網路管理員入門VPN基礎知識詳解二

2. 主要vpn協議

通過前面的介紹知道vpn隧道協議主要有三種:***p、l2tp和ipsec，***p和l2tp協議是工作在osi/rm開放模型中的第二層，所以又稱之為第二層隧道協議。其實在第二層隧道協議中還有一種不是很主流的協議，那就是cisco公司的l2f(layer 2 forwarding)協議。

在vpn網路中最常見的第三層隧道協議是ipsec，但另一種gre(generic routing encapsulation，通用路由封裝協議，在rfc 1701中早有描述)也是屬於乙個第三隧道協議。

第二層隧道和第三層隧道的本質區別在於使用者的資料報是被封裝在哪一層的資料報隧道裡傳輸的。第二層隧道協議和第三層隧道協議一般來說分別使用，但合理的運用兩層協議，將具有更好的安全性。例如:

l2tp與ipsec協議的配合使用，可以分別形成l2tp vpn、ipsec vpn網路，也可混合使用l2tp、ipsec協議形成效能更強的l2tp vpn網路，且這一vpn網路形式是目前效能最好、應用最廣的一種，因為它能提供更加安全的資料通訊，解決了使用者的後顧之憂。

3. vpn的部署模式

vpn的部署模式從本質上描述了vpn通道的起始點和終止點，不同的vpn模式適用於不同的應用環境，滿足不同的使用者需求，總的來說有3種vpn部署模式:

(1)端到端(end-to-end)模式;

該模式是自建vpn的客戶所採用的典型模式，也是最為徹底的vpn網路。在這種模式中企業具有完全的自主控制權，但是要建立這種模式的vpn網路需要企業自身具備足夠的資金和人才實力，這種模式在總體投金上是最多的。最常見的隧道協議是ipsec和***p。

這種模式一般只有大型企業才有條件採用，這種模式最大的好處，也是最大的不足之處就是整個vpn網路的維護權都是由企業自身完成，需花巨資購買成套昂貴的vpn裝置，配備專業技術人員，同時整個網路都是在加密的隧道中完成通訊的，非常安全，不像外包方式中存在由企業到nsp之間的透明段。

(2)**商―企業(provider-enterprise)模式;

這是一種外包方式，也是目前一種主流的vpn部署方式，適合廣大的中、小型企業組建vpn網路。在該模式中，客戶不需要購買專門的隧道裝置、軟體，由vpn服務提供商(nsp)提供裝置來建立通道並驗證。然而，客戶仍然可以通過加密資料實現端到端的全面安全性。

在該模式中，最常見的隧道協議有l2tp、l2f和***p。

(3)內部**商(intra-provider)模式。

這也是一種外包方式，與上一種方式最大的不同就在於使用者對nsp的授權級別不同，這種模式非常適合小型企業使用者，因為這類企業一般沒有這方面的專業人員，自身維護起來比較困難，可以全權交給nsp來維護。這是很受電信公司歡迎的模式，因為在該模式中，vpn服務提供商保持了對整個vpn設施的控制。在該模式實現中，通道的建立和終止都是在nsp的網路設施中實現的。

對客戶來說，該模式的最大優點是他們不需要做任何實現vpn的工作，客戶不需要增加任何裝置或軟體投資，整個網路都由vpn服務提供商維護。最大的足也就是使用者自身自主權不足，存在一定的不安全因素。

4. vpn的服務型別

根據vpn應用的型別來分，vpn的應用業務大致可分為3類:intra***vpn、access vpn與extra*** vpn，但更多情況下是需要同時用到這三種vpn網路型別，特別是對於大型企業。

(1)access vpn

access vpn又稱為撥號vpn(即vpdn)，是指企業員工或企業的小分支機構通過公網遠端撥號的方式構築的虛擬網。如果企業的內部人員移動或有遠端辦公需要，或者商家要提供b2c的安全訪問服務，就可以考慮使用accessvpn。

access vpn通過乙個擁有與專用網路相同策略的共享基礎設施，提供對企業內部網或外部網的遠端訪問。accessvpn能使使用者隨時、隨地以其所需的方式訪問企業資源。access vpn包括能隨時使用如模擬撥號modem、isdn、數字使用者線路(xdsl)、無線上網和有線電視電纜等撥號技術，安全地連線移動使用者、遠端工作者或分支機構。

典型網路拓撲結構如圖1.3所示。這種方式相對傳統的撥號訪問具有明顯的費用優勢，對於需要移動辦公的企業來說不失為一種經濟安全、靈活自由的好方式，所以這種方式通常也是許多大、中型企業所必需的。

當然它也可以獨自存在，如一些小型商務企業。

(2) intra*** vpn

intra*** vpn即企業的總部與分支機構間通過vpn虛擬網進行網路連線。隨著企業的跨地區、國際化經營，這是絕大多數大、中型企業所必需的。如果要進行企業內部各分支機構的互聯，使用intra*** vpn是很好的方式。

這種vpn是通過公用網際網路或者第三方專用網進行連線的，有條件的企業可以採用光纖作為傳輸介質。它的特點就是容易建立連線、連線速度快，最大特點就是它為各分支機構提供了整個網路的訪問許可權。

越來越多的企業需要在全國乃至世界範圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網路連線方式一般是租用專線。顯然，在分公司增多、業務開展越來越廣泛時，網路結構趨於複雜，費用昂貴。利用vpn特性可以在網際網路上組建世界範圍內的intra***vpn。

利用網際網路的線路保證網路的互聯性，而利用隧道、加密等vpn特性可以保證資訊在整個intra***vpn上安全傳輸。intra***vpn通過乙個使用專用連線的共享基礎設施，連線企業總部、遠端辦事處和分支機構。企業擁有與專用網路的相同政策，包括安全、服務質量(qos)、可管理性和可靠性。

如圖1.4所示的是企業自建的intra***vpn 網路拓撲結構示意圖。

(3) extra*** vpn

extra*** vpn即企業間發生收購、兼併或企業間建立戰略聯盟後，使不同企業網通過公網來構築的虛擬網。如果是需要提供b2b電子商務之間的安全訪問服務，則可以考慮選用extra*** vpn。

隨著資訊時代的到來，各個企業越來越重視各種資訊的處理。希望可以提供給客戶最快捷方便的資訊服務，通過各種方式了解客戶的需要，同時各個企業之間的合作關係也越來越多，資訊交換日益頻繁。網際網路為這樣的一種發展趨勢提供了良好的基礎，而如何利用網際網路進行有效的資訊管理，是企業發展中不可避免的乙個關鍵問題。

利用vpn技術可以組建安全的extra***，既可以向客戶、合作夥伴提供有效的資訊服務，又可以保證自身的內部網路的安全。

extra*** vpn通過乙個使用專用連線的共享基礎設施，將客戶、**商、合作夥伴或興趣群體連線到企業內部網。企業擁有與專用網路的相同政策，包括安全、服務質量(qos)、可管理性和可靠性。典型結構如圖1.

5所示。

extra*** vpn對使用者的吸引力在於:能容易地對外部網進行部署和管理，外部網的連線可以使用與部署內部網和遠端訪問vpn相同的架構和協議進行部署。主要的不同是接入許可，外部網的使用者被許可只有一次機會連線到其合作人的網路，並且只擁有部分網路資源訪問許可權，這要求企業使用者對各外部使用者進行相應訪問許可權的設定。

典型網路結構如圖1.5所示。

以上三種vpn模式，其實在後面將要介紹的windows 2000系統中的vpn網路中都統歸於兩種模式，即:遠端訪問vpn和路由器到路由器vpn，「遠端訪問vpn」對應於本節所介紹的access vpn(vpdn)模式，而「extra*** vpn」和「intra*** vpn」則可統歸「路由器到路由器vpn」模式。但是又不能完全這麼劃分，因為不同系統中對vpn模式的分類標準和前提不太一樣，本節所介紹的這三種vpn模式是基於整個vpn網路來劃分的，而在windows 2000系統中的這種vpn模式劃分是的前提是在純軟體方式下進行的。

網路管理員入門VPN基礎知識詳解二

網路管理員必學知識

網路管理員網管

網路管理員職責

網路管理員入門VPN基礎知識詳解二

網路管理員必學知識

網路管理員網管

網路管理員職責

相關推薦