提供商配置的虚拟专用网(PPVPN)概述

提供商配置的虚拟专用网(PPVPN)是企业级VPN,主要由企业使用,以允许员工安全地远程访问其公司网络. PPVPN还用于通过Internet安全地将物理上独立的站点和网络彼此连接.


这样,不同的站点在用户看来就像一个完全集成的单一网络。想要运行公司VPN的公司可以构建和运行自己的专用VPN。或者,它可以从电信提供商或为企业对企业部门提供服务的ISP租借PPVPN服务。.

提供商配置的VPN具有易于实施和操作的优势。 VPN网络通常对用户透明,不需要单独的用户身份验证。根据协议和VPN体系结构,配置完成后,VPN两侧的参与最终用户主机可能不需要安装任何特殊的VPN软件即可使用提供商提供的VPN.

功率1功率1

在这篇文章中

PPVPN如何工作

PPVPN利用Internet上的虚拟流量链接。称为“隧道”,是使用诸如 GRE,MPLS,PPTP,L2TP和ipsec. 这些协议使私人公司流量可以遍历公共Internet,而不会影响连接或数据.

对于通过拨号,DLS路由器或无线LAN将单个用户连接到公司网络的远程访问VPN,使用的协议通常为PPTP或L2TP。对于将两个或多个站点网络相互连接的VPN,协议通常为GRE,IPsec或MPLS.

VPN隧道在每个站点的VPN网络网关之间建立,称为 “提供商边缘” 和 “客户优势” 设备。 VPN隧道在其中的一两个运行 OSI定义的通信层.

通常是OSI第2层或第3层。第2层隧道使用PPTP和L2TP。这是帧层,其中简单的以太网帧通过VPN传输。这也允许广播数据包通过VPN。 MPLS VPN也在此层运行.

第3层隧道的示例是 通用路由封装(GRE), 用于封装非IP流量以通过Internet传输而无需加密。 IPsec协议还使用了第3层,该协议兼有隧道和加密功能.

VPN拓扑

设置VPN有两种主要的拓扑。 – 基于网格, 每套终端设备之间直接进行通信,而无需通过中心点。这样可以提供更好的路由功能,但也意味着需要更多的隧道.

基于轮辐和轮辐, 每组终端设备都通过一个中心点相互通信。这种配置降低了复杂性和隧道数量,但同时也对可靠性提出了更高的要求,并导致中心点的流量开销增加。这也意味着将单点故障引入系统.

选择的拓扑类型将取决于所涉及网络的性质,要链接的站点数及其各自的连接性要求。有关VPN所使用的拓扑和体系结构的深入讨论,请参见本文 虚拟专用网解决方案分析 新南威尔士大学出版.

VPN安全性

VPN安全需要用户授权,身份验证和数据加密功能。 VPN隧道本身并不总是提供足够的安全性。这取决于所使用的特定协议。一些传输协议包含加密功能。别人不.

即使它是安全的,通过VPN传递的数据通常仍将仅在两个网关边缘设备之间受到保护。这意味着在VPN两端的主机和网关边缘之间传输的数据不受保护.

VPN传输协议

由于VPN通过公共互联网运行,因此在数据和连接安全性方面,所使用的传输协议至关重要。以下是用于PPVPN的当前最常遇到的VPN协议.

通用路由封装(GRE) GRE用于将任何协议封装到IP中。 GRE的较新版本,称为 增强型GRE 允许更有效的传输。 GRE与PPTP一起使用以创建VPN隧道.

点对点隧道协议(PPTP) PPTP是用于点对点连接的第2层协议。传统上,这些是使用 点对点协议(PPP). PPTP是PPP的进一步发展,并使用Microsoft专有的安全机制 CHAP(质询握手身份验证协议) 用于身份验证。 PPTP在PC或笔记本电脑等PPTP最终客户端与启用了PPTP的服务器之间提供了VPN隧道.

每个要使用PPTP的设备都需要安装和配置PPTP客户端软件。 PPTP依次使用GRE将PPP帧封装为IP数据包。请注意,许多数据包筛选防火墙设备默认情况下会阻止PPTP端口,因此它们可能需要重新配置以允许PPTP通信通过。 PPTP的另一个问题是,该协议早已被证明本质上是不安全的.

一般而言,您不希望将PPTP与提供商配置的VPN一起使用. 第2层隧道协议(L2TP) L2TP替代了PPTP。与PPTP一样,L2TP在L2TP客户端和启用L2TP的服务器之间提供通信。它要求在每个系统上安装和配置L2TP客户端软件.

但是,与使用GRE隧道传输数据的PPTP不同,L2TP具有自己的隧道协议,该协议运行在UDP端口1701上。与PPTP相比,它使L2TP不受阻碍地通过数据包过滤设备。 L2TP隧道模拟PPP连接,每个L2TP隧道包括两个通道:管理通信会话的控制通道和承载PPP格式的实际数据包的数据通道。丢失的控制消息总是被重新发送.

但是,与PPTP一样,除了在会话开始时使用CHAP进行的基于初始质询的身份验证之外,L2TP不提供任何安全性,因此L2TP本身不应该用于VPN。增加L2TP安全性的一种常用方法是将其与IPsec捆绑在一起,以通过L2TP隧道提供加密.

互联网协议安全性(IPsec) IPsec是一套经过验证的成熟协议集,包含三个主要组件: 身份验证标头(AH),封装安全有效载荷(ESP)和Internet密钥交换(IKE) 它负责IPsec的数据加密。 IPsec在IP数据包层提供安全性.

IPsec是一种网络级协议,可以合并到服务器,客户端和其他设备中,例如路由器,专用VPN集中器或防火墙中。自2000 / XP和Mac OSX 10.3+起的所有Windows版本以及大多数移动操作系统都对L2TP和IPsec都提供了本机支持。 IPsec保护每个IP数据包,无论它是TCP,UDP还是其他类型的数据包。 IPsec通常被认为是最安全,最有效的VPN传输协议,但它也有一些局限性.

身份验证标头(AH) AH提供用户身份验证以及数据包标头和数据的完整性保护。但是,AH不执行任何数据包加密。因此,AH和ESP倾向于捆绑在一起。由于身份验证功能已添加到ESP中,因此AH的重要性已降低,并且某些IPsec系统不再包含它.

但是,AH仍然是有用的功能,因为它提供了与仍依赖它的设备和软件的向后兼容性。请务必注意,AH具有两种模式:运输和隧道。在隧道模式下,AH为每个数据包创建一个新的IP标头。在通常用于主机到主机直接连接(例如PC到服务器或服务器到服务器)的传输模式下,AH不会更改原始IP头,也不会创建新的IP头。这意味着,如果您使用网关到网关VPN或主机到网关VPN,则必须确保设备已设置为将数据包的源IP地址或目标IP地址重新配置为指向网关IP地址。否则,数据包将无法到达目的地.

封装安全有效载荷(ESP) 最初,ESP仅为数据包数据提供加密,而完整性保护由AH协议负责。在更高版本的IPsec中,ESP现在可以同时执行加密,完整性保护或加密和完整性保护。与AH一样,ESP具有传输模式和隧道模式。对于大多数VPN,使用隧道模式。在这种情况下,ESP为每个包含隧道端点地址的数据包添加一个新的IP标头.

IPsec的潜在问题

将IPsec与NAT(网络地址转换)网关一起使用可能会出现问题。如果流量要通过NAT网关,因为AH传输模式与NAT不兼容,所以只能在隧道模式下使用AH。另一个问题是AH对整个IPsec数据包(包括IP标头)进行身份验证,而NAT需要能够修改数据包的IP地址.

结果,隧道模式下的IPsec身份验证可能无法与某些应用协议流量配合使用,例如FTP,SIP / VOIP或IRC,它们依赖于嵌入式IP地址才能正常运行。一种解决方法是在应用IPsec之前执行NAT功能。这可以通过使用还执行NAT的IPsec网关来完成.

另一种选择是通过向每个数据包添加一个UDP报头来对ESP数据包进行UDP封装,以提供NAT可以使用的IP地址和UDP端口。 IPsec对于最终的外端特别有用,在最终的外端连接到用户PC和便携式计算机时明确需要加密。 IPsec也是唯一为远程登录主机提供安全VPN访问的协议。美国国家标准技术研究院(NIST)已发布了一份详细的 ipsec VPN指南 如果您正在认真考虑实现基于IPsec的VPN,则值得阅读.

多协议标签交换(MPLS)

直到2000年代初,IPsec是电信和ISP向企业提供的默认VPN服务提供商协议。但是从那时起,MPLS已经开始变得越来越流行。 MPLS通常被描述为适合于OSI第2层和第3层。这是因为MPLS可以理解第3层的IP路由以及第2层的分组交换功能。 MPLS “多协议” 顾名思义,它可以承载来自各种不同网络协议的数据包。现在,许多服务提供商网络都提供了MPLS,并且已经为其自身的Internet主干网部署了MPLS。.

MPLS在第2层(交换层)转发数据包。在此阶段避免了IP路由的需要,因为每个数据包在进入服务提供商的网络时都由传入或“进入”标签边缘路由器或LER进行标记。所有后续的MPLS参与标签交换路由器(LSR)仅根据这些标签执行数据包转发,而无需引用IP头中的地址.

最后,出局或“出局” LER路由器删除MPLS标签,并将IP数据包转发到其最终目的地。服务提供商有时会将MPLS VPN称为虚拟专用LAN服务(VPLS)或虚拟专用路由网络(VPRN)。 MPLS与IPsec相比具有许多优势.

首先,MPLS不再依赖于每个数据包的一系列路由器表查找,而是使用自己的预定路径(称为“标签交换路径”)预先为所有数据包选择最佳路由。这大大加快了数据传输.

MPLS还具有出色的服务质量(QoS)功能。 MPLS通过使用自己的标签交换协议(LSP)路由来满足多个服务级别的定义,以根据流量特性,延迟,数据包丢失和停机时间问题满足特定的服务级别协议。例如,网络可以定义三个服务级别–一个用于VOIP流量,一个用于时间敏感流量,另一个用于标准数据流量。 EETimes发表了一篇有关 MPLS的PPVPN解决方案的实施.

那么哪种协议最适合PPVPN?

小型企业倾向于将IPsec用于OSI第三层的VPN,尤其是远程访问主机。在这些情况下,具有L2TP的IPsec或具有GRE的IPsec将是首选协议。 PPTP的优点是易于实现,因为它可以作为MS-Windows和许多其他系统的内置项使用.

但是,由于安全缺陷,建议不要将PPTP用于安全VPN。请记住,IPsec和GRE本身不支持QoS功能。由于其网络连接要求的复杂性,IPSec在中型和大型企业中很少遇到.

对于移动用户和远程访问登录,不能选择MPLS。 MPLS停在“客户边缘”或CE设备(通常是路由器)上。 MPLS最适合在网站的路由器边缘之间以及大型企业中部署站点到站点VPN,特别是对于具有较高流量和受益于QoS隔离的不同类型流量的网络。如果您正在寻找合适的MPLS VPN提供商,请查看 英国和全球MPLS VPN商业服务提供商列表 由网络联盟维护。

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me