无论您身在何处或拥有何种福彩三d字谜连接,都可以使用您可能需要的所有数字资源,这已成为大多数人的生活方式。无论您是与其他企业共享数据的企业,还是需要随时保持联系的旅行者,对资源的访问都是理所当然的。

尽管托管在公共云中的应用程序在使位置成为非问题上还有很长的路要走,但出于安全和隐私等原因,许多资源是私有托管的。 通常通过VPN(虚拟专用福彩三d字谜)来处理对这些专用资源的访问.

VPN技术是一个简单明了的想法:通过不信任的福彩三d字谜将您信任的人安全地连接到他们所需的资源。

诀窍在于知道何时使用哪种VPN类型。让我们考虑几种不同的VPN类型,并考虑它们适合的位置。我们将介绍两种主要的VPN类型 基于客户端的VPN类型 and 基于福彩三d字谜的VPN类型.

基于客户端的VPN类型

基于客户端的VPN是在单个用户和远程福彩三d字谜之间创建的虚拟专用福彩三d字谜。 VPN连接通常涉及一个应用程序。

在大多数情况下,用户手动启动VPN客户端,并使用用户名和密码进行身份验证。客户端在用户计算机和远程福彩三d字谜之间创建一个加密的隧道。然后,用户可以通过加密隧道访问远程福彩三d字谜。

基于客户端的VPN应用的示例包括Cisco的 AnyConnect ,Pulse(以前的瞻博福彩三d字谜)和Palo Alto Networks 全球保护 .

Windows,Mac和移动操作系统通常内置有基于标准的VPN客户端选项。例如,Mac OS X 10.10包括基于IPsec的L2TP(第2层隧道协议)和PPTP(点对点隧道协议)。对于Mac用户,甚至包括基于标准的Cisco IPsec和一些Cisco增强功能。

请注意,尽管IPsec多年来一直是首选的客户端VPN协议,但最近使用SSL的频率更高。例如,思科不再更新其旧版IPsec客户端。相反,思科的首要客户端VPN解决方案AnyConnect使用SSL。

基于客户端的VPN应用程序使用户可以轻松地将笔记本电脑或移动设备从任何地方连接到您的私有资源。例如,我在旅行时使用iPhone,iPad和Mac上的VPN客户端连接到总部。这使我可以跨设在设备与总部防火墙之间的安全VPN隧道远程管理福彩三d字谜。

除了基本 连通性 ,VPN客户端通常提供增强的安全功能。一种是在允许用户进入福彩三d字谜之前仔细检查其设备的能力。例如,在身份验证过程中,Cisco AnyConnect 客户端可以(除其他事项外)验证设备是否已安装特定版本的防病毒软件并且是特定Windows域的一部分。这使IT团队能够以简单身份验证失败以外的其他原因拒绝客户端VPN设备。

高级VPN客户端需要支付许可费用。尽管客户端软件可能是免费的,但防火墙通常是通过允许的同时VPN连接数量来许可的。例如,您可能已将1,000个VPN客户端部署到用户的设备,但只需要许可防火墙即可在任何给定时间支持500个VPN客户端。

基于福彩三d字谜的VPN类型

基于福彩三d字谜的VPN是虚拟专用福彩三d字谜,可以跨不信任的福彩三d字谜将两个福彩三d字谜安全地连接在一起。一个常见的例子是基于IPsec的 广域网 ,企业的所有办公室都使用IPsec隧道通过Internet相互连接。

有几种类型的福彩三d字谜VPN。我们将介绍三种最常见的方法:

  • 基于路由和基于策略的IPsec隧道
  • 动态多点VPN
  • 基于MPLS的L3VPN

IPsec隧道

最简单的福彩三d字谜VPN是基于标准的IPsec隧道,大多数福彩三d字谜路由器和防火墙都可以构建一个。

原则上,基于福彩三d字谜的VPN上的隧道与基于客户端的IPsec隧道没有什么不同。福彩三d字谜和客户端实现都创建安全的隧道,加密的流量通过该隧道在福彩三d字谜之间流动。虽然基于客户端的IPsec隧道旨在封装单个设备的流量,但基于福彩三d字谜的IPsec隧道却承载整个设备福彩三d字谜的流量,从而使它们可以进行通信。

在两个福彩三d字谜之间建立IPsec隧道时,需要达成以下共识:

  • 哪两个设备将成为隧道的端点? (谁来讲话?)
  • 隧道如何认证? (我们将如何相互信任?)
  • 哪些流量将允许通过隧道? (我们要谈论什么?)

谁来讲话?答案通常是一对单个IP地址。一个防火墙管理员将另一个的IP地址配置为 对等IP .

我们将如何互相信任?通常,答案是预共享密钥(密码)或证书交换。两个端点还必须就如何使用一组通用密码对流量进行加密达成一致。

哪些流量将允许通过隧道?用思科的话来说,指定允许流量的最常见方法是使用 加密访问列表 (ACL)。加密ACL定义了可以与目标IP福彩三d字谜对话的源IP福彩三d字谜。隧道的两侧必须具有匹配元素(IP福彩三d字谜对),以形成安全关联,并且隧道可以按预期方式承载流量。

使用某种加密访问列表来定义可以流经它们的流量的IPsec隧道通常称为 基于策略的VPN.

基于策略的VPN的不足之处在于,加密访问列表需要维护以跟上业务需求。如果需要访问隧道另一侧的福彩三d字谜的新IP福彩三d字谜上线,则必须在隧道另一侧的设备上更新加密访问列表。

当您需要在两个站点之间构建单个隧道以提供对资源的仔细控制访问时,请使用基于策略的IPsec隧道。在以下情况下,我使用了基于策略的IPsec隧道:

  • 连接到为我公司工作的另一家公司
  • 作为远程办公室之间的专用链接的备份
  • 在公司合并期间作为与在线新设施的临时连接
  • 作为家庭办公室员工的连接

与基于策略的IPsec隧道不同, 基于路由的IPsec隧道 更像是虚拟链接,允许任何流量通过它们。许多不同的福彩三d字谜供应商都提供基于路由的VPN,包括Cisco和Juniper。但是,可用性因平台而异。例如, 思科ASA 不支持基于路由的VPN。

尽管IPsec VPN是基于标准的,但不幸的是,供应商通常会以不同的方式实施这些标准。因此,在两个不同供应商的设备之间建立IPsec VPN隧道是福彩三d字谜工程师的一种习惯。

我花了一个小时来尝试在Cisco设备与Checkpoint或Juniper设备之间建立IPsec隧道。虽然可以做到,但是在配置详细信息和日志消息中进行梳理通常很棘手,以找出阻碍隧道形成的问题。

动态多点VPN(DMVPN)

当前版本的DMVPN将IPsec点对点隧道的概念扩展到了连接福彩三d字谜的云中。使用DMVPN,任何福彩三d字谜都可以直接通过DMVPN云与任何其他福彩三d字谜进行通信。

实施DMVPN要求设备可以终止DMVPN隧道。 DMVPN是一种Cisco技术,在大多数情况下,这意味着DMVPN仅限于Cisco路由器。尽管它们很受欢迎,但Cisco ASA防火墙不支持DMVPN。

DMVPN是一项复杂的技术,需要使用GRE隧道,IPsec,NHRP(下一跳解析协议)和路由协议,所有相互依赖的组件都允许进行全网状通信。为了减轻复杂性, 思科提供了出色的DMVPN设计指南 可以帮助福彩三d字谜架构师确定适合其环境的最合适的设计以及基准配置。

使用DMVPN将远程站点连接到公共范围内的更大的公司福彩三d字谜 互联网 使用标准的路由器配置,该配置在完成后即可移交。例如,我为家庭办公室用户使用了DMVPN路由器,以提供到头端站点的冗余连接,并最大程度地减少了站点之间语音通话的延迟。使用传统的IPsec点对点VPN隧道无法实现前端冗余或减少延迟(在实际意义上)。

DMVPN消除了知道远程IP地址的需求,允许动态分配的IP安全地连接到基础架构,并在DMVPN NHRP集线器路由器中注册其IP地址。这使解决方案可以扩展到多达数千个参与站点。最终结果感觉就像是传统的WAN连接。

基于MPLS的L3VPN

另外,我想简要提到一下L3VPN,这是在多协议标签交换(MPLS)福彩三d字谜上最常用的应用程序。

MPLS最常见于诸如AT运营商之类的服务提供商福彩三d字谜中&T,Verizon Business,3级和CenturyLink。 MPLS允许服务提供商虚拟化其福彩三d字谜,以便客户可以共享物理福彩三d字谜,但仍在逻辑上保持分离。 MPLS不仅限于服务提供商。一些大型企业在内部将MPLS用于其自己的全球基础结构。

如果您的公司从服务提供商那里获得WAN服务,则该服务提供商很可能会通过其MPLS福彩三d字谜向您的公司提供L3VPN服务。在这种情况下,公司中的每个办公室都通过服务提供商视为客户路由器的方式连接到服务提供商,该路由器将WAN电路从服务提供商连接到福彩三d字谜的其余部分。

广域网 电路的另一端是 提供者边缘 (PE)路由器。 PE路由器将来自您公司电路的流量丢弃到 虚拟路由转发 (VRF)实例对您的公司来说是唯一的,然后将其转发到 提供者核心 路由器,使用MPLS标记流量并识别流量所属的VRF。

提供者核心将流量通过其核心传递到另一台PE路由器,然后再传递到另一台WAN路由器,然后在那台路由器将流量传递到远程办公室福彩三d字谜。

对于您的公司而言,此L3VPN是不可见的。您不必运行MPLS。您看不到如何在提供商的主干网之间安全地转发流量。您可以使用OSPF或BGP路由与提供商进行对等,以向您通告到他们的路由,这些路由将包含在唯一分配给您的VRF中。但是除此之外,您只知道您的流量在一个路由器中流入而在另一路由器中流出。

需要远程办公室之间的国家或国际连接时,请从提供商处购买L3VPN服务,并且必须保证服务质量。

虽然通过Internet构建DMVPN是可行的连接解决方​​案,但根据您的要求,Internet服务可能不如您公司所需的强大。服务提供商可以确定语音和视频流量的优先级(假设已正确标记),而互联网则无法区分。

另一方面,与通过运营商的L3VPN服务运行的专用WAN带宽相比,Internet带宽非常便宜。因此,许多企业不时地承受福彩三d字谜质量低下的风险,并且为了支持Internet上的某些VPN,而放弃了其专用WAN。

欲获得更多信息

关于各种VPN的信息太多了,因此需要大量书籍才能全面涵盖该主题。有兴趣吗?这里有一些链接可以扩展您的知识。请享用!