|
●对vpn 隧道中的数据流进行url 和内容过滤 星形vpn 部署 许多公司的网络结构包括总部和多处分支机构,为了达到分支机构之间的互通我们可以采用全连通(full mesh) 的部署。但这种方法拓展性不好,当分支机构的数目增多时,vpn 数量以n2的速度增长,而且每增加一个分支机构,其他每一个点的vpn 配置都需要做改动,增加一个vpn 隧道到新增的分支。当我们处理成百上千的分支机构时,每个分支的设备需要建成百上千的隧道,提高了设备的成本。这几点显然都是不能接受的。
星形部署vpn 解决了这个问题。每一个分支机构只建一个vpn 到总部,这条vpn 不仅作为分支到总部的加密通道,而且分支机构之间的通信也是通过它完成,分支机构通过总部通信。 stoneos 对基于路由的vpn 和基于策略的vpn 都支持星形vpn 部署。 拨号vpn 在总部-分支机构的案例里,当分支机构的数量增加时,在总部的配置也变得越来越繁琐。拨号vpn 应运而生。拨号vpn 在总部配置一个vpn 模板。当一个分支机构连入时,一个动态的vpn 隧道在总部方自动产生。
图表2:点对点vpn 和拨号vpn 例如,在图表2里,当总部和3个分支机构相连时,我们在总部需要配置3条点对点vpn 。如果我们采用拨号vpn,我们只需要配置一条vpn(vpn-t 是一个模板)。 拨号vpn 可以使用预共享密钥或证书(pki)做认证。如果用预共享密钥,stoneos 利用强制的方法给每个分支机构分配不同的密钥,而且这些密钥不能够互相导出。 (责任编辑:admin) |
