ADSL VPN入门

安全
本ADSL VPN入门解释了什么是ADSL IP VPN(非对称数字用户环线),ADSL VPN的安全,服务和备份知识。

本ADSL VPN入门解释了什么是ADSL  IP VPN(非对称数字用户环线),ADSL VPN的安全,服务和备份知识。

MPLS IP VPN的另一个选择

IT数据和通讯市场里的每一项新的服务和技术都有自己的生命周期。MPLS网络获得了很好的市场份额,很多用户站点把昂贵的专线和帧中继线路替换成了MPLS线路。

MPLS相比以前老的WAN链路在价格上有很大的优势,企业试图迁移到MPLS上来削减开支并且把他们的链路速度降到绝对最小值。

虽然MPLS越来越为大众所知,市场份额在持续增长,但是一个看上去更有前途的技术将给MPLS服务商带来巨大的挑战。我要介绍给你的就是ADSL IP VPN(这里叫ADSL VPN)。

什么是ADSL VPN?

今天,每家企业都有一条专用的ADSL宽带,提供上网服务。ADSL早已存在不止十年了,然而,也就是近年来随着引进新的ADSL技术,比如ADSL2和HDSL,它才真正广泛应用。其允许的最高下载速度可以达到24Mbps而上传速度可以超过2Mbps。

ADSL速度提高了,市场都用不同的眼光看着ADSL技术。许多IT专业人员开始追问,如果我可以用这么高的速度下载和上传,为什么不抛弃MPLS WAN网络,而在两个站点间直接建立一个加密的隧道呢?这就是ADSL VPN的由来。高速的ADSL链路将成为现有MPLS网络强有力的替代品。

本质上来说一条ADSL VPN隧道就是在两个直接接入上网的ADSL站点间的一条加密的IPsec隧道。对于力图寻找更便宜的通信方式的网络管理员和工程师,他们终于找到了坚实可靠地保证——ADSL VPN。

ADSL VPN最大的好处就是从来就不需要因特网提供商创建它们,这让它们的应用变得快速和简便。传统的WAN链路设置是由服务商控制,一旦WAN网络中断,工程师经常就变得极度沮丧。因为网络中断,他们干不了任何事情,一切都被因特网服务商控制着,他们的策略防止企业访问服务商安置在企业场所的终端设备,以保证安全和可靠的服务。

服务提供商的这种“保护策略”促成了ADSL VPN技术的应用,工程师可以用他们自己喜欢的方式来配置终端设备,创建自己的加密隧道,而且不受限制地自由控制它们。

下面图表演示了在两个站点间,通过ADSL连到因特网的一条典型IPsec加密隧道。即ADSL VPN:

图1 ADSL VPN图表

因特网提供商会分配各个站点一个静态的IP地址,网络工程师配置两边站点来形成一个IPsec VPN隧道,来连接两边站点,并以加密的形式进行数据交换。

ADSL VPN安全

我们不能否认通过因特网连接后,数据安全和加密的重要性。将内部网络暴露在公网上是非常重大严肃的事情。采取必要地防范措施是每位工程师应该做到的。

思科系统和其他独立机构的厂家通过研究和测试证明,只要合理部署,ADSL VPN所能提供的安全级别可以和MPLS IP VPN加密级别相当。这应该不会让任何有经验的网络工程师或IT经理感到惊讶。

两种解决方案MPLS IP VPN和ADSL IP VPN都使用相同的协议和IPsec部署,这样可以得到高加密性的VPN隧道。通过IPsec,所有数据使用ESP(封装安全有效负载)进行加密,提供数据保密性。之后,ESP客户端-路由器或者防火墙-认证产生的新ESP包头,来防范外来攻击。

下图演示了这个过程,每一项方框里的数字代表了以位为单位的长度。

图2 ADSL 加密过程

安装ADSL VPN最重要的一步也许是正确配置VPN IPsec隧道,通常这些是部署在一台思科路由器或者防火墙上。

一旦隧道加密完成并且ADSL VPN隧道激活之后,就非常必要锁住路由器和防火墙。任何未经授权访问设备的人不但对设备来说是个危害,对当地或者通过VPN远程接入的用户都是一种危险。所有的防范措施必须都要考虑到。#p#

ADSL VPN服务

正如刚开始ADSL VPN入门所述,ADSL VPN服务依赖传统的ADSL宽带接入和两站点间额外的一条IPsec隧道。保证站点间安全连接的加密技术会有一定开销,并轻微地降低可用的数据载荷。不过,数据载荷降低极少出现问题,我们可以在VPN WAN网络中传输各种类型的应用程序。

有很多ADSL服务的例子,全球很多企业都在使用低成本的VPN连接,看看下面的列表:

●终端服务:远程工作人员使用终端服务连到位于总部的中央服务器(终端服务器)。充分利用带宽,终端服务和类似服务(如Citrix Metaframe)为集中式处理和控制提供了绝佳的方案,不论你的远程工作人员有多远。

●IP语言(VOIP):为站点间提供语音对话非常重要。就算是在ADSL链路上运行VOIP服务也是有可能的。服务质量(QoS)机制控制着数据包进入加密VPN隧道的先后级别,确保最高级别是分配给延迟敏感的VoIP数据包。在全世界各地连接站点和远程员工不再那么复杂,所以没有必要让服务商参与进来。使用合适的语音编码比如G.729,可以将语音流从85Kbps压缩到22Kbps,节省了很多有用的带宽。将VoIP编码和QoS结合是ADSL VPN隧道最佳方案。

●站点到站点的备份:很多管理员在非工作时间利用ADSL VPN 进行日常的备份,将他们的数据从分支站点传送到总部。使用类似Hewlett Packard的Data Protector的专门备份工具,避免复制全部数据,而只需要复制数据间的差异,这样一来,整个备份服务的带宽耗用就变得很低。

●邮件服务:远程站点的用户可以通过位于总部的企业中央邮件服务器收发邮件。通过选择像Webmail或IMAP这样的连接方式,管理终端用户邮件变得非常容易。

●远程监控:通过ADSL VPN 安装一些IP摄像机或者监控系统,企业可以用安全且便宜的方式来远程监控办事处,商店或者仓库。ADSL VPN可以很容易地传输这类数据。

很明显,ADSL VPN隧道几乎没有你做不到的事情。让一切工作正常的关键是正确地配置好你的终端。

ADSL VPN备份

也许你会问:如果ADSL链路中断,我失去和远程站点的VPN连接,该怎么办?

好问题!既然你的服务商对ADSL链路没有任何保证,不要忘了,这是个普通的宽带连接,你必须自己解决这个问题。好消息是现在有解决方案了。如果你的ADSL是基于PSTN线路,这有点棘手——升级到ISDN线路!但是对于基于ISDN的ADSL,你可以用ISDN线路做一个到服务商的ISDN拨号备份,建立一条到服务商的128Kbps链路。也许128Kbps速度不是很好,但支持3到4个终端用户、基本邮件服务和一条G.729信道应该是足够了——这是个不错的备份方案。

当然,我们必须牢记备份链路不是用来替代主要链路的,但可以让你的远程站点在最小带宽下正常工作。一旦激活备份链路,大部分不重要的服务将被丢弃,只有核心服务可用。再一次强调,这是个纯粹的路由器/防火墙配置问题,所以责任再一次落在工程师的肩上。

根据以往经验,如果你打算使用ADSL VPN,就要确保它是跑在ISDN线路上,这样一旦ADSL失效,你可以使用备份线路。在思科设备上获得最好最便捷的WAN冗余方法是配合IP SLA使用可靠的静态备份路由。

总之,IP SLAs可以在因特网上对某一台主机做连续监控。配合IP SLA,你可以监控到通过特定链路(比如ADSL)的IP主机(IP地址)。该IP地址不断地被你的路由器跟踪。如果因为某些原因路由器和被监控IP地址失去连接,我们可以认为被监控主机的ADSL线路失效了,随即激活ISDN备份线路。

ISDN备份期间,路由器仍然会通过配置好的链路持续监控IP主机,一旦远程主机IP地址开始回应路由器的ICMP echo请求,路由器会自动关掉ISDN备份恢复默认路由,在这里是ATM拨号接口。

实际上,使用ISDN备份没有问题——你只需要正确配置好它。再次重申,一切决定于工程师是否配置正确。

如果在一条ADSL VPN上有多个VPN链路,ISDN备份接口就显得没那么必要。这种情况,你可以考虑使用另外一家服务商的ADSL做备用线路,让远程站点临时连接到它那。这个方案要更复杂些,需要有经验的工程师来做。

责任编辑:于爽 来源: TechTarget中国
相关推荐

2011-08-18 11:08:02

2011-08-10 10:01:44

2011-11-29 12:27:54

2009-02-27 13:12:00

2009-11-30 10:19:50

VPN连接ADSL路由器

2010-07-28 09:48:16

ADSL2与ADSL2

2012-09-26 09:49:44

2010-07-28 09:39:56

ADSL2 ADSL2

2010-07-28 10:08:17

ADSL2与ADSL2

2011-11-25 13:49:17

2012-09-28 09:44:32

2012-09-27 10:21:00

2011-11-07 10:49:16

IPsec VPNMPLS VPN

2010-08-02 14:08:03

ADSL分流

2011-08-08 15:43:52

pppoe

2011-08-02 22:22:49

2011-05-30 09:27:44

2010-07-28 09:53:18

ADSL2和ADSL2

2012-03-01 14:00:08

2009-10-27 09:35:58

ADSL接入技术
点赞
收藏

51CTO技术栈公众号