几种VPN技术的对比.pptVIP

VPN定义 VPN，即Virtual Private Network的缩写，中文为虚拟专用网，指的是依靠ISP和其它NSP，在公用网络中建立专用的数据通信网络的技术。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 IP VPN主要采用四项技术来保证安全，分别是【1】隧道技术（Tunneling）、【2】加解密技术（Encryption Decryption）、【3】密钥管理技术（Key Management）、【4】使用者与设备身份认证技术（Authentication）。 VPN的特点 安全 节省开支 便捷的远程接入 全网统一规划和管理 传统企业组网 IP－VPN组网 典型VPN方案对比 MPLS VPN PPTP/L2TP VPN IPSec VPN SSL VPN MPLS VPN 要求数据经过的所有边界和核心路由设备均支持MPLS，中间不能被打断，对ISP初始投入巨大； 只能对专线用户提供服务，不灵活，不具备移动特性； 对数据不加密，只隔离，安全性比较差。只能解决LAN－LAN的互连； 优点是Qos性能很好，流量和时延可控，适合高端用户和视频/语音应用 性能高，能够在一条线路上组建成千上万个企业VPN网络 ；对用户透明，完全由运营商维护和管理。 MPLS VPN PPTP/L2TP VPN 二层VPN，较早期VPN协议，使用较为相当广泛。PPTP（Point to Point Tunnel Protocol）是微软在1996年制定，L2TP(Layer Two Tunneling Protocol)由CISCO联合微软在PPTP和L2F的基础上制定。第二层协议对PPP协议本身并没有做任何修改，只是将用户的 PPP帧基于GRE封装成IP报文。 现在主流的VPDN实施方案是采用L2TP或者PPTP隧道方式。 特点是简单易行。但可扩展性不好、也没有提供内在的安全机制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。安全程度差，是PPTP/L2TF简易型VPN最大的弱点。 PPTP和L2TP适合于客户端远程访问虚拟专用网（ “移动客户—网” ），作为安全要求高的企业信息，用PPTP/L2TP与明文传送的差别不大。 PPTP/L2TP不便实现“网—网”的VPN互连保护。 PPTP/L2TP不适合于向IPv6的转移。 自发隧道方式 强制隧道方式 SSL VPN SSL，即安全套接层协议，是由Netscape Communication公司设计开发，主要用于提高应用程序之间数据的安全性。 应用模型。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性。通常适用于“数据库－应用服务器－Web服务器－浏览器”这一种模式； 政策限制。我国商用密码管理部门有明确的规定（比如国务院273号令），表明我国在政策上就不允许使用那些采用DES的SSL VPN技术； SSL VPN的认证方式较为单一，只能采用证书，而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。对比IPSec VPN，认证方式更为灵活（口令、RADIUS、令牌等）； SSL VPN只进行认证和加密，不能实施访问控制，在建立隧道后，管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色，在其访问内部资源（主机、数据库）进行访问控制和安全审计，这也是用户最为关心的一点； 无法实现“网络－网络”的安全互联。 应用限制。SSL VPN只能用于基于Web的VPN应用联网；而一个企业或者机构往往有很多种应用（OA、财务、销售管理、ERP，很多并不基于Web），单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果（比如网上邻居，而SSL VPN只能保护应用层协议，如WEB、FTP等），保护更多的应用这点，SSL VPN根本做不到。 SSL VPN需要CA的支持，企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说（哪怕是IT企业）证书的管理也是一件相当复杂的工作。 性能对比。SSL VPN是应用层加密，性能比较差。目前，VPN可以达到千兆甚至接近10G，而SSL VPN由于是应用层加密，即使使用加速卡，通常只能达到300M左右的性能。 * * 合作伙伴 ? PSTN 远程拨号用户 RAS服务器 WAN 远程站点 Router 专用服务器 Firewall Internet Router 公司内部 Intranet 移动用户 “VPN Remote Access” 远程站点 “Extended