阅读以下说明,根据要求回答问题。
[说明]
某省级重点中学欲构建一个局域网,考虑到该中学的很多现代化教学业务依托于网络,要求中学内部用户能够高速访问相关的5台内部高性能服务器,并且要求通过网络的冗余性设计来获得较高的各类业务服务的可用性。
某系统集成公司根据该中学的相关需求,将网络拓扑结构设计为双核心来进行负载均衡和容错。该公司给出的网络拓扑如图7-10所示。
该中学在校外住宿的教职工要求能够访问校内的相关应用资源。可以采用L2TP、MPLS VPN、IPSec三类VPN技术实现这一应用需求。请对三种VPN技术进行比较,将有关内容填入表7-6的空缺处。
参考答案:
(9)介于第二层和第三层之间(或两层半) (10)第三层(或网络层)
(11)不支持 (12)不支持
(13)不支持 (14)支持
解析:
虚拟专用网(VPN)技术主要采用隧道技术(tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)来保证内部数据通过Internet的安全传输。其中,隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。它是一种是利用隧道协议对隧道两端的数据进行封装的技术。隧道是由隧道协议形成的,而隧道协议可以分为第二层隧道协议和第三层隧道协议。第二层隧道协议是先将各种网络协议封装到PPP中,再将整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议主要有L2F、PPTP、L2TP等。
L2TP是目前IETF的标准协议,由IETF融合PPTP与L2F而形成。L2TP与PPTP之间的主要区别在于:①PPTP只适于IP网络,L2TP只要求隧道提供点对点的连接(既适于IP网,也适于非IP网);②PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多隧道;⑧PPTP不支持隧道验证,L2TP可以提供隧道验证;④PPTP不支持首部压缩,L2TP可以提供首部压缩。
利用某种协议来传输另一种协议的技术,共涉及乘客协议、隧道协议和承载协议三种协议。L2TP封装的乘客协议是位于第二层的PPP协议,而承载协议可以是IP、ATM和帧中继等。L2TP在数据封装、数据传输过程中并没有采取对数据进行加密的措施。
L2TP是一种典型的被动式隧道协议,它可从客户端或访问服务器端发起VPN连接,支持移动VPN客户端,可以随时随地进行访问接入。由L2TPv2构建的VPN网络中,只要求网络边缘设备支持L2TP。它主要由L2TP访问集中器(LAC)和L2TP网络服务器(LNS)两种类型的服务器构成。其中,LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道,是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备。LNS是PPP端系统上用于处理L2TP服务器端部分的软件,是所有隧道的终点,LNS终止所有的PPP流。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP的终点延伸到LNS。
第三层隧道协议是将各种网络协议直接装入隧道协议中,封装形成的数据包依靠第三层协议进行传输,其典型代表是IP安全协议(IPSec)。IPSec是在网络层提供安全的一组协议,主要有两个主要的协议:身份认证头(AH)协议和封装安全负载(ESP)协议。其中,AH协议提供了源身份认证和数据完整性,但是没有提供加密服务。ESP提供了数据完整性、身份认证和数据加密等服务。换而言之,IPSec在传输数据过程中,可以对被封装的数据包进行加密和摘要等操作,以进一步提高数据传输的安全性。
由于IPSec只能工作在网络层,因此其要求乘客协议和承载协议都是IP协议。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec。IPSec支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。IPSec VPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成IPSec VPN的可扩展性比较差。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。并且MPLS VPN不支持移动VPN客户端。但是MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许它们各自拥有不同的优先权。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS。MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。
根据以上分析,L2TP、IPSec、MPLS VPN这三类VPN各具特色,互有优缺点。它们在隧道协议层次、是否支持数据加密、网络核心设备和边缘设备的协议支持要求、是否支持移动VPN客户端等方面的异同点见表7-10。在实践应用中,需要结合具体的用户需求因地制宜地选择使用哪种或哪几种组合的VPN接入方式。
