自从虚拟专用网(VPN)取代了旧的帧中继和拨号系统以来,在过去二十多年中,它已经成为企业远程连接的主要部分。VPN为远程用户和网络提供低成本和安全连接的能力,同时在企业中发挥越来越重要的作用,因为如今的工作场所模式已转移到远程办公。
多年来,我们已经看到了基于传统VPN架构的稳步改进,包括SSL VPN的兴起。在文中,将介绍如今企业中使用的基本VPN模型和协议。
●远程访问VPN
这种类型的VPN是基于客户端或远程访问形式的VPN,这是当客户端设备(如PC、平板电脑或智能手机)通过Internet连接到远程网络时使用的, 一旦用户发起远程网络的连接,该用户必须在授予特定网络访问权之前进行认证。远程访问VPN非常适合在家中或旅行中工作的用户,因为客户端上的连接是动态的,这意味着客户端设备可以位于互联网上任何地方的不同IP地址进行链接。
●点到点VPN
这种类型的连接用于扩展对远程位置或第三方网络的透明网络访问。它是一种静态连接; 如果IP地址由于办公室移动或因特网服务提供商的更改而发生改变,则必须手动更新VPN通道配置以反应这些更改。这与基于客户端的VPN的动态特性形成对比,它允许动态改变客户端源IP地址。
●IPsec和SSL VPN
在远程访问VPN中,您可能会运行两种不同的协议类型。 第一个是经典的IPsec(Internet协议安全)VPN,它需要客户端软件。 一旦用户通过VPN隧道进行身份验证并连接到远程网络,就可以限制访问,但只能在基本IP级别进行限制。但由于缺乏基于IPsec的远程访问VPN固有的粒度,许多IT部门已迁移到SSL VPN,允许管理员在应用程序级别限制用户访问。 基于SSL的远程访问VPN的另一个好处是,您不一定需要在端点上安装第三方软件,就像使用基于IPsec的VPN一样。
●IPsec和DMVPN
对于点到点VPN连接,企业使用IPsec隧道和称为动态多点VPN(DMVPN)技术的混合。
IPsec隧道是一种低成本解决方案,用于关键远程站点的备份连接,在专用WAN链路(如专用T1或MPLS电路)发生故障时启动,VPN隧道自动形成并保持两个网络之间的连接,直到主链路恢复。使用IPsec VPN的问题是它是严格的静态点对点技术。因此,基于IPsec的VPN网络主要构建为中心和分支网络。但如果路由流量连续通过集线器从一个辐条到另一个辐条,这会导致效率低下的问题,这就需要DMVPN的帮助。
DMVPN捆绑了几种技术,包括多点GRE隧道和下一跳解析协议(NHRP),以便远离点到点连接,并允许构建动态网格架构。DMVPN允许在两个辐条之间的GRE隧道的动态链接和直接连接。因此,它消除了复杂的静态配置,并减少了集线器VPN端点上的潜在流量瓶颈。
●新兴VPN技术
即使使用今天最强大的VPN技术,如果他们利用互联网在位置之间的连接,基于拥塞或降级等优化数据路径都是不可能实现的。为了解决这个问题,几个网络供应商正在合并VPN的安全性与SD-WAN的灵活性和敏捷性。
这种新兴技术创建了一个框架,可以快速识别有问题的路径并重新规划这些区域周围的路由流量,这允许最终用户数据实时使用最佳路径,以提供绝对最佳性能。 SD-WANs可以使用低成本的互联网运营性能和专用WAN连接选项的混合组合。虽然一些网络供应商允许部署和控制内部智能VPN解决方案,但还有很多其他网络供应商将这些技术作为基于云的服务。
VPN技术在过去二十年中取得了一定的进步。VPN过去是一种简单的,非智能连接的技术。它即使可以帮助运营商级的广域网减少一小部分成本,但不能把它作为一种高度适应性的解决方案。由于WAN连接是IT部门不断增加的成本负担,因此希望看到越来越多的企业组织在不久的将来选择下一代智能VPN选项。
本文转自d1net(转载)