close
組圖:重150公斤的Google街景三輪車
剝皮寮是這此次「推薦Google街景三輪車拍攝景點」票選...
2010/08/11台中商標權申請
隨著VPN技術的成熟以及在各個企業的廣泛應用,VPN已經越來越多的被大傢所熟悉,根據曾經做過的項目結合未來VPN技術發展的趨勢,拋磚引玉的介紹一下VPN技術的幾種具體應用。由於已經有很多文章具體的介紹過IPSEC這個協議,所以在本文中對協議的解釋並非是重點,但看該文章前希望讀者能對IPSEC協議以及工作原理有些必要的瞭解。
一般企業會采用較為簡單的VPN技術,構造一個通過互聯網將公司各分部連接起來的網絡,具體來說,一般公司總部采用中高端路由器或者防火墻來作為VPN的中心端,其它分部采用較為低端路由器或防火墻作為vpn接入,一般采用IKE協議來協商出的IPSEC SA,而其中大部分將采用預共享密鑰PRE-SHARE KEY的方式,有些有條件而且對安全要求比較高的公司,可能會?br> 捎彌な櫚姆絞劍殼爸な櫓寫籩虜捎靡到綾曜嫉腛CSP(Online Certificate Status Protocol)協議和CISCO公司開發的SCEP(Simple Certificate Enrollment Protocal)協議來讓vpn設備從CA中獲取相關證書來進行設備認證,一般在IKE第一步中分為主模式和野蠻模式,兩者區別簡單來說,前者通過六條消息的發送來完成IKE SA的形成,而後者則隻需要三條消息即可,目前個大廠傢設備基本都可以支持上述兩中模式,而大部分客戶為瞭安全,基本上采用的是前者主模式,在主模式中采用預共享密鑰和證書的區別在於第5條和第6條消息中載荷的不同,但最終達到的目的一樣,既對雙方的身份進行合法性的驗證,不過在使用證書時,請註意證書服務器的安全和各個VPN設備於證書服務器的時間同步。在配置中我們一般都需要指定對方的公網IP地址,作為IPSEC PEER地址進行協商,然後指定一些加密算法和定義好需要加密的數據流,其它的配置我們在後面具體討論。
用VPN線路作為自己主要線路的畢竟是少數,大部分公司會選擇用DDN或者SDH作為自己主要線路,再申請條ISDN作為備分線路,如今大部分公司還會有一條ADSL或者其它的線路作為連接互聯網的出口,為瞭節省開支,一些公司考慮使用在互聯網上的VPN線路代替ISDN作為主線路的備份,所?br> 閱殼按蟛糠止居Ω檬荢DH或者其它線路作為主要線路,VPN線路作為備份線路,形成一個HUB AND SPKOEND的網絡拓撲,公司的數據先通過SDH傳輸,如果主線路斷掉的時候再啟用VPN備份線路,眾所周知,如果用靜態路由要達到這種效果將十分困難,所以VPN面臨著一個問題是如果用IPSEC來傳輸路由協議所特有的IP分組,因為它們大部分都是組播,甚至是廣播,而IPSEC中的IKE v1協議對此支持不夠,現在IKEv2版本的草案正在對組播進行討論,有興趣的朋友可以到IETF網站上查詢,此時我們不得不想到IPSEC協議的先輩,GRE (Generic Routing Encapsulation)協議,它和ISPEC類似,是一個將各個類型的數據包封裝到IP協議類型號為47的GRE的分組裡的協議,但最大不同地方是,GRE可以封裝不同協議的數據包,但對這些數據包不進行任何的加密和認證,而IPSEC協議隻能封裝IP數據包,目前有RFC1701,2784,2890對其進行瞭準確的定義。GRE的配置一般會起用一個TUNNEL接口,在該接口中你可以預先定義好該隧道的起點,也就是GRE數據包的源IP地址,以及隧道的終點,也就是GRE數據包的目的地址。其它GRE的信息,本文不加以過多的說明。
簡單瞭解GRE工作原理後,我們一起看討論GRE加VPN達到動態備份線路的解決方案,首先你需要在所有VPN
設備上先啟用一個GRE隧道接口,將該隧道的源地址設為本端的公網IP地址,而目的地址為公司對端的公網IP地址,再給該隧道分配一個IP網段,然後運行動態路由協議,將隧道接口網段,本端局域網段和主線路出口的IP網段加於到路由協議發佈中,這樣GRE隧道接口將通過GRE隧道發送路由協商報文,而對端VPN設備通過GRE封裝接收到路由協商報文後將與之建立正確的路由關系,最後各個VPN設備能通過路由協議互相交換和學習到路由信息,建立到達對方局域網的路由表。
再看看實際網絡情況,正常情況下,VPN設備將走主線路到達對方的局域網段,如果主線路斷掉後,VPN設備通過路由協議將自動的轉換成通過GRE隧道出去,而所有要到達對方局域網的數據包,將通過GRE隧道接口加上源為本端公網IP地址,目的為對方公網IP地址的GRE頭,通過GRE分組發送到對方VPN設備上去,從而實現動態備份的效果,說到這裡,大傢可能會問,上面所描述的和IPSEC毫無關系,完全是由GRE協議的功勞,的確是這樣的,但是別忘瞭開頭文章提到的GRE協議沒有數據加密的功能,您放心讓公司的數據通過互聯網這個公網來進行傳輸嗎?所以我們需要將所有GRE數據包再用IPSEC協議重新封裝一次,這時您在互聯網上面傳輸的數據將是加密後的報文。讓我們再回憶回憶上面的數據包封裝的過程。
首先一個數據包發給您的VPN設備,由於主線路斷開,所以該設備會將您的數據包路由到GRE接口,在GRE接口上,數據包將加上新的GRE頭來隱藏原本不可能在INTERNERT上路由的IP數據頭,這時它會變胖些,為瞭安全,我們又會將這些GRE數據包用IPSEC協議進行加密封裝,是用ESP還是ESP加AH,那就隨便大傢,不過有一點是肯定的,我們的數據包又後變胖些,最後這些胖傢夥將通過互聯網發送出去,中間可能會被MTU比較小的網絡設備分片,分片後就可能遇到很多麻煩事,這裡不一一舉出,最倒黴的莫過於遇到不允許分片包或分片包過小的設備,那這個胖傢夥就的在此打主,你的數據連接也就無法成功,如果一切順利到達對端VPN設備後,接下來該是瘦身的時候瞭,首先對端VPN設備會用IPSEC協議將其外面的一層撥掉,也就是解密,然後穿瞭件GRE外套的小胖子會被GRE協議撥掉GRE的外套,隱藏許久的IP頭將終於重見,最後通過路由這個數據包就能到達IP頭中的目的地址瞭。
就這樣您的公司將擁有瞭另外一條備份聯路,但隨著公司的逐步發展,以及分支機構的龐大,您有將遇到很多問題
如果您的分支可能都采用的是動態獲得IP地址,如ADSL,您將無法知道確切的IP地址,那麼在總部VPN設備上也就無法為該分支指
定確切的IPSEC PEER地址,又如果您公司有30個分部,而每個分部都需要能和總部之間通過VPN線路進行訪問,那在總部VPN中將需要人工的設置30條IPSEC的參數,即使這些參數大部分相同,而如果使用GRE隧道接口,在出現30個隧道接口的同時也帶來瞭30個不同的網段,這將浪費IP網段以及增加查找路由時間,這些問題的解決辦法是,將總部VPN設備中IPSEC的配置稍加變化,讓IPSEC PEER地址變為ANY,也就是讓分支發起協商,而總部接收所有發起的協商,就能很好的建立VPN連接。需要註意的是,兩端的VPN設備不能同時為動態,或者一邊動態,一邊是經過DNAT轉換後的IP地址,因為在IKE第二步快速模式的時候會進行identity的認證,這樣會造成認證失敗。關於identity 載荷在IKEv2草稿中已經作出一些改動,將其分成identity載荷和select trffic載荷。
但如果您還需要30個分部都能夠互相訪問,有兩種辦法,第一,如果都是靜態公網IP地址,那就在申請註冊商標台中30個設備上全都設置30條IPSEC的參數,形成一個全網狀的拓撲,這將造成很大的工作量,第二,保持上面的配置和拓撲不變,讓所有的流量加密到總部VPN後解密,然後再加密發向另外一個分支VPN,這將大大加重總部VPN的工作負擔,兩者都不是最好的選擇,所以目前VPN技術中出現瞭將NHRP協議和GRE協議結合起來為VPN設備瘦身的一個方案,而且在最近幾年已經廣泛應用。
首先大傢應該大致瞭解NHRP的工作原理,下一跳解析協議(NHRP)原本是用於非廣播多路訪問(NBMA)網的一個IP邏輯子網的地址解析協議,原先主要是用於ATM網絡和IP網絡中,當多個網絡通過AT M連接時,它使得一個網絡上的發送結點能夠判斷出要使用的數據鏈路層的地址,以便快速到達另一個網絡上的目標結點。而現在我們使用基於VPN的NHRP協議(RFC2735),讓NHRP來告訴我們IP數據包目的地址和IPSEC對端地址的對照關系,所以台中商標註冊流程在配置中,我們也可以將各分部IPSEC的對端IP設為ANY,而此時GRE隧道的終點也不再是我們手工設置,它也由NHRP獲得。在這裡具有NHRP協議的設備有兩中角色,一種是我們企業分部的VPN設備,它們通過NHRP協議,將自己的VPN的標識(一般隧道接口的源IP)和本端公網IP的對照關系發送給NHS,而另外一種就是我們企業總部的VPN設備--NHS,是NHRP中的SERVER,負責收集,請求和維護其它的分部發來的信息,並且根據分支的請求而發送相對應的對照關系給對方。
工作過程大致如下:當分支A需要訪問分支B時,首先通過路由協議學習到由GRE隧道接口出去,而且下一跳是分支B設備隧道接口的IP地址,接著數據包到達分支A的GRE隧?br> 瀾湧塚詬媒湧誒鋟種將查找NHRP,以確定IPSEC法發起協商的目的地址,如果沒有找到下一跳對應IPSEC協商的目的地址,則分支A會向總部發起NHRP請求,如果收到總部的NHRP回應數據包而獲得對應的公網IP後,分支A將與該公網IP協商IPSEC會話,如果雙方成功協商出IPSEC SA後,此時分支A將用目的地址為分支B的公網IP,而源地址為自身IP的GRE數據包進行封裝,且用IPSEC協議進行加密後直接轉發到分支B,而不會經過總部,而加重總部帶寬的負擔。
上面所述,大部分是目前幾年VPN中較為廣泛的應用,隨著VPN技術的發展,基於VPN的QOS和VPN的HA,以及VPN流量的訪問控制在目前也大有應用,有機會再和大傢討論。展望未來,隨著L2TP V3版本以及PWE3協議的完善,VPLS在核心網絡的廣泛應用,相信以後跨互聯網進行加密第二層信息數據包的傳輸也將很快到來。
【返回新聞首頁】
- 台中商標申請查詢 【品牌達人推薦】台灣註冊商標查詢該找誰呢?推薦事務所
- 台中商標註冊查詢 【註冊商標達人推薦】台中申請商標代辦事務所~商標代辦就找他
- 台中商標申請查詢 【註冊商標達人推薦】台灣註冊商標申請流程解析~
文章標籤
全站熱搜
留言列表
