L2TP、IPSec、SSL、组网类型与原理
当一种资源开始稀缺时,人们总会创造更多的资源还是寻觅更好的替换资源,当资源开始丰富的时候,人们又会开始浪费资源,终究致使资源再次稀缺。网络带宽就是这样,带宽和利用需求在不断赛跑,虽然带宽愈来愈宽,但是人们总是有愈来愈多的带宽需求。所以解决带宽稀缺的方法不但包括寻觅更高的带宽,同时也需要充分地利用现有带宽。
构建方案网络的基础网络平台可以是IP网络,也能够是ATM网络还是FR网络等。基于ATM/FR等网络构建的虚拟专用网络都属于传统数据专网的范畴。
根据构建方案的基础网络平台的层次不同,可以将方案划分为二层方案,比如利用VLAN在以太网络上实现多个虚拟网络;三层方案,比如利用IPSec实现方案等;四层方案,比如利用SSL技术构建方案。至于在国内利用较多的基于TDM技术实现数据网络,比如DDN等,则一般将其称为数据专网,而不再将其纳入方案的概念,虽然数据专网也是在电信运营商提供的统一的数据网络平台上利用时分复用等技术构建的虚拟的用户专用网络。
链路加密机指的是针对具体的链路层协议提供数据加密功能的装备,比如ATM加密机、帧中继加密机、DDN加密机等。加密机的特点是一定要在链路两端配对使用,比如一个企业租用一条64K的链路,那末一定要在链路两端分别部署加密机。利用链路加密机可以实现链路两真个网络之间通讯的保密性,但是其组网方式也因此遭到限制,不能实现任意两点之间灵活的加密保护。
随着Internet和宽带网络的发展,链路加密机已不合适在Internet和宽带网络环境下利用了,由于企业利用Internet构建Intranet时,企业两个分支机构之间网络连接可能会逾越很多种链路,比如一方接入利用ADSL,然后通过运营商的骨干ATM网络到达另外一段城域网,在这样的网络环境下利用链路加密机实现端到真个网络保护是不可能的。
基于IPSec的方案主要目的是解决网络通讯的安全性和利用开放的Internet实现异地的局域网络之间的虚拟连接,IPSec方案既可以在IPv4网络也能够在IPv6网络中部署。图1是典型的基于IPSec的方案组网模式,其中体现了移动用户接入方案(Access方案)、企业分支机构同总部之间构建的Intranet方案,和企业同合作火伴之间构建的Extranet方案。
基于IPSec的方案不依赖于网络接入方式,它可以在任意基础网络上部署,而且可以实现端到真个安全保护,即两个异地局域网络的出口上只要部署了基于IPSec的网关装备,那末不管采取何种广域网络都能够保证两个局域网络安全地互联在一起。
SSL(SecureSocketLayer,安全套接字层)是Netscape公司开发的协议软件,目的是保护HTTP协议,但是这个协议本身可以保护任何一种基于TCP协议的利用。
基于SSL也能够构建方案,由于SSL在Socket层上实行安全措施,因此它可以针对具体的利用实行安全保护,目前利用最多的就是利用SSL实现对Web利用的保护。
在利用服务器前面需要部署一台SSL服务器,它负责接入各个散布的SSL客户端。这类利用模式也是SSL主要的利用模式,类似于IPSec方案中的Access方案模式,如果企业散布的网络环境下只有这类基于C/S或B/S架构的利用,不要求各分支机构之间的计算性能够相互访问,则可以选择利用SSL构建简单的方案。具有这类利用模式的企业有:证券公司为股民提供的网上炒股,金融系统的网上银行,中小企业的ERP等。
基于SSL的方案部署起来非常简单,只需要一台服务器和若干客户端软件。
组网(MultiProtocolLabelSwitch,多协议标签交换)协议设计的目的是希望利用三层以太网交换机一次路由屡次转发的思想,用来提高路由器的转发性能,其基本的原理则是在报文中增加一个TAG字段,在数据报文经过的路径上的装备根据该标签决定下一步的转发方向。这是完全不同于传统路由器通过查路由表肯定数据报文下一步转发方向的方法,路径上的路由转发装备需要运行LDP标签分发协议,来相互通知对不同TAG的处理办法。利用组网协议,可以在纯洁的IP网络上实现虚拟专用网络,但是此虚拟专用网络不能保证用户数据的安全性。
利用组网构建的方案网络需要全网的装备都支持组网协议,而IPSec方案则仅仅需要部署在网络边沿上的装备具有IPSec协议的支持便可,从这一点上来看,IPSec方案非常合适企业用户在公共IP网络上构建自己的虚拟专用网络,而组网则只能由运营商进行统一部署。这类建立方案的方式有一点利用IP网络摹拟传统的DDN/FR等专线网络的味道,由于在用户使用组网方案之前,需要网络运营者根据用户的需求在全局的组网网络中为用户设定通道。组网方案隧道划分的原理是网络中组网路由器利用数据包本身携带的通道信息来对数据进行转发,而不再向传统的路由器那样要根据IP包的地址信息来匹配路由表查找转发路径。这类做法可以减少路由器寻址的时间,而且能够实现资源预留保证制定方案通道的服务质量。
组网本身不能提供对数据的安全性,组网协议封装的数据没有经过任何的加密处理,仅仅是在报文中增加一个TAG标识,这个标识被路由装备用来进行数据链路的辨认和对数据的快速转发使用。
组网更合适运营商部署,而不合适企业用户自己建设,运营商部署了组网网络以后,可以向企业用户提供具有服务质量保证的网络传输服务。但是如果用户希望保障自己的数据在网络传输中的安全性或需要借助IPSec方案还是SSL方案来实现。
L2TP协议由IETF起草,微软、Ascend、Cisco、3Com等公司参与。该协议结合了众多公司支持的PPTP(PointtoPointTunnelingProtocol,点对点隧道协议),和Cisco、北方电信等公司支持的L2F(Layer2Forwarding,二层转发协议)。L2TP(Layer2TunnelingProtocol,二层隧道协议)结合了上述两个协议的优点,将很快地成为IETF有关二层隧道协议的工业标准。L2TP作为更优更新的标准,已得到了诸多厂商的支持,将是使用最广泛的方案协议。
利用L2TP来构建企业的方案,一样需要运营商支持,由于LAC通常为在传统电话交换网络中部署的,并且一个公司的分支机构和移动办公的员工在地域上散布很广,所以需要各地的运营商都具有LAC才能够实现企业大范围构建方案网络。固然企业也能够构建自己的基于L2TP的方案网络。
在L2TP方案中,用户真个感觉就像是利用PPP协议直接接到了企业总部的PPP端接装备上一样,其地址分配可以由企业通过DHCP来分配,认证方式可以沿用PPP一直沿用的各种认证方式,并且L2TP是IETF定义的,其MIB库也将定义出来从而可以实现全局的网络管理。
TikTok千粉号购买平台:https://tiktokusername.com/
TOP