3.VPN管理
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标包括以下方面。
(1)减小网络风险:从传统的专线网络扩展到公用网络基础设施上,VPN面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对VPN访问的同时,还要确保公司数据资源的完整性。
(2)扩展性:VPN管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。
(3)经济性:保证VPN管理扩展性的同时不应过多地增加操作和维护成本。
(4)可靠性:VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故VPN可靠而稳定地运行是VPN管理必需考虑的问题。
(5)VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。
二、用户远程接入VPN技术方案选择
针对移动办公用户通过internet接入企业内部网,建议采用L2TP+IPsec+RSAOTP技术组合,实现VPN的安全可靠接入。下面对上述三种所涉及的技术做简要介绍。
1.L2TP技术
PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
L2TP(Layer2TunnelingProtocol )协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。L2TP包括以下几个特性。
(1)安全的身份验证机制:与PPP类似,L2TP可以对隧道端点进行验证。不同的是PPP可以选择采用PAP方式以明文传输用户名及密码,而L2TP规定必须使用类似PPPCHAP的验证方式。
(2)内部地址分配支持:LNS放置于企业网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持DHCP和私有地址应用(RFC1918)。远端用户所分配的地址不是Internet地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。
(3)统一的网络管理:L2TP协议已成为标准的RFC协议,有关L2TP的标准MIB也已制定,这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。
2.IPSec技术
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP (Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
私有性:IPSec在传输数据包之前将其加密,以保证数据的私有性;
完整性:IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
真实性:IPSec端要验证所有受IPSec保护的数据包;
防重放:IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
责任编辑:虫虫
您现在的位置: 