 |
站点VPN;可接受的最典型的轮辐式部署的可伸缩性。 可伸缩性成为非常大的挑战,全网状IPsec VPN部署;可能需要补充计划和协调解决密钥分发、密钥管理,凝视配置。 远程访问VPN:在前端解决可伸缩性与VPN集中器类型的设备。 |
负载平衡需要在前端因为SSL需要point-to-end点连接。 不适用在客户端站点因为服务提供者网络不知道SSL交通。 |
| 管理 | MPLS监控、交通工程必需的。 需要一次性客户边缘和提供者边缘设备的配置,使网站成为一个MPLS VPN组的成员。 |
减少操作费用通过集中式网络级配置对CPE IPsec VPN终止。 使用IPsec VPN终止的集中配置网络设备。通常映射到指定的MPLS多联机的实例。 可以部署在任何现有的IP网络或互联网。 前端需要确保IPsec连接每秒艾克发起会话的数量和同时IKE协商处理。 |
不需要管理客户端,因为SSL支持标准从端点。 前端需要监测和容量管理,确保SSL连接每秒的同时可以终止SSL连接因特网。 |
| VPN客户端 | 透明的端点,因为标签交换知识不是必需的。 MPLS VPN是一个基于网络的VPN服务;用户不需要VPN客户端与网络交互。 |
需要客户端发起的IPsec VPN部署。 思科VPN客户端软件支持Microsoft Windows、Linux和Solaris,麦金托什操作系统。 |
不是必需的,依赖于web浏览器。 |
| 在网络 | 核心网络。 | 本地环路、边缘和净。 | 本地环路、边缘和净。 |
| 透明度 | 驻留在网络层。 对应用程序透明。 |
驻留在网络层。 对应用程序透明。 |
驻留在会话层。 目前,许多基于tcp的应用程序使用SSL;然而,语音和视频远程客户端通常不运行在SSL连接。 |
总结
MPLS VPN提供遗产定义的安全技术、帧中继和ATM等。MPLS层2集成网络连接的信息,如带宽、延迟和利用到第三层(IP)在一个服务提供者的网络简化和改进IP包交换。
构建一个MPLS VPN相互交错的商业网络提供了一个高效的传输机制,还提供了从其他业务分离的交通交通穿越共享基础设施。MPLS vpn是灵活的,因为企业经营所需的高可用性是由转移和路由流量链接失败,阻塞和瓶颈。
除了数据分离、MPLS vpn还提供的服务质量管理不同类型的数据流基于流量优先级和业务服务计划。
IPsec VPN为远程用户提供最可靠的远程访问环境通过扩展几乎任何数据,语音或视频应用程序可用的远程工作地点在办公室。IPsec VPN客户端软件在远程系统使得用户体验和工作流的办公环境,提供简单的应用程序访问和系统完整性实施。IPsec VPN提供最全面的网络访问远程用户,因此办公室的生产力扩展到任何位置。这种“任何应用程序访问”了IPsec VPN的事实标准连接延伸到家庭办公室,员工旅行,远程工作者和填充剂。
基于SSL VPN是一个相对较新的技术,提供远程访问连接从几乎任何可以上网的地方使用web浏览器和它的原生SSL加密。虽然相对于IPsec vpn应用程序可访问性约束,基于ssl vpn允许访问越来越常见的软件应用程序。基于ssl VPN用户工作流需要轻微的改变,因为一些应用程序是通过一个浏览器界面,而不是通过他们的原生GUI。客户机/服务器应用程序支持通常需要特定的,有时它是依赖于浏览器的applet动态下载到远程系统。使用web技术连接允许从任何联网系统的可访问性,而不需要安装额外的桌面软件。因为基于ssl VPN可以从任何联网为用户提供网络访问系统,这是一个新兴的选择扩展远程访问用户需要访问特定的应用程序。
版权©2007培生教育。保留所有权利。