利用VPDN組建專用網

來源:本站原創 VPN 超過970 views圍觀 0條評論

隨著Internet的普及和發展,基于IP的虛擬專用網技術(IP-Based Virtual Private Networks,IP-VPN)引起了人們的廣泛關注,它將成為未來網絡安全研究和Internet應用的一個重要方向。過去,當企業需要把他們的信息網絡擴展到遠方而組成WAN時,通常的做法是租用PSTN、X.25、幀中繼或DDN等線路,組成企業的專用網絡。但隨著Internet本身可靠性和可用性的增強,Internet已經為我們提供了最為廉價和普遍的WAN通信;可是,Internet不能提供與專用網相比的安全性、帶寬及服務質量(QoS)保證。于是,人們開始研究一種希望能具有兩者的優點,且運行在Internet之上的虛擬專用網絡技術,即IP-VPN技術。
利用IP-VPN技術不僅可以構建企業的Intranet和Extranet,在企業網內形成虛擬局域網VLAN,而且還可以保護網絡的安全。
何謂VPDN
VPDN(Virtual Private Dial Network)即是利用撥號網絡在Internet上建立安全的專用網絡的方式。在不安全的Internet上,建立安全的隧道有L2F、L2TP、PPTP、GRE等方式。本文方案介紹采用L2TP協議(Layer 2 Tunneling Protocol),即第二層隧道協議,將中心系統與各地眾多分支連接,組成專用網。
由于L2TP本身對所承載的數據沒有加密功能,為防止惡意截獲,篡改通信中的數據,網絡應引入IPSec協議對數據進行加密。IPSec(IP Security)協議在IP網絡層和傳輸層之間加入新的頭部,對承載數據IP數據包提供加密和鑒權。
通信方案
在圖1中,分支機構通過普通電話線撥號上網,適用于分支機構眾多,分布廣泛的情況。中心機構使用VPN路由器作為L2TP隧道終結器,Internet中的接入服務器和中心路由器之間使用加密隧道通信。

圖1 VPDN通信方案
VPDN 性能分析
VPDN通信方式使用的網絡就是電信公司提供的Internet。現在的Internet一般采用節點分級和線路備份的拓撲結構,具有很高的可靠性。節點到中心的通信出現阻斷的概率很低,并且因為采用光纖而具備很大的吞吐率。
VPDN接入服務器位于各地級市節點。這一段采用PPP協議,本身通信未加保密措施。這一段的主要不安全因素是,通過電話線路的監聽獲取用戶名、密碼、IP地址、交易數據等情況。其中,交易數據可以通過加密來解決。而截獲IP地址是無用的,因為我們采用的是內部專用地址,不可能通過公網訪問。用戶名和密碼則可通過定期改變的方法減少被竊取和非法使用的危險。
由于接入服務器和中心路由器之間采用IPSec OVER L2TP隧道,網上傳輸包的形式如圖2所示。
網絡實際負載(圖2中的IP流)受到IPSec和L2TP的雙重保護。L2TP提供了對內部地址的隱藏功能。黑客在網上截獲該數據包只能看到接入服務器和中心路由器線路接口的IP地址,數據在Internet傳輸過程中是安全的。

圖2 網上數據傳送格式
服務器也可以采取硬化措施,關閉任何與業務無關的服務,通過加強密碼管理和系統監控保證系統的安全性。
網絡構建實例
Internet具有巨大的吞吐率。業務通信是否發生阻塞主要取決于是否有其他大流量的Internet業務如視頻點播或惡意的廣播攻擊導致網絡阻塞。
本方案中,接入服務器提供56kbps的接入速度。
通信質量主要取決于分支機構到接入服務器電話線路這一段。為了保證長時間數據通信不中斷,系統選擇質量好的電話線路。
實驗系統參見圖1所示。
其中,Internet接入服務器為Cisco5800,中心路由器采用Cisco2620,使用軟件IPSec加、解密。
本方案中,中心路由器所采用的通信線路接口的IP地址在Internet上是公開的。通過關閉不必要的服務,加強口令管理,在接口上設置訪問列表,只允許與特定業務有關的數據流通過。這樣,黑客非法侵入路由器基本上是不可能的。
實驗結果表明,使用VPDN接入穩定可靠,從分支機構連接(ping)中心服務器,響應時間平均為210毫秒,最大不超過1000毫秒,基本上可以滿足一般事務處理的要求。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=382轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏