幀中繼(FR)、ATM采用通過在兩節點間建立PVC,在物理網絡中劃分出獨立的點對點帶寬資源,在協議層次上更靠近低層,有嚴格的流量和服務質量等級。由於FR、ATM業務均有專用數據網絡支持,所以安全性比較好,但是由於面向連接的存在,在全網狀網絡中的擴容問題工程量比較浩大,同時面向連接的VPN技術需要網絡服務供應商的全程支持,所以必定是基於網絡服務商的VPN模式。以上的闡述中,擴展的靈活性和再次巨大的投資經常被用來恐嚇企業網絡的IT主管,其實在良好的VPN設計的前提下,可以完全避免以上恐慌。首先網絡結構的合理化,可以采用核心節點網狀或部分網狀結構,然後在各節點形成小型區域網絡,這樣一來新節點的增加可以通過兩條不同的物理路由的PVC完成接入VPN的任務。同時由於目前大部分企業網絡還是基於IP的應用,所以在屏蔽掉VPN的同時,對網絡內部的IP路由系統、IP地址分配原則進行優化,可以在更高的網絡層次上彌補下層網絡投資的不足。在安全性方面,許多用戶和NSP認為FR、ATM技術天生安全,這其實有片面性。首先FR、ATM的安全性是和暴露在大庭廣眾下的Internet相比較的,認為邏輯上的PVC和專用的數據網絡不存在信息泄露情況。其實,筆者從一名一直從事運營維護工作的工程技術人員的角度出發,認為主要是由於FR、ATM的協議相對復雜,需要專用的協議分析儀表連接在專用數據網絡上處於監聽狀態,才可能針對DLCI或VP/VC監聽用戶數據,而不象Internet中,Sniffer類的工具比比皆是,一個網絡新手就可以輕易地通過小工具監聽某臺IP主機的數據。其實在同樣的監聽狀態下,由於FR、ATM數據基本上不再加密,而Internet VPN中的數據流還有加密機制,所以這時候FR、ATM技術下的VPN安全性倒不如IPSec VPN。
非面向連接VPN技術
該類VPN技術目前大體統稱為IP VPN,其中比較重要有L2TP技術、IPSec技術。用戶數據在公用網絡中進行傳輸,雖然有VPN-ID等機制保證VPN業務間的非混淆性,但是就IP層的存儲轉發過程中還會存在錯誤轉發的情況。筆者認為目前的非面向連接VPN技術的關鍵不足還是QoS部分。首先目前的IP網絡的QoS保障不是非常完善,其次在用戶側不同業務的QoS對應到骨幹網絡的時候出現問題。由於L2TP可以采用ATM、FR技術也可以采用IP技術,所以在這裡提到的L2TP主要為利用UDP的IP Tunnel技術。在L2TP過程中沒有加密機制進行保障,所以還需要通過IP Sec進行加密。從真實的VPN配置中可以看出L2TP隻是在用戶業務的出口和入口加入L2TP標識,在骨幹網絡中沒有一點處理。在理論分析協議封裝中,如果HTTP業務通過L2TP建立隧道,利用IPSec進行加密,那麼堆棧結構為HTTP/TCP/IP/L2TP/UDP/ESP/IP /HDLC,如果HTTP業務直接進行IPSec加密,那麼堆棧結構為HTTP/TCP/IP/ESP/IP/HDLC,兩種封裝中在骨幹網絡中起到尋址和QoS保證的應該為後一個IP封裝的內容,由於該IP和網絡中的其他用戶的IP分配、處理過程沒有什麼區別,所以不會有特殊的QoS保障。其實如果可能,可以進行前一個IP的QoS與後一個IP的QoS的對應,但是首先要求運營商有全網規劃,其次運營商路由設備必須完全信任用戶設備,因為第一個IP頭裡的內容可以由用戶控制。另外隧道的起點和加密的起點需要配合,當傳輸流被加密後,由於第一個IP標記QoS的比特不能為網絡路由器所讀取,因此,QoS很難得到保證。同樣的問題也出現在不同運營商間提供業務的時候。
(作者:編輯:stone責台中商標註冊類別台灣商標註冊查詢任編輯:stone)
天極新媒體最酷科技資訊掃碼贏大獎
台灣申請商標
文章標籤
全站熱搜
留言列表
