「VPN」- 技术分类

根据业务用途划分(需求)

Remote Access VPN(远程访问虚拟专网)

又称拨号 VPN、远程访问 VPN,通常使用 L2TP VPN 技术;

Access VPN 的结构有两种类型:用户发起(Client-initiated)的 VPN 连接;接入服务器发起(NAS-initiated)的 VPN 连接;

原理简述
Access VPN 主要使用的 VPDN 技术,是 VPN 业务的一种,是基于拨号用户的虚拟专用拨号网业务。可以用于企业互联或者远程访问企业网络;

应用场景
1)企业的内部人员移动或有远程办公需要,或者商家要提供 B2C 的安全访问服务;
2)向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接;

Intranet VPN(企业内部虚拟专网)

解释:Intranet VPN 技术指的是,基于 Internet 在公司网关之间构建 VPN 网络;

网关到网关,通过公司的网络架构连接来自同公司的资源,通常使用 GRE 或者 DSVPN 技术;

Intranet VPN 通过公用网络进行企业内部各个分布点互联,是传统的专线网或其它企业网的扩展或替代形式;

Intranet VPN 现网中主要用于企业分支与总部,分支与分支之间互联;
现网中使用比较多的是 GRE Over IPSec。对于有较多分支的企业,可以使用 Efficient VPN 简化分支的配置,部署 IPsec 链路冗余备份后可以保障 GRE 的可靠性;

原理简述:
Intranet VPN 主要用到了以下几种技术:GRE、GRE Over IPsec、DSVPN、DSVPN IPsec 保护

应用场景:
1)企业内部各分支机构的互联,企业自建分支-总部 VPN。例如,分支机构需要访问总部的网络;

Extranet VPN(扩展的企业内部虚拟专网)

Extranet VPN 是指利用 VPN 将企业网延伸至供应商、合作伙伴与客户处,与合作伙伴企业网构成 Extranet,使不同企业间通过公网来构筑 VPN

Extranet VPN 主要用到的技术是 SSL VPN 与 L2TP;

外部用户接入内网,使用 SSL VPN 比较方便,无需安装客户端,直接使用网页即可访问公司内网,且 SSL VPN 的业务选择较多,比如网页代理、文件分享、端口转发、网络扩展;

场景:
1)提供 B2B 间的安全访问服务。例如客户、供应商、需要访问企业内部网络,用于在客户或者供应商之间构建安全的访问服务;
2)同时对于出差员工也可以使用 Extranet VPN 接入公司网络

根据组网方式不同

Remote Access VPN(主机与网关)

1)适用于出差员工 VPN 拨号接入的场景,员工可在任何能接入 Internet 的地方,通过 VPN 接入企业内网资源;
2)常见的有 L2TP VPN、SSL VPN 等;

Site-to-site VPN(网关与网关)

1)适用于公司两个异地机构的局域网互连;
2)常见的有 MPLS VPN、IPSec VPN、GRE VPN 等;

根据建设单位不同

Provider-Provisioned VPN

企业租用运营商 VPN 专线搭建企业 VPN 网络:

企业自建 VPN 网络:

根据实现网络层次(参考)

按照实现层次的不同,VPN 可以分为 L3VPN(Layer 3 VPN),L2VPN(Layer 2 VPN)、VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)

Layer 3 VPN(三层 VPN,L3-VPN):工作在 Netowrk Layer 的 VPN;
Layer 2 VPN(二层 VPN,L2-VPN):工作在 Data Link Layer 的 VPN;

MPLS VPN:既能工作在二层,也能工作在三层;

L2VPN

传统的交换网(如 ATM、FR)与 IP 或 MPLS 网络融合,L2VPN 因此而诞生;

L2VPN 包括:

VPWS(Virtual Pseudo Wire Service,虚拟专用线路业务)

VPWS 尽可能真实地模仿 ATM、帧中继等业务的基本行为和特征,是一种点到点的 L2VPN 技术;

VPLS(Virtual Private LAN Service,虚拟专用局域网业务):

VPLS 提供点到多点的 L2VPN 业务,使各个站点间的连接效果像在一个 LAN 中一样;

L2VPN(二层 VPN,链路层 VPN):
1)特征:在数据报文前,保留二层传输头部;
2)实现:L2TP VPN、PPTP VPN、L2F VPN、MPLS VPN

传统的 L2VPN 业务,例如 VPLS(Virtual Private LAN Service),提供用户远程站点之间二层连接服务。它组建二层交换网,像二层交换机一样透传以太报文;

第二层隧道协议:是将整个 PPP 帧封装在内部隧道中。现有的第二层隧道协议有:PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议),L2F(Layer 2 Forwarding,二层转发协议),L2TP(Layer 2 Tunneling Protocol,二层隧道协议);

本例中,PE1 和 PE2 组建的 VPLS 网络透传 CE1 和 CE2 间的 VLAN 流量:

已知问题
1)在传统 L2VPN 中对于远端 MAC 地址的学习依靠 ARP 广播泛洪,PE 设备将需要承载广播流量。广播占用较多的接口带宽,这是传统 L2VPN 的典型问题;
2)当多出口时:可能存在二层环路,所以无法支持多活接入(多条链路同时运行);
3)不支持负载分担:鉴于不支持多活,因此无法使用负载分担
4)故障收敛慢:

VPDN

VPDN 是指在公共网络上构建的虚拟专用网络,采用专用的网络加密通信协议,为企业驻外机构、移动办公人员提供接入服务。VPDN 隧道协议有多种,目前使用最广泛的是 L2TP(Layer Two Tunneling Protocol)。严格来说,L2TP 也属于二层 VPN,但其网络构成和协议设计与其他 L2VPN 有很大不同且采用拨号方式,所以分类为 VPDN;

L3VPN

L3VPN 也称为 VPRN(Virtual Private Routing Network),包括多种类型例如基于 RFC2547 的 BGP/MPLS IP VPN、以 IPsec 或 GRE 作为隧道的 IPsec VPN 和 GRE VPN 等;

L3VPN(三层 VPN,网络层 VPN):
1)特征:在数据报文前,保留三层传输头部;
2)实现:IPSec VPN、GRE VPN、MPLS VPN

第三层隧道协议:隧道内只携带第三层报文。现有的第三层隧道协议主要有 GRE(Generic Routing Encapsulation,通用路由封装协议),IPsec(IP Security)协议:IPsec 协议不是一个单独的协议,包括 AH(Authentication Header,头验证协议)和 ESP(Encapsulating Security Payload,封装安全载荷协议);

L5VPN

注意,现网似乎并没有使用 L5VPN 术语,这是我们杜撰的,泛指应用层 VPN 服务;

Application Layer VPN:
1)SSL VPN

Filed under: K4NZDROID - @ 7:57 AM