返回
VPN远程访问概述.doc

VPN远程访问概述.doc

ID:57014681

大小:156.00 KB

页数:5页

时间:2020-07-30

VPN远程访问概述.doc_第1页
VPN远程访问概述.doc_第2页
VPN远程访问概述.doc_第3页
VPN远程访问概述.doc_第4页
VPN远程访问概述.doc_第5页
资源描述:

《VPN远程访问概述.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、技术点详解---VPN远程访问概述为什么需要远程访问很多企业随着业务的发展,已经在异地建立分支机构,或者许多员工出差至外地开展工作,甚至需要回家继续办公,那么这些远程员工是否还能够连接到总部网络享受到统一的企业信息化管理呢?我想,大家必定会回答可以,既然可以,是通过什么技术实现的呢?或者说实现的时候要考虑哪些因素呢?从上面的图中我们可以看到似乎有很多种异地网络用户,布置这种技术似乎很困难,我们先把图中网络单元可以分为3类:1.      总部机构,总部在连接互联网绝大多数情况下使用固定出口以及固定地

2、址,在一些极端情况下可能会采用动态地址方式。2.      远程分支机构,这类网络有固定的网络出口连接到互联网,互联网出口设备以及内部网络都是完全受企业管理的,在图中,分支1和分支2都是这类,虽然网络出口是固定的,但是出口地址是否固定和接入方式有关,比如租用光纤那么通常会从运营商获得一个固定地址,如果是ADSL则是动态的,远程分支机构的典型特征是以一个网络作为远程接入单位。3.      出差员工,这类网络用户的特点是以用户PC为远程网络单元,为什么呢,因为这类用户的互联网出口通常不受企业管理,比如

3、出差员工在酒店通过酒店网络接入互联网、员工在家上网、员工在酒店直接拨号到互联网等,这类用户的特征是以单台PC作为远程接入单位。这些异地网络用户访问总部网络,可能大家会认为很简单,直接访问总部网络的网段就可以了。实际上,企业网络通常使用私有地址,是无法从互联网直接访问的,那么我们可以通过什么手段访问这些总部的私有网段吗?1.      使用专线,即每个异地网络用户单元使用一条专线连接到总部,那么在上图中,我们至少需要5条专线,如果出差员工或者分支多起来需要更多专线,每条专线都价值不菲,而且专线只能连接

4、总部,无法访问互联网,显然这种方式对于非常注重成本的企业而言是不可接受的。2.      既然总部和各个异地网络都连接到了互联网,能不能通过互联网把大家连起来呢?我们可以看到各个网络单元的出口都是互联网公有地址,让这些地址互相访问不成问题,那么能不能把访问内部私有网络的连接建立在这些共有连接上呢?答案当然可以,这就是今天要讲的内容——虚拟私有网(VirtualPrivateNetwork),即在公共网络上建立虚拟的隧道,模拟成专线,如下图所示。那么如何建立这些隧道呢?要建立什么样的隧道?我们可以通过

5、这张表来描述异地网络用户和总部网络出口隧道的特点。      隧道端点隧道内流量隧道发起安全性需求是否穿越NAT异地分支分支出口ßà总部出口分支内网ßà总部内网总部和分支都可以发起少量身份认证和加密不需要酒店、家庭办公异地PCßà总部出口异地PCßà总部内网只能从PC发起大量动态身份认证和加密需要远程拨号PC异地PCßà总部出口异地PCßà总部内网只能从PC发起大量动态身份认证和加密不需要我们可以从上表中发现异地分支和总部、异地PC和总部之间隧道有较多不同,可以把VPN划分为这两类场景进行研究,有什

6、么样的需求就有什么样的技术:1.      PPTP(点到点隧道协议)、L2TP(二层隧道协议)、SSLVPN(安全会话层VPN):这两个技术主要用于异地PC向总部方向建立VPN,但PPTP、L2TP不支持加密(PPTP的兼容性没有L2TP好),SSLVPN则必须要求加密;这三类技术都有很灵活的动态身份认证机制,SSLVPN不但拥有灵活安全的认证机制,在用户角色权限控制上具备极强的扩展性,因此这3类技术非常适合远程PC拨号接入场景,随着SSLVPN技术成熟,部署成本下降,正在不断地侵占L2TP原有市

7、场。2.      IPSec:通用性最强的VPN安全技术,能够适应异地分支和总部互联,也适用于异地PC向总部发起连接;可以单独使用,也可以和L2TP结合,保证L2TP的安全,但是IPSec的动态身份认证功能较弱,不太适用于大量动态用户拨号的场景,比较适合接入数量相对稳定的场景,此外IPSec功能复杂,PC上通常是通过各厂家专用客户端实现,因此IPSec技术更适合异地分支和总部网络互连的场景。下面对集中VPN技术和应用场景进行详细介绍。由于PPTP功能和L2TP重叠,且应用较窄,在此文中不作介绍。L

8、2TP和SSLVPN该类型的VPN可以分为如下几个阶段:1.      分支向总部发出连接请求,要就建立VPN,如果是SSLVPN,该阶段还需要协商密钥,为后续所有通信进行加密保护,而L2TP则没有专用保护手段,除非借助IPSec的帮助。2.      对接入请求进行身份验证,因为企业的VPN资源只允许对本企业员工开放,所以必须对接入者身份进行验证,身份验证通常分为身份确认和口令验证两部分组成,身份表明用户的角色,而口令则是进一步确认角色的准确性。3.      身份

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。