全面介绍VPN网络建设的几个概念,如何学习VPN网络建设,网络上有不少的方法,下面是相关方法的一个集锦,希望对广大爱好者有帮助,都是比较常用的方式。借机提供给大家。
VPN网络建设:入侵检测、网络访问控制、信任和VPN
IPSec VPN在部署时,周围通常环绕着多层访问控制和入侵检测。网络入侵检测系统(NIDS)是一项用于减少与扩展安全范围有关风险的技术。在VPN设计中, NIDS完成了两项基本功能。首先,NIDS可用于分析源自或送至VPN设备的信息流。其次,NIDS可用于加密后,确认仅仅是加密信息流被发送并由 VPN设备接收。
除NIDS以外,通常使用防火墙的访问控制应该在VPN设备前后设置。当今的部署都将防火墙安置在VPN设备的前面。当安置在前面时,对用户信息流的种类不具备可视性,因为信息流依然是加密的。防火墙在VPN设备前所能提供的大多数优势此时已丧失殆尽。
VPN网络建设:分离隧道
当远程VPN用户或站点被允许接入公共网(互联网),与此同时,他未先将公共网络信息流安置在隧道内,就接入了专用VPN网络,此时就出现了分离隧道。事实上,不实施分离隧道会给VPN头端造成巨大负载,因为所有互联网相关信息流都需要流经头端设备的WAN带宽。在SAFE VPN中,远程站点除了特殊情况外,都假设实施了分离隧道。如果不支持分离隧道,而设计不会改变,那么由于头端的流量负载加大,性能和扩展性就会产生少许变化。
VPN网络建设:部分网状、全部网状、分布式和星型网络
在任一网络拓扑结构上铺设VPN时,许多因素都会影响网络的可扩展性和性能。全部网状网络会迅速地陷入可扩展性的困境之中,因为网络中的每台设备都必须通过一个独特的IPSec隧道与网络中的其他设备交流。这就是n(n-1)/2隧道模式,在某些情况下扩大网络的规模已经变得不现实。
许多隧道也都存在性能问题。部分网状网络与全部网状网络相比,有较大的可扩展空间。与全部网状网络中的设备相同的是,在这种拓扑结构中的限制因素是,在CPU合理应用的前提下,设备可支持的隧道数量。
这两种网络都可运用一种动态隧道端点搜索机制,以简化配置和提高可扩展性。中心辐射型网络可以更理想地扩展,但是,所有流量都渡过集线器站点,而且这种设备要求大量的带宽。
VPN网络建设:互操作性与混合和同种设备部署
虽然IPSec是一种已证实的标准,但RFC依然为它的解释留下了充足的空间。另外,互联网草案,如IKE模式配置和供应商专用特性,提高了互操作问题出现的可能性。因为这些缘故,您应该对供应商产品的互操作信息及其在互操作性评比中的表现情况进行综合评价。此外,为确保单一供应商产品间的互操作性,最好在所有平台上使用同一代码库。
VPN网络建设:网络运营
在中央IT模式运营中,需要通过中央站点VPN对远程站点进行管理。VPN设备可支持多种配置选项,以确定隧道端点,视所采用的方式而定,这些选项可能会对网络的管理性能产生影响。要高效地管理远程设备,您必须在您的管理应用所在的站点使用静态加密映像。
您不可以在头端和动态加密映像。动态加密映像只接受进入的IKE请求,但无法初始化它们,因此,要始终保证在远程设备和头端站点间存在一条隧道。静态加密映像配置包括远程对等设备的静态IP地址,因此,远程站点必须使用静态IP地址来支持远程管理。
VPN网络建设:压缩
第二层压缩未提供VPN信息流链路带宽削减功能。第三层压缩,发生于加密之前,的确可使数据量降低。考虑到第三层压缩在当今的大多数硬件加速器中都不支持,因而当使用时,对CPU要求非常严格。
VPN网络建设:远程接入用户要求
当用户不在办公室和不在控制区时,思科公司建议您对他们到内部网和互联网的连接进行控制。如果您选择分离隧道要确保安装、更新和运行个人防火墙,以及在远程接入客户机上拥有一个有效的安全策略。思科公司建议您在未实施防火墙的情况下,不要在客户机上实施分离隧道。
VPN网络建设:高可用性
目前,有两种机制可用于确定远程对等设备的可用性和隧道建立状态:路由选择和IKE保持激活信息。路由器可支持两种机制,而防火墙、集中器和远程接入客户机则支持IKE保持激活信息。