可用VPN的類型:虛擬專用網安全隧道
無論您身在何處或擁有哪種網絡連接,都可以使用您可能需要的所有數字資源,這已成為大多數人的生活方式。無論您是與其他企業共享數據的企業,還是需要始終保持聯系的旅行者,對資源的訪問都是理所當然的。
盡管托管在公共云中的應用程序在使位置成為非問題上還有很長的路要走,但出于安全和隱私等原因,許多資源都是私有托管的。通常通過可用VPN(虛擬專用網絡)處理對這些專用資源的訪問。
可用VPN技術是一個簡單的主意:通過不信任的網絡將您信任的人安全地連接到他們需要的資源。
訣竅在于知道何時使用哪種類型的可用VPN。讓我們考慮幾種不同的可用VPN,并考慮它們適合的位置。我們將研究可用VPN的兩個主要類別,我將它們稱為基于客戶端的可用VPN和基于網絡的可用VPN。
基于客戶端的可用VPN類型
基于客戶端的可用VPN類型是在單個用戶和遠程網絡之間創建的虛擬專用網絡??捎肰PN類型連接通常涉及一個應用程序。
在大多數情況下,用戶手動啟動可用VPN客戶端,并使用用戶名和密碼進行身份驗證??蛻舳嗽谟脩粲嬎銠C和遠程網絡之間創建一個加密的隧道。然后,用戶可以通過加密隧道訪問遠程網絡。
基于客戶端的可用VPN類型應用程序的示例包括Cisco的AnyConnect,Pulse(以前稱為Juniper)和Palo Alto Networks的GlobalProtect。
Windows,Mac和移動操作系統通常內置有基于標準的VPN客戶端選項。例如,Mac OS X 10.10包括基于IPsec的L2TP(第2層隧道協議)和PPTP(點對點隧道協議)。對于Mac用戶,甚至包括基于標準的Cisco IPsec和一些Cisco增強功能。
請注意,盡管IPsec多年來一直是首選的客戶端VPN協議應用,但最近使用SSL的頻率更高。例如,思科不再更新其舊版IPsec客戶端。相反,思科的首要客戶端VPN解決方案AnyConnect使用SSL。
基于客戶端的VPN應用程序使用戶可以輕松地將筆記本電腦或移動設備從任何地方連接到您的私有資源。例如,我在旅行時使用iPhone,iPad和Mac上的VPN應用客戶端連接到總部。這使我可以跨設在設備與總部防火墻之間的安全VPN應用隧道遠程管理網絡。
除基本連接性外,VPN應用客戶端通常還提供增強的安全性功能。一種是在允許用戶進入網絡之前仔細檢查其設備的能力。例如,在身份驗證過程中,Cisco AnyConnect客戶端可以(除其他事項外)驗證設備是否已安裝特定版本的防病毒軟件并且是特定Windows域的一部分。這使IT團隊能夠以簡單身份驗證失敗以外的其他原因拒絕客戶端VPN設備應用。
高級VPN應用客戶端需要支付許可費用。盡管客戶端軟件可能是免費的,但防火墻通常是通過允許的同時VPN類型連接數量來許可的。例如,您可能已將1,000個VPN應用客戶端部署到用戶的設備,但只需要許可防火墻即可在任何給定時間支持500個VPN應用客戶端。
基于網絡的VPN類型
基于網絡的VPN類型是虛擬專用網絡,可跨不信任的網絡將兩個網絡安全地連接在一起。一個常見的示例是基于IPsec的WAN,其中企業的所有辦公室都使用IPsec隧道通過Internet相互連接。
有幾種網絡VPN類型應用。我們將看看最常見的三種VPN類型應用:
基于路由和基于策略的IPsec隧道
動態多點VPN應用
基于MPLS的L3VPN應用
IPsec隧道
最簡單的網絡VPN應用是基于標準的IPsec隧道,大多數網絡路由器和防火墻都可以構建一個。
原則上,基于網絡的VPN應用上的隧道與基于客戶端的IPsec隧道沒有什么不同。網絡和客戶端實現都創建安全的隧道,加密的流量通過該隧道在網絡之間流動。盡管基于客戶端的IPsec隧道旨在封裝單個設備的流量,但基于網絡的IPsec隧道卻承載整個設備網絡的流量,從而使它們可以通信。
在兩個網絡之間構建IPsec隧道時,需要達成以下共識:
哪兩個設備將成為隧道的端點?(誰來講話?)
隧道如何認證?(我們將如何相互信任?)
哪些流量可以通過隧道?(我們要談論什么?)
誰來講話?答案通常是一對單個IP地址。一個防火墻管理員將另一個的IP地址配置為對等IP。
我們將如何互相信任?通常,答案是預共享密鑰(密碼)或證書交換。兩個端點還必須就如何使用一組通用密碼對流量進行加密達成一致。
哪些流量可以通過隧道?用思科的話來說,指定允許流量的最常見方法是使用加密訪問列表(ACL)。加密ACL定義了可以與目標IP網絡對話的源IP網絡。隧道的兩側必須具有匹配元素(IP網絡對),以形成安全關聯,并且隧道可以按預期方式承載流量。
使用某種類型的加密訪問列表來定義可以流經它們的流量的IPsec隧道通常稱為基于策略的VPN應用。
基于策略的VPN應用的不足之處在于,加密訪問列表需要維護以跟上業務需求。如果需要訪問隧道另一側網絡的新IP網絡上線,則必須在隧道任一側的設備上更新加密訪問列表。
當您需要在兩個站點之間構建單個隧道以提供對資源的仔細控制訪問時,請使用基于策略的IPsec隧道。在以下情況下,我使用了基于策略的IPsec隧道:
連接到為我公司工作的另一家公司
作為遠程辦公室之間專用鏈接的備份
在公司合并期間作為與在線新設施的臨時連接
作為家庭辦公室員工的聯系
與基于策略的IPsec隧道相反,基于路由的IPsec隧道更像是虛擬鏈路,允許任何流量流經它們。許多不同的網絡供應商都提供基于路由的VPN應用,包括Cisco和Juniper。但是,可用性因平臺而異。例如,Cisco ASA不支持基于路由的VPN應用。
盡管IPsec VPN類型是基于標準的,但是遺憾的是,供應商通常會以不同的方式實施這些標準。因此,在兩個不同供應商的設備之間建立可用IPsec VPN隧道是網絡工程師的一種習慣。
我花了很多個小時試圖在Cisco設備與Checkpoint或Juniper設備之間建立IPsec隧道??梢宰龅?,但是在配置詳細信息和日志消息中進行梳理通常很棘手,以找出阻礙隧道形成的問題。
動態多點可用VPN(DMVPN)
當前版本的可用DMVPN將IPsec點對點隧道的概念擴展到了連接網絡的云中。借助可用DMVPN,任何網絡都可以直接通過可用DMVPN云與任何其他網絡進行通信。
實施可用DMVPN要求設備可以終止可用DMVPN隧道??捎肈MVPN是一種Cisco技術,在大多數情況下,這意味著可用DMVPN僅限于Cisco路由器。盡管它們很流行,但Cisco ASA防火墻不支持可用DMVPN。
可用DMVPN是一項復雜的技術,需要使用GRE隧道,IPsec,NHRP(下一跳解析協議)和路由協議,所有相互依賴的組件都允許進行全網狀通信。為了減輕復雜性,思科提供了出色的可用DMVPN設計指南,可以幫助網絡架構師確定適合其環境的最合適的設計以及基準配置。
使用可用DMVPN,通過標準的路由器配置將遠程站點連接到公共Internet上的大型公司網絡,該配置一旦完成就可以移交。例如,我已經為家庭辦公室用戶使用了可用DMVPN路由器,以提供到頭端站點的冗余連接,并最大程度地減少了站點之間語音通話的延遲。使用傳統的IPsec點對點可用VPN應用隧道無法實現前端冗余或減少延遲(在實際意義上)。
可用DMVPN消除了知道遠程IP地址的需求,允許動態分配的IP安全地連接到基礎架構,并在可用DMVPN NHRP集線器路由器中注冊其IP地址。這使解決方案可以擴展到多達數千個參與站點。最終結果感覺就像傳統的WAN連接。
基于MPLS的L3VPN應用
另外,我想簡要提到一下L3VPN應用,這是多協議標簽交換(MPLS)網絡上最常用的應用程序。
MPLS最常見于服務提供商網絡中,例如AT&T,Verizon Business,Level 3和CenturyLink運營的網絡。MPLS允許服務提供商虛擬化其網絡,以便客戶可以共享物理網絡,但仍在邏輯上保持分離。MPLS不僅限于服務提供商。一些大型企業在內部將MPLS用于其自己的全球基礎結構。
如果您的公司從服務提供商那里獲得WAN服務,則該服務提供商很可能會通過其MPLS網絡向您的公司提供L3VPN應用服務。在這種情況下,公司中的每個辦公室都通過服務提供商視為客戶路由器的方式連接到服務提供商,該路由器將WAN電路從服務提供商連接到網絡的其余部分。
WAN電路的另一端是提供商邊緣(PE)路由器。PE路由器將來自您公司電路的流量丟棄到您公司唯一的虛擬路由轉發(VRF)實例中,然后將其轉發到提供商核心路由器,使用MPLS標記該流量并識別該流量所屬的VRF。
提供者核心將流量通過其核心傳遞到另一臺PE路由器,然后再傳遞到另一臺WAN路由器,然后您的路由器將流量傳遞到遠程辦公室網絡。
對于您的公司而言,此可用L3VPN應用是不可見的。您不必運行MPLS。您看不到如何在提供商的主干網上安全轉發流量。您可能會使用OSPF或BGP路由與提供商進行對等,以向您通告到他們的路由,它們將攜帶在唯一分配給您的VRF中。但是除此之外,您只知道您的流量在一個路由器中流入而在另一路由器中流出。
當您需要遠程辦公室之間的國家或國際連接時,請從提供商處購買L3VPN應用服務,并且必須保證服務質量。
盡管跨Internet構建可用DMVPN是可行的連接解決方案,但根據您的要求,Internet服務可能不如您公司所需的強大。服務提供商可以區分語音和視頻流量的優先級(假設已正確標記),而Internet則無法區分。
另一方面,與通過運營商的L3VPN應用服務運行的專用WAN帶寬相比,Internet帶寬非常便宜。因此,許多企業不時地承受著網絡質量差的風險,并且為了支持Internet上的某些VPN應用風格而淘汰了專用WAN。