|
1. 介绍 随着互联网技术的不断发展和接入价格的不断降低,越来越多的公司把自己的网络从专网移到了互联网上,建立新的分支机构也越来越简单。当分支机构间通过公共的、共享的网络进行连接时,如何对数据流进行保密成为一个必须解决的问题。vpn ( 虚拟专网) 技术解决了这一个问题。 ipsec 是最重要的一种连接公网上节点的vpn 技术,一段时间以来处于垄断地位。ssl vpn 的出现打破了这个局面。ssl vpn 这几年慢慢被接受,并用于公司的移动办公人员远程接入,但ipsec vpn 仍然是机构点对点互联的主流vpn 技术。 ipsec vpn 支持多样化的部署。基于策略的vpn 和基于路由的vpn 都支持星形部署,可以用来连接分支机构和总部。ssl vpn 的免维护、自动安装、自动升级的部署方式是远程用户理想的vpn 接入技术。ssl vpn 和ipsec vpn 都可以基于路由,为用户带来端到端的网络层的连接能力。 ipsec vpn 技术成熟,有许多厂家提供硬件加速的解决方案。和ssl vpn 相比,较高的性能和较高的容量使ipsec vpn 成为远程办公室点对点接入的首选技术。 ipsec vpn 支持: ●标准的技术使hillstone ipsec vpn 能和国际vpn 厂商互通 ●全面的加密算法支持,包括aes256 、diffie-hellman group 5 ●预共享密钥和pki 支持 ●基于路由的vpn 和基于策略的vpn 支持 ●vpn 星形部署 ●对端失连检测(dpd) 支持 ●nat 穿越支持 ●支持静态ip 对端、动态ip 对端、拨号vpn 对端 ●支持vpn 上的qos ●支持防重放(anti-replay) 功能 ●支持响应方设置commit 位(responder-set-commit) 功能 ●支持vpn 上的应用控制 ●支持vpn 上的路由协议 ●支持scb2 国密算法并集成入ike hillstone vpn 解决方案 点对点vpn 在点对点vpn 上,hillstone vpn 支持静态ip 对端。如果一个点的ip 可能随时间改变,可以配置fqdn 的域名,同时可以利用ddns 技术,在ike 协商时动态解析域名获得ip 进行协商。 有一些vpn 对端是动态ip,又不适用fqdn 域名,可以用动态ip vpn 。ike 的认证可以通过fqdn 的id 配置,一方的本地id 必须和另一方的对端id 相匹配,相反,一方的对端id 必须和对方的本地id 匹配。 基于路由的vpn 基于路由的vpn 把vpn 隧道虚拟成一个接口,这在stoneos 里就是隧道(tunnel) 接口。这个接口和普通接口相似,stoneos 可以在其上支持与普通接口相同的功能: ●可以在隧道接口上配置nat 转换。当我们需要把两个有地址冲突的网段用vpn 连起来的时候,我们可以在双方的隧道接口上把冲突的地址转换成新的不冲突的地址,然后再进入隧道 ●mtu( 最大传输单元)和mss(tcp 最大传输大小)可以在隧道接口上配置,控制隧道中数据流的特性 ●可以对vpn 流量配置qos 。管理员可以利用各种qos 流控,如流量、整形、限流、优先级队列和ip 队列等,对vpn 隧道中的数据流进行控制 ●可以在隧道接口上配置路由协议。例如,一个公司可以在分支机构间的vpn 上运行ospf 路由协议 ●对基于路由的vpn,可以在相应的防火墙策略上配置p2p 和im 的控制配置、url 和内容过滤的配置以达到对vpn 隧道中数据流的应用安全功能 ●vpn 的负载均衡和主备倒换可以用路由的负载均衡和不同权值来实现stoneos 支持标准的ecmp(equal cost multiple path) 和wcmp(weighted ecmp) 。这种路由的负载均衡和主备关系可以是vpn 路由之间的,也可以是vpn 路由和其他路由之间的 ●stoneos 支持多种路由种类:基于源的路由(sbr) 、基于源接口的路由(sibr) 、基于策略的路由(pbr),所有这些路由种类都可以在隧道接口上配置
基于路由的vpn 在技术上可以和网络技术自然地融合,便于把网络配置和安全配置分开,清晰地管理网关设备。 基于策略的vpn 基于策略的vpn 是vpn 和防火墙策略的结合,这是传统的vpn 配置方法。管理员可以在策略上配置一些安全特性: ●对vpn 隧道中的数据流进行p2p/im 控制 ●对vpn 隧道中的数据流进行基于策略的qos (责任编辑:admin) |
