详解:L2TP、IPSec、SSL、MPLS类型VPN与原理

  • 详解:L2TP、IPSec、SSL、MPLS类型VPN与原理已关闭评论
  • A+
所属分类:网络安全

当一种资源开始稀缺时,人们总会创造更多的资源或者寻找更好的替代资源,当资源开始丰富的时候,人们又会开始浪费资源,最终导致资源再次稀缺。网络带宽就是这样,带宽和应用需求在不断赛跑,尽管带宽越来越宽,但是人们总是有越来越多的带宽需求。所以解决带宽稀缺的方法不仅包括寻找更高的带宽,同时也需要充分地利用现有带宽。

详解:L2TP、IPSec、SSL、MPLS类型VPN与原理

加速器类型介绍

构建加速器网络的基础网络平台可以是IP网络,也可以是ATM网络或者FR网络等。基于ATM/FR等网络构建的虚拟专用网络都属于传统数据专网的范畴,本文重点讨论基于IP网络构建虚拟专用网络的若干种技术。

根据构建加速器的基础网络平台的层次不同,可以将加速器划分为二层加速器,比如利用VLAN在以太网络上实现多个虚拟网络;三层加速器,比如利用IPSec 实现加速器等;四层加速器,比如利用SSL技术构建加速器。至于在国内应用较多的基于TDM技术实现数据网络,比如DDN等,则一般将其称为数据专网,而不再将其纳入加速器的概念,尽管数据专网也是在电信运营商提供的统一的数据网络平台上利用时分复用等技术构建的虚拟的用户专用网络。

链路加密机实现加速器

链路加密机指的是针对具体的链路层协议提供数据加密功能的设备,比如ATM加密机、帧中继加密机、DDN加密机等。加密机的特点是必须在链路两端配对使用,比如一个企业租用一条64K的链路,那么必须在链路两端分别部署加密机。利用链路加密机可以实现链路两端的网络之间通信的保密性,但是其组网方式也因此受到限制,不能实现任意两点之间灵活的加密保护。

随着Internet和宽带网络的发展,链路加密机已经不适合在Internet和宽带网络环境下应用了,因为企业利用Internet构建Intranet时,企业两个分支机构之间网络连接可能会跨越很多种链路,比如一方接入利用ADSL,然后通过运营商的骨干ATM网络达到另外一段城域网,在这样的网络环境下利用链路加密机实现端到端的网络保护是不可能的。

基于IPSec 的加速器

基于IPSec的加速器主要目的是解决网络通信的安全性和利用开放的Internet实现异地的局域网络之间的虚拟连接,IPSec 加速器既可以在IPv4网络也可以在IPv6网络中部署。图1是典型的基于IPSec的加速器组网模式,其中体现了移动用户接入加速器(Access 加速器)、企业分支机构同总部之间构建的Intranet 加速器,以及企业同合作伙伴之间构建的Extranet 加速器。

详解:L2TP、IPSec、SSL、MPLS类型VPN与原理

基于IPSec 的加速器

基于IPSec的加速器不依赖于网络接入方式,它可以在任意基础网络上部署,而且可以实现端到端的安全保护,即两个异地局域网络的出口上只要部署了基于IPSec 的网关设备,那么不管采用何种广域网络都能够保证两个局域网络安全地互联在一起。

基于SSL的加速器

SSL (Secure Socket Layer,安全套接字层)是Netscape公司开发的协议软件,目的是保护HTTP协议,但是这个协议本身可以保护任何一种基于TCP协议的应用。

基于SSL也可以构建加速器,因为SSL在Socket层上实施安全措施,因此它可以针对具体的应用实施安全保护,目前应用最多的就是利用SSL实现对Web应用的保护。

在应用服务器前面需要部署一台SSL服务器,它负责接入各个分布的SSL客户端。这种应用模式也是SSL主要的应用模式,类似于IPSec 加速器中的Access 加速器模式,如果企业分布的网络环境下只有这种基于C/S或B/S架构的应用,不要求各分支机构之间的计算机能够相互访问,则可以选择利用SSL构建简单的加速器。具备这种应用模式的企业有:证券公司为股民提供的网上炒股,金融系统的网上银行,中小企业的ERP等。

基于SSL的加速器部署起来非常简单,只需要一台服务器和若干客户端软件。

详解:L2TP、IPSec、SSL、MPLS类型VPN与原理

基于MPLS的加速器

MPLS(Multi Protocol Label Switch,多协议标签交换)协议设计的目的是希望利用三层以太网交换机一次路由多次转发的思想,用来提高路由器的转发性能,其基本的原理则是在报文中增加一个TAG字段,在数据报文经过的路径上的设备根据该标签决定下一步的转发方向。这是完全不同于传统路由器通过查路由表确定数据报文下一步转发方向的方法,路径上的路由转发设备需要运行LDP标签分发协议,来相互通知对不同TAG的处理办法。利用MPLS协议,可以在纯粹的IP网络上实现虚拟专用网络,但是此虚拟专用网络不能保证用户数据的安全性。

利用MPLS构建的加速器网络需要全网的设备都支持MPLS协议,而IPSec 加速器则仅仅需要部署在网络边缘上的设备具备IPSec协议的支持即可,从这一点上来看,IPSec 加速器非常适合企业用户在公共IP网络上构建自己的虚拟专用网络,而MPLS则只能由运营商进行统一部署。这种建立加速器的方式有一点利用IP网络模拟传统的DDN/FR等专线网络的味道,因为在用户使用MPLS 加速器之前,需要网络运营者根据用户的需求在全局的MPLS网络中为用户设定通道。MPLS 加速器隧道划分的原理是网络中MPLS路由器利用数据包自身携带的通道信息来对数据进行转发,而不再向传统的路由器那样要根据IP包的地址信息来匹配路由表查找转发路径。这种做法可以减少路由器寻址的时间,而且能够实现资源预留保证制定加速器通道的服务质量。

MPLS本身不能提供对数据的安全性,MPLS协议封装的数据没有经过任何的加密处理,仅仅是在报文中增加一个TAG标识,这个标识被路由设备用来进行数据链路的识别和对数据的快速转发使用。

MPLS更适合运营商部署,而不适合企业用户自己建设,运营商部署了MPLS网络之后,可以向企业用户提供具有服务质量保证的网络传输服务。但是如果用户希望保障自己的数据在网络传输中的安全性还是需要借助IPSec 加速器或者SSL 加速器来实现。

基于L2TP的加速器

L2TP协议由 IETF 起草,微软、 Ascend 、Cisco、 3Com 等公司参与。该协议结合了众多公司支持的PPTP(Point to Point Tunneling Protocol,点对点隧道协议),和 Cisco、北方电信等公司支持的 L2F(Layer 2 Forwarding,二层转发协议)。 L2TP(Layer 2 Tunneling Protocol,二层隧道协议)结合了上述两个协议的优点,将很快地成为 IETF 有关二层隧道协议的工业标准。 L2TP 作为更优更新的标准,已经得到了诸多厂商的支持,将是使用最广泛的 加速器 协议。

利用L2TP来构建企业的加速器,一样需要运营商支持,因为LAC一般是在传统电话交换网络中部署的,并且一个公司的分支机构以及移动办公的员工在地域上分布很广,所以需要各地的运营商都具备LAC才能够实现企业大范围构建加速器网络。当然企业也可以构建自己的基于L2TP的加速器网络。

在L2TP 加速器中,用户端的感觉就像是利用PPP协议直接接到了企业总部的PPP端接设备上一样,其地址分配可以由企业通过DHCP来分配,认证方式可以沿用PPP一直沿用的各种认证方式,并且L2TP是IETF定义的,其MIB库也将定义出来从而可以实现全局的网络管理。(作者:李云峰 来源:中国联通网站)