cjh VPN的应用场景及选择(几种VPN对比)
VPN的应用场景及选择(几种VPN对比)
VPN适用于以下基本场景,以及从以下场景中衍生的复杂场景。通过对比各种VPN的特点,可选择适合的VPN类型。
site-to-site VPN
site-to-site VPN即两个局域网之间通过VPN隧道建立连接。
如图所示,企业的分支和总部分别通过网关1和网关2连接到Internet。出于业务需要,企业分支和总部间经常相互发送内部机密数据。为了保护这些数据在Interner中安全传输,在网关1和网关2之间建立VPN隧道。
这种场景的特点为:两端网络均通过固定的网关连接到Internet,组网相对固定。且访问是双向的,即分支和总部都有可能向对端发起访问。适用于比如连锁超市、政府机关、银行等的业务通信。
此场景可以使用以下几种VPN实现:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。
如果您的组网有以下典型特征,可根据以下几项选择相应的VPN。
两端相互访问较频繁,传输的数据为机密数据,且任何用户都能访问对端内网,无需认证时,可采用IPSec方式。
只有一端访问另一端,且访问的用户必须通过用户认证时,可采用L2TP方式。
如果只有一端访问另一端,传输数据为机密数据,且访问的用户必须通过用户认证,可采用L2TP over IPSec方式,安全性更高。
GRE over IPSec隧道和IPSec over GRE隧道都可以用来安全的传输数据,两者的区别在于对数据的封装顺序不同。GRE
over IPSec在报文封装时,是先GRE封装然后再IPSec封装;IPSec over
GRE在报文封装时,是先IPSec封装再GRE封装。由于IPSec无法封装组播报文,因此IPSec over
GRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时,就要采用GRE over
IPSec方式。比如,当网络1和网络2中采用RIP建立路由时,由于RIP路由数据为组播数据,需采用GRE over
IPSec将RIP路由发送到对端。
各种VPN的深入介绍和配置方法请参见IPSec、L2TP VPN和GRE。不同VPN技术的特点如表所示。
site-to-site VPN场景下几种VPN对比
对比项 | IPSec | L2TP | L2TP over IPSec | GRE over IPSec | IPSec over GRE |
|---|---|---|---|---|---|
数据加密功能 | 支持,对隧道两端内网的需要加密的通讯数据进行加密。 数据加密功能强大,支持多种对称加密方式及组合。 | 不支持。 | 支持,通过IPSec进行加密。 | 支持,通过IPSec进行加密。 | 支持,通过IPSec进行加密。 |
用户认证功能 | 支持。 | 支持,用户认证方式包括本地认证、RADIUS服务器认证等。 LAC和LNS对用户进行双重认证,只有认证通过的用户才可访问企业内网服务器。 | 支持,通过L2TP进行用户认证。 | 不支持。 | 不支持。 |
对客户端的要求 | 无要求。 | 有支持PPP拨号的软件,如Windows系统自带的拨号软件。 | 与L2TP的要求相同。 | 无要求。 | 无要求。 |
是否支持隧道中间有NAT设备 | 支持。 | 支持。 | 支持。 | 支持。 | 不支持。 |
client-to-site VPN
client-to-site VPN即客户端与企业内网之间通过VPN隧道建立连接。
组网图如图2所示,外出差员工(客户端)跨越Internet访问企业总部内网,完成向总部传送数据、访问内部服务器等需求。为确保数据安全传输,可在客户端和企业网关之间建立VPN隧道。
这种场景的特点为:客户端的地址不固定。且访问是单向的,即只有客户端向内网服务器发起访问。适用于企业出差员工或临时办事处员工通过手机、电脑等接入总部远程办公。
图client-to-site VPN
此场景可以使用以下几种VPN实现:SSL、IPSec(IKEv2)、L2TP、L2TP over IPSec。
如果您的组网有以下典型特征,可根据以下几项选择相应的VPN。如果不是,则根据表2来选择:
如果对客户端没有要求,但是待访问的服务器要针对不同类型用户开放不同的服务、制定不同的策略等,可采取SSL方式。
出差员工或临时办事处员工,如果需要频繁访问某几个固定的总部服务器,且服务器功能对全部用户都开放的情况下,可采取L2TP over IPSec方式。
各种VPN的深入介绍和配置方法请参见SSL VPN、IPSec和L2TP VPN。
client-to-site VPN场景下几种VPN对比
对比项 | SSL | IPSec(IKEv2) | L2TP | L2TP over IPSec |
|---|---|---|---|---|
数据加密功能 | 支持,只对通信双方传输的应用层数据进行加密。 | 支持,对隧道两端的所有通讯数据均进行加密。 数据加密功能强大,支持多种对称加密方式及组合。 | 不支持。 | 支持,通过IPSec进行加密。 |
用户认证功能 | 支持,用户认证方式包括本地认证、RADIUS服务器认证、LDAP服务器认证等。 | 支持EAP认证。需要搭建第三方的认证服务器,如RADIUS服务器等。 | 支持,用户认证方式包括本地认证、RADIUS服务器认证等。 | 支持,通过L2TP进行用户认证。 |
对客户端的要求 | 有支持SSL协议的浏览器,如IE浏览器。 客户端不需进行任何配置,只需在浏览器中输入虚拟网关IP地址或域名即可进入登录界面。 | 有支持IKEv2和EAP认证的IPSec软件,如Windows 7自带软件等。 | 有支持L2TP拨号的软件,如VPN Client软件。 | 有支持L2TP拨号和支持IPSec的软件,如VPN Client软件。 |
是否支持隧道中间有NAT设备 | 支持。 | 支持。 | 支持。 | 支持。 |
BGP/MPLS IP VPN
BGP/MPLS
IP
VPN主要用于解决跨域企业互连等问题。当前企业越来越区域化和国际化,同一企业的不同区域员工之间需要通过服务提供商网络来进行互访。服务提供商网络往往比较庞大和复杂,为严格控制用户的访问,确保数据安全传输,需在骨干网上配置BGP/MPLS
IP VPN功能,实现不同区域用户之间的访问需求。
BGP/MPLS IP VPN为全网状VPN,即每个PE和其他PE之间均建立BGP/MPLS IP VPN连接。服务提供商骨干网的所有PE设备都必须支持BGP/MPLS IP VPN功能。
基本组网图如图所示。
图BGP/MPLS IP VPN
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » VPN的应用场景及选择(几种VPN对比)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm