資源大小:741.92 KB |
資源類型:文檔 |
|
下載積分: 0 |
|
|
|
|
資源介紹 |
|
VPN 介紹:(VPN工作于第3層)
概述:隨著企業(yè)網(wǎng)應(yīng)用的不斷發(fā)展��,企業(yè)網(wǎng)的范圍也不斷擴(kuò)大���,從一個(gè)本地網(wǎng)絡(luò)發(fā)展到跨地區(qū)跨城市甚至是跨國(guó)家的網(wǎng)絡(luò)�����。與此同時(shí)隨著互聯(lián)網(wǎng)絡(luò)的迅猛發(fā)展�,Internet已經(jīng)遍布世界各地,從物理上講Internet把世界各地的資源相互連通�。正因?yàn)镮nternet是對(duì)全世界開放的,如果企業(yè)的信息要通過Internet進(jìn)行傳輸���,在安全性上可能存在著很多問題。但如果采用專用線路構(gòu)建企業(yè)專網(wǎng)��,往往需要租用昂貴的跨地區(qū)數(shù)據(jù)專線���。如何能夠利用現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)呢����?虛擬專用網(wǎng)(VPN)技術(shù)就成為一個(gè)很好的解決方案����。虛擬專用網(wǎng)(VPN)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò),數(shù)據(jù)通過安全的"加密通道"在公共網(wǎng)絡(luò)中傳播����。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的Internet����,各地的機(jī)構(gòu)就可以互相傳遞信息��;同時(shí)�,企業(yè)還可以利用Internet的撥號(hào)接入設(shè)備���,讓自己的用戶撥號(hào)到Internet上��,就可以連接進(jìn)入企業(yè)網(wǎng)中����。使用VPN有節(jié)省成本��、提供遠(yuǎn)程訪問��、擴(kuò)展性強(qiáng)�、便于管理和實(shí)現(xiàn)全面控制等優(yōu)點(diǎn),將會(huì)成為今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)�。
虛擬專用網(wǎng)的本質(zhì)實(shí)際上涉及到密碼的問題。在無法保證電路安全�����、信道安全�����、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下��,或者也不相信其他安全措施的情況下�����,一種行之有效的辦法就是加密�,而加密就是必須考慮加密算法和密碼的問題���?紤]到我國(guó)對(duì)密碼管理的體制情況,密碼是一個(gè)單獨(dú)的領(lǐng)域�����。對(duì)防火墻而言���,是否防火墻支持對(duì)其他密碼體制的支持���,支持提供API來調(diào)用第三方的加密算法和密碼,非常重要����。
VPN通常采用的加密標(biāo)準(zhǔn)是3DES����,然而它的算法相當(dāng)復(fù)雜���,加密過程需要很多計(jì)算處理步驟�,這會(huì)影響到系統(tǒng)性能���,增加加密設(shè)備的帶寬開銷�。
另一類新型加密標(biāo)準(zhǔn)是AES(增強(qiáng)加密標(biāo)準(zhǔn))�,它采用的算法要簡(jiǎn)單些,但目前還只有Check Point和Nortel支持�。AES具備較大的密鑰空間,不易攻破�����,AES有望在不遠(yuǎn)的將來取代3DES�。對(duì)大多數(shù)公司來說,主要是選擇加密標(biāo)準(zhǔn)(3DES或AES)��,至于與加密相關(guān)的其它功能���,如IKE(Internet密鑰交換)會(huì)話����、加密密鑰生成、通道協(xié)議以及安全機(jī)制組合都易于設(shè)置��,一般運(yùn)用產(chǎn)品的默認(rèn)設(shè)置也就可以了���。
VPN的安全協(xié)議:
PPTP-Point to Point Tunnel Protocal(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)
這是一個(gè)最流行的Internet協(xié)議����,它提供PPTP客戶機(jī) 與PPTP服務(wù)器之間的加密通信��,它允許公司使用專用的“ 隧道”���,通過公共Internet來擴(kuò)展公司的網(wǎng)絡(luò)。通過Internet的數(shù)據(jù)通信�����,需要對(duì)數(shù)據(jù)流進(jìn)行封裝和加密����,PPTP就可以實(shí)現(xiàn)這兩個(gè)功能,從而可以通過Internet實(shí)現(xiàn)多功能通信�����。這就是說,通過PPTP的封裝或“隧道”服務(wù)�,使非IP網(wǎng)絡(luò)可以獲得進(jìn)行Internet通信的優(yōu)點(diǎn)。但是PPTP會(huì)話不可通過代理器進(jìn)行�,PPTP是Microsoft和其它廠家支持的標(biāo)準(zhǔn),它是PPTP協(xié)議的擴(kuò)展���,它可以通過Internet建立多協(xié)議VPN���。
L2TP-Layer2 Tunneling Protocol(第二層隧道協(xié)議)
除Microsft外,另有一些廠家也做了許多開發(fā)工作����,PPTP能支持Macintosh和Unix,Cisco的L2F(Layer2 Forwarding)就是又一個(gè)隧道協(xié)議��。Microsoft���、Cisco和其它一些網(wǎng)絡(luò)廠商正一起努力使L2F與PPTP融合�,產(chǎn)生一個(gè)新的L2TP協(xié)議����。PPTP和L2TP十分相似�,因?yàn)長(zhǎng)2TP有一部分就是采用PPTP協(xié)議����,兩個(gè)協(xié)議都允許客戶通過其間的網(wǎng)絡(luò)建立隧道,L2TP正在由包括Microsoft在內(nèi)的幾家廠商開發(fā)�����。L2TP還支持信道認(rèn)證��,但它沒有規(guī)定信道保護(hù)的方法���。
IPSEC—Internet Portocol Security(因特網(wǎng)協(xié)議安全性)
該協(xié)議正在IETF(因特網(wǎng)工程任務(wù)組)的指導(dǎo)下開發(fā)����。開發(fā)這個(gè)協(xié)議的目的是要解決當(dāng)前協(xié)議中存在的一些缺點(diǎn)���,這個(gè)標(biāo)準(zhǔn)開發(fā)完成最快也要在一年以后。Microsoft承諾支持L2TP和IPSEC����。IPSEC是由IETFIP安全性工作組定義的協(xié)議集,它用于確保網(wǎng)絡(luò)層之間的安全通信。該協(xié)議草案建議使用IPSEC協(xié)議集保護(hù)IP網(wǎng)和非IP網(wǎng)上的L2TP業(yè)務(wù)���,以及如何將IPSEC和L2FP一起使用����,但它并未試圖將端對(duì)端的安全性標(biāo)準(zhǔn)化�����。
SOCKs
SOCKs是一個(gè)網(wǎng)絡(luò)連接的代理協(xié)議��,它使SOCKs一端的主機(jī)完全訪問SOCKs����;而另一端的主機(jī)不要求IP直接可達(dá)。SOCKs能將連接請(qǐng)求進(jìn)行鑒別和授權(quán)�����,并建立代理連接和傳送數(shù)據(jù)��。SOCKs通常用作網(wǎng)絡(luò)防火墻�����,它使SOCKs后面的主機(jī)能通過Internet取得完全的訪問權(quán),而避免了通過Internet對(duì)內(nèi)部主機(jī)進(jìn)行未授權(quán)訪問��。目前��,有SOCKsV4和SOCKsV5二個(gè)版本���,SOCKsV5可以處理UDP�,而SOCKsV4則不能�����。
VPN在網(wǎng)絡(luò)中拓?fù)涫疽鈭D如1-1所示��。
圖1-1 VPN網(wǎng)絡(luò)拓?fù)鋱D
VLAN技術(shù):
VLAN具有以下優(yōu)點(diǎn):
① 控制網(wǎng)絡(luò)的廣播風(fēng)暴
② 確保網(wǎng)絡(luò)安全
③ 簡(jiǎn)化網(wǎng)絡(luò)管理
1 ��、VLAN概述
VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)��,是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)����。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。
VLAN(虛擬局域網(wǎng))是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段���,不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置�����、作用�����、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組����������;诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域��、廣播域����、帶寬問題。
VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN����,即VLAN)���,每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性����。但由于它是邏輯地而不是物理地劃分,所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里�����,即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段���。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中����,從而有助于控制流量��、減少設(shè)備投資�、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性����。
VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭�,用VLAN ID把用戶劃分為更小的工作組����,限制不同工作組間的用戶二層互訪�����,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)���。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組����,動(dòng)態(tài)管理網(wǎng)絡(luò)。
VLAN在交換機(jī)上的實(shí)現(xiàn)方法����,可以大致劃分為4類:
1、 基于端口劃分的VLAN
這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分���,比如Quidway S3526的1~4端口為VLAN 10���,5~17為VLAN 20,18~24為VLAN 30�����,當(dāng)然,這些屬于同一VLAN的端口可以不連續(xù)�����,如何配置��,由管理員決定���,如果有多個(gè)交換機(jī)����,例如��,可以指定交換機(jī) 1 的1~6端口和交換機(jī) 2 的1~4端口為同一VLAN��,即同一VLAN可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī)����,根據(jù)端口劃分是目前定義VLAN的最廣泛的方法,IEEE 802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來劃分VLAN的國(guó)際標(biāo)準(zhǔn)�。
這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單,只要將所有的端口都指定義一下就可以了���。它的缺點(diǎn)是如果VLAN A的用戶離開了原來的端口�,到了一個(gè)新的交換機(jī)的某個(gè)端口,那么就必須重新定義�。
2、 基于MAC地址劃分VLAN
這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分��,即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組���。這種劃分VLAN的方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí),即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)�����,VLAN不用重新配置����,所以,可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN�����,這種方法的缺點(diǎn)是初始化時(shí)�����,所有的用戶都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶的話���,配置是非常累的�。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低���,因?yàn)樵诿恳粋(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員���,這樣就無法限制廣播包了。另外���,對(duì)于使用筆記本電腦的用戶來說���,他們的網(wǎng)卡可能經(jīng)常更換,這樣�����,VLAN就必須不停的配置�����。
3、 基于網(wǎng)絡(luò)層劃分VLAN
這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的�����,雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址�����,比如IP地址�,但它不是路由,與網(wǎng)絡(luò)層的路由毫無關(guān)系�����。它雖然查看每個(gè)數(shù)據(jù)包的IP地址��,但由于不是路由���,所以,沒有RIP���,OSPF等路由協(xié)議���,而是根據(jù)生成樹算法進(jìn)行橋交換,
這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了,不需要重新配置所屬的VLAN����,而且可以根據(jù)協(xié)議類型來劃分VLAN,這對(duì)網(wǎng)絡(luò)管理者來說很重要��,還有���,這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN���,這樣可以減少網(wǎng)絡(luò)的通信量。
這種方法的缺點(diǎn)是效率低�,因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法),一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭�,但要讓芯片能檢查IP幀頭,需要更高的技術(shù)��,同時(shí)也更費(fèi)時(shí)�����。當(dāng)然���,這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)���。
4����、 根據(jù)IP組播劃分VLAN
IP 組播實(shí)際上也是一種VLAN的定義��,即認(rèn)為一個(gè)組播組就是一個(gè)VLAN�,這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng),因此這種方法具有更大的靈活性�,而且也很容易通過路由器進(jìn)行擴(kuò)展,當(dāng)然這種方法不適合局域網(wǎng)��,主要是效率不高��。
鑒于當(dāng)前業(yè)界VLAN發(fā)展的趨勢(shì)�,考慮到各種VLAN劃分方式的優(yōu)缺點(diǎn)��,為了最大程度上地滿足用戶在具體使用過程中需求��,減輕用戶在VLAN的具體使用和維護(hù)中的工作量�����,Quidway S系列交換機(jī)采用根據(jù)端口來劃分VLAN的方法��。
TPC基準(zhǔn)程序:是一個(gè)專門負(fù)責(zé)計(jì)算機(jī)事務(wù)處理能力的測(cè)試標(biāo)準(zhǔn)。
|
|
|
下載地址 |
|
|
| |
