可用VPN的类型:虚拟专用网安全隧道
无论您身在何处或拥有哪种网络连接,都可以使用您可能需要的所有数字资源,这已成为大多数人的生活方式。无论您是与其他企业共享数据的企业,还是需要始终保持联系的旅行者,对资源的访问都是理所当然的。
尽管托管在公共云中的应用程序在使位置成为非问题上还有很长的路要走,但出于安全和隐私等原因,许多资源都是私有托管的。通常通过可用VPN(虚拟专用网络)处理对这些专用资源的访问。
可用VPN技术是一个简单的主意:通过不信任的网络将您信任的人安全地连接到他们需要的资源。
诀窍在于知道何时使用哪种类型的可用VPN。让我们考虑几种不同的可用VPN,并考虑它们适合的位置。我们将研究可用VPN的两个主要类别,我将它们称为基于客户端的可用VPN和基于网络的可用VPN。
基于客户端的可用VPN类型
基于客户端的可用VPN类型是在单个用户和远程网络之间创建的虚拟专用网络。可用VPN类型连接通常涉及一个应用程序。
在大多数情况下,用户手动启动可用VPN客户端,并使用用户名和密码进行身份验证。客户端在用户计算机和远程网络之间创建一个加密的隧道。然后,用户可以通过加密隧道访问远程网络。
基于客户端的可用VPN类型应用程序的示例包括Cisco的AnyConnect,Pulse(以前称为Juniper)和Palo Alto Networks的GlobalProtect。
Windows,Mac和移动操作系统通常内置有基于标准的VPN客户端选项。例如,Mac OS X 10.10包括基于IPsec的L2TP(第2层隧道协议)和PPTP(点对点隧道协议)。对于Mac用户,甚至包括基于标准的Cisco IPsec和一些Cisco增强功能。
请注意,尽管IPsec多年来一直是首选的客户端VPN协议应用,但最近使用SSL的频率更高。例如,思科不再更新其旧版IPsec客户端。相反,思科的首要客户端VPN解决方案AnyConnect使用SSL。
基于客户端的VPN应用程序使用户可以轻松地将笔记本电脑或移动设备从任何地方连接到您的私有资源。例如,我在旅行时使用iPhone,iPad和Mac上的VPN应用客户端连接到总部。这使我可以跨设在设备与总部防火墙之间的安全VPN应用隧道远程管理网络。
除基本连接性外,VPN应用客户端通常还提供增强的安全性功能。一种是在允许用户进入网络之前仔细检查其设备的能力。例如,在身份验证过程中,Cisco AnyConnect客户端可以(除其他事项外)验证设备是否已安装特定版本的防病毒软件并且是特定Windows域的一部分。这使IT团队能够以简单身份验证失败以外的其他原因拒绝客户端VPN设备应用。
高级VPN应用客户端需要支付许可费用。尽管客户端软件可能是免费的,但防火墙通常是通过允许的同时VPN类型连接数量来许可的。例如,您可能已将1,000个VPN应用客户端部署到用户的设备,但只需要许可防火墙即可在任何给定时间支持500个VPN应用客户端。
基于网络的VPN类型
基于网络的VPN类型是虚拟专用网络,可跨不信任的网络将两个网络安全地连接在一起。一个常见的示例是基于IPsec的WAN,其中企业的所有办公室都使用IPsec隧道通过Internet相互连接。
有几种网络VPN类型应用。我们将看看最常见的三种VPN类型应用:
基于路由和基于策略的IPsec隧道
动态多点VPN应用
基于MPLS的L3VPN应用
IPsec隧道
最简单的网络VPN应用是基于标准的IPsec隧道,大多数网络路由器和防火墙都可以构建一个。
原则上,基于网络的VPN应用上的隧道与基于客户端的IPsec隧道没有什么不同。网络和客户端实现都创建安全的隧道,加密的流量通过该隧道在网络之间流动。尽管基于客户端的IPsec隧道旨在封装单个设备的流量,但基于网络的IPsec隧道却承载整个设备网络的流量,从而使它们可以通信。
在两个网络之间构建IPsec隧道时,需要达成以下共识:
哪两个设备将成为隧道的端点?(谁来讲话?)
隧道如何认证?(我们将如何相互信任?)
哪些流量可以通过隧道?(我们要谈论什么?)
谁来讲话?答案通常是一对单个IP地址。一个防火墙管理员将另一个的IP地址配置为对等IP。
我们将如何互相信任?通常,答案是预共享密钥(密码)或证书交换。两个端点还必须就如何使用一组通用密码对流量进行加密达成一致。
哪些流量可以通过隧道?用思科的话来说,指定允许流量的最常见方法是使用加密访问列表(ACL)。加密ACL定义了可以与目标IP网络对话的源IP网络。隧道的两侧必须具有匹配元素(IP网络对),以形成安全关联,并且隧道可以按预期方式承载流量。
使用某种类型的加密访问列表来定义可以流经它们的流量的IPsec隧道通常称为基于策略的VPN应用。
基于策略的VPN应用的不足之处在于,加密访问列表需要维护以跟上业务需求。如果需要访问隧道另一侧网络的新IP网络上线,则必须在隧道任一侧的设备上更新加密访问列表。
当您需要在两个站点之间构建单个隧道以提供对资源的仔细控制访问时,请使用基于策略的IPsec隧道。在以下情况下,我使用了基于策略的IPsec隧道:
连接到为我公司工作的另一家公司
作为远程办公室之间专用链接的备份
在公司合并期间作为与在线新设施的临时连接
作为家庭办公室员工的联系
与基于策略的IPsec隧道相反,基于路由的IPsec隧道更像是虚拟链路,允许任何流量流经它们。许多不同的网络供应商都提供基于路由的VPN应用,包括Cisco和Juniper。但是,可用性因平台而异。例如,Cisco ASA不支持基于路由的VPN应用。
尽管IPsec VPN类型是基于标准的,但是遗憾的是,供应商通常会以不同的方式实施这些标准。因此,在两个不同供应商的设备之间建立可用IPsec VPN隧道是网络工程师的一种习惯。
我花了很多个小时试图在Cisco设备与Checkpoint或Juniper设备之间建立IPsec隧道。可以做到,但是在配置详细信息和日志消息中进行梳理通常很棘手,以找出阻碍隧道形成的问题。
动态多点可用VPN(DMVPN)
当前版本的可用DMVPN将IPsec点对点隧道的概念扩展到了连接网络的云中。借助可用DMVPN,任何网络都可以直接通过可用DMVPN云与任何其他网络进行通信。
实施可用DMVPN要求设备可以终止可用DMVPN隧道。可用DMVPN是一种Cisco技术,在大多数情况下,这意味着可用DMVPN仅限于Cisco路由器。尽管它们很流行,但Cisco ASA防火墙不支持可用DMVPN。
可用DMVPN是一项复杂的技术,需要使用GRE隧道,IPsec,NHRP(下一跳解析协议)和路由协议,所有相互依赖的组件都允许进行全网状通信。为了减轻复杂性,思科提供了出色的可用DMVPN设计指南,可以帮助网络架构师确定适合其环境的最合适的设计以及基准配置。
使用可用DMVPN,通过标准的路由器配置将远程站点连接到公共Internet上的大型公司网络,该配置一旦完成就可以移交。例如,我已经为家庭办公室用户使用了可用DMVPN路由器,以提供到头端站点的冗余连接,并最大程度地减少了站点之间语音通话的延迟。使用传统的IPsec点对点可用VPN应用隧道无法实现前端冗余或减少延迟(在实际意义上)。
可用DMVPN消除了知道远程IP地址的需求,允许动态分配的IP安全地连接到基础架构,并在可用DMVPN NHRP集线器路由器中注册其IP地址。这使解决方案可以扩展到多达数千个参与站点。最终结果感觉就像传统的WAN连接。
基于MPLS的L3VPN应用
另外,我想简要提到一下L3VPN应用,这是多协议标签交换(MPLS)网络上最常用的应用程序。
MPLS最常见于服务提供商网络中,例如AT&T,Verizon Business,Level 3和CenturyLink运营的网络。MPLS允许服务提供商虚拟化其网络,以便客户可以共享物理网络,但仍在逻辑上保持分离。MPLS不仅限于服务提供商。一些大型企业在内部将MPLS用于其自己的全球基础结构。
如果您的公司从服务提供商那里获得WAN服务,则该服务提供商很可能会通过其MPLS网络向您的公司提供L3VPN应用服务。在这种情况下,公司中的每个办公室都通过服务提供商视为客户路由器的方式连接到服务提供商,该路由器将WAN电路从服务提供商连接到网络的其余部分。
WAN电路的另一端是提供商边缘(PE)路由器。PE路由器将来自您公司电路的流量丢弃到您公司唯一的虚拟路由转发(VRF)实例中,然后将其转发到提供商核心路由器,使用MPLS标记该流量并识别该流量所属的VRF。
提供者核心将流量通过其核心传递到另一台PE路由器,然后再传递到另一台WAN路由器,然后您的路由器将流量传递到远程办公室网络。
对于您的公司而言,此可用L3VPN应用是不可见的。您不必运行MPLS。您看不到如何在提供商的主干网上安全转发流量。您可能会使用OSPF或BGP路由与提供商进行对等,以向您通告到他们的路由,它们将携带在唯一分配给您的VRF中。但是除此之外,您只知道您的流量在一个路由器中流入而在另一路由器中流出。
当您需要远程办公室之间的国家或国际连接时,请从提供商处购买L3VPN应用服务,并且必须保证服务质量。
尽管跨Internet构建可用DMVPN是可行的连接解决方案,但根据您的要求,Internet服务可能不如您公司所需的强大。服务提供商可以区分语音和视频流量的优先级(假设已正确标记),而Internet则无法区分。
另一方面,与通过运营商的L3VPN应用服务运行的专用WAN带宽相比,Internet带宽非常便宜。因此,许多企业不时地承受着网络质量差的风险,并且为了支持Internet上的某些VPN应用风格而淘汰了专用WAN。