ycy515 2008-4-1 10:11
集约策略和基于路由的vpn
那位高手,请帮我解释一下,juniper firewall 中基于路由的vpn 和基于策略的vpn 到底有什么区别,为什么要这么分?在什么情况下用不同的方式?我也搜了相关的文章,看了之后还是不很明白,希望高手能解释的详细点,消除我的疑问。
wzknet 2008-4-1 12:57
回复 1# 的帖子
基于路由和基于策略的通道
VPN 支持的 NetScreen 设备的配置非常灵活。可以创建基于路由和基于策略的 VPN 通道。另外,每种通道都可使用
“手动密钥”或“自动密钥 IKE”管理用于加密和认证的密钥。
利用基于策略的 VPN 通道,通道被当作对象 ( 或构件块),与源、目标、服务和动作一起,组成允许 VPN 信息流的
策略。( 实际上,VPN 策略动作是tunnel,但如果未申明,则暗指动作permit )。在基于策略的 VPN 配置中,策略专
门按名称引用 VPN 通道。
利用基于路由的 VPN,策略不专门引用 VPN 通道。相反,策略引用目的地址。NetScreen 设备进行路由查询以找到
必须通过其发送信息流到达该地址的接口时,通过通道接口找到路由,它被绑定到特定 VPN 通道1。
因此,利用基于策略的 VPN 通道,可将一个通道视为策略结构中的一个元素。利用基于路由的 VPN 通道,可将一个
通道当作传输信息流的方法,同时将一个策略当作允许或拒绝传送该信息流的方法。
可创建的基于策略的 VPN 通道的数量由设备所支持的策略数量限制。可创建的基于路由的 VPN 通道的数量,由设备
所支持的路由条目或通道接口的数量加以限制 ( 以数量较少者为准)。
设置对 VPN 信息流的精确限制时,要想保存通道资源,基于路由的 VPN 通道配置是一个很好的选择。尽管可以创建
引用相同 VPN 通道的多个策略,但是每个策略都创建一个拥有远程对等方的单独的 IPSec 安全联盟 (SA),每个联盟
都被视为一个单独的 VPN 通道。利用基于路由的 VPN 方案,信息流的调整与其传输方式不成对。可配置多个策略以
调整在两个站点间流过单个 VPN 通道的信息流,但只有一个 IPSec SA 在工作。另外,基于路由的VPN 配置允许您
创建引用到达VPN 通道的动作为拒绝 的目的策略,与基于策略的 VPN 配置不同 ( 如前面所述 ),其中的动作必须是
tunnel,暗指 permit。
scorstz 2008-4-1 15:04
路由vpn 是用路由来促发通道的建立
策略vpn 是靠策略来激发通道的建立
ycy515 2008-4-2 14:12
谢谢 2位前辈的解答 ,明白了其中的差异性 。谢谢!
竹影 2008-5-21 20:12
VPN 支持的 NetScreen 设备的配置非常灵活。可以创建基于路由和基于策略的 VPN 通道。另外,每种通道都可使用,可创建的基于策略的 VPN 通道的数量由设备所支持的策略数量限制。可创建的基于路由的 VPN 通道的数量,由设备
所支持的路由条目或通道接口的数量加以限制
群里面 2008-10-7 14:48
不用那么费力了,你直接搜索一个天联vpn软件安装上就可以了,对网络没有要求,就算你没有公网ip也可以使用
youcomtxt 2008-10-8 09:04
路过。
[size=2]嗯,虽然路过。
还是厚道的顶一下[/size]
-------------
我飘渺灵儿 2008-10-22 15:59
不用那么费力了,你直接搜索一个天联vpn软件安装上就可以了,对网络没有要求,就算你没有公网ip也可以使用
啊爸爸 2008-10-22 16:54
门按名称引用 VPN 通道。
利用基于路由的 VPN,策略不专门引用 VPN 通道。相反,策略引用目的地址。NetScreen 设备进行路由查询以找到
必须通过其发送信息流到达该地址的接口时,通过通道接口找到路由,它被绑定到特定 VPN 通道1。
如坐针毡 2008-10-23 10:32
基于策略的VPN,是先建好通道,然后在策略中允许VPN流量的进入. ;基于路由的VPN,是先做好TUNNEL接口,并定义路由,把通道绑定到通道接口上,这样把流量引导至VPN通道.
2008niihao 2008-10-24 08:42
看帖不顶不厚道~~我顶~~~~
[align=center][img]http://www.fjserver.com/admin/ding5.gif[/img][/align]
[size=7]看帖不顶不厚道~~我顶~~~~[/size]
[img]http://www.fjserver.com/admin/sigline.gif[/img]
[url=http://www.ruixing-shadu.com.cn/]瑞星[/url][url=http://www.word-excel.cn/]word[/url][url=http://www.powerponints.org.cn/]powerpoint[/url][url=http://www.shadu123.com.cn/]金山清理专家[/url][url=http://www.kingsoft-ciba.cn/]谷歌金山词霸[/url]
白翁头 2008-10-31 13:44
不用那么费力了,你直接搜索一个天联vpn软件安装上就可以了,对网络没有要求,就算你没有公网ip也可以使用
梦里寻她 2008-11-3 13:24
1.(VPN)是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。应该说,VPN开辟了新的商机。第一,也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;第二,企业新增的分支机构或站点可以非常迅速方便地加入企业已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建企业INTRANET的技术手段,如点对点专线或长途拨号;第三,VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;第四,VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的企业将在竞争获得优势已经是不争的事实,许多企业也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益。不过,如果企业盲目追风,不考虑网络安全和服务质量,将商业应用转移到公用IP网络上绝对不是明智的做法。
首创网络有限公司作为国内知名的IT及电信综合增值服务提供商,本着“方案产品化、产品服务化、服务品牌化”的发展战略,以极具亲和力的“紫衣天使”服务形象,为企业级用户提供了一系列的增值服务解决方案。其VPN/VPDN系统是集软、硬件为一体,通过访问控制、传输加密以及网络化集中管理等技术,在公共信息网络中为用户构建安全的内部互联网络系统,不仅帮助企业节约资金,而且通过不同等级的服务质量保证提供充分的安全保障。首创网络VPN业务在开通数月以来已经为很多用户提供了解决之道,并得到了良好的反响,而新近首创网络为中青旅量身定做的一套VPN解决方案,更是为中青旅解决了许多燃眉之急,在业界起到了很好的典范作用。
客户需求分析
中青旅控股有限公司二十年缔造杰出品牌优势,雄居中国三大旅游集团之列,是首家国内A股上市旅行社,净资产已经突破十亿元大关,承载其丰富的产业资源和雄厚的资金支持,开拓商务旅行、休闲度假、主题旅游等个性化服务领域,以客户需求为导向,全方位提供旅游相关产业服务。
随着业务范围的扩大,目前中青旅已经在北京有十六个营业点,每一个营业点只能通过拨号访问公司的主服务器或公司已托管在IDC机房的WEB站点来进行业务的登记和一些数据的交换。在目前竞争激烈的环境中,这种做法已经无法保障公司的业务实时性,也难以保障安全开展电子商务的战略决策以及项目的顺利实 施,从而也制约了中青旅顺应社会变革和消费者需求的变化趋势,成为兼容并蓄、富有创新精神的国际顶级专业旅游服务供应商的进一步发展目标。
根据中青旅的这种业务状况和当务之急,首创网络为其提供了一套行之有效的VPN解决方案。
解决方案
因为中青旅目前各营业部都是采用拨号方式上网,出于最大化保护原有投资考虑,结合用户实际需求,首创网络为其提供了拨号VPN远程接入方式。
该方案是采用首创网络提供的众多VPN服务中的一种――远程接入VPN服务,即Access VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。Access VPN通过在企业总部配置一台VPN网关设备,而在各需要访问企业总部资源的远程用户终端(包括公司在家办公或出差在外的移动用户、办事处或小分支机构)安装VPN的客户端软件,来提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源,这些访问的方式如模拟拨号、ISDN等拨号接入方式。拨号VPN的接入方法可以是用56K调制解调器或ISDN,主要用于企业员工或企业的小分支机构通过远程拨号的方式构建的虚拟网。
本VPN互连方案支持专线用户、移动用户和较小的连锁店。各小型分支机构只需要在远端的PC中装入VPN Client软件,通过简单的设置,再拨号到出差本地的首创网络平台或ISP即可,这样就能通过加密通道连接到公司内部网络,查询自己需要的资料等数据信息。
方案点评
该方案注重用户现有状况和实际需求,在实施过程中有诸多优势:
◆减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;
◆实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用;
◆远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来;
◆通过企业网进行远程管理和培训,达到企业管理统一;
◆强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的企业扩展到最大的企业;
◆更大的网络灵活性,可以管理和发布不同类型的数据(例如雇员和供应商的数据)进入同一Internet连接。
首创网络具有完全实现服务质量的能力,包括优化、协议保留和带宽扩展。该方案还支持通知策略,即一旦系统出现故障,当VPN告警被触发时,首创网络的VPN客服系统将通知网络管理者,根据他们建立的策略来解决故障。
钱老虎 2008-11-6 17:33
你们公司有多大规模呢?要用VPN解决什么样的问题啊,这都会影响你选择VPN的类型,现在市场上主要有SSL IPsec 以及MPLS三种,你说的软件和华3路由分别属于SSL和IPsec的方式,可以解决远程访问的保密问题。MPLS是一种运营商的解决方案可以在保证通信安全的基础上保证数据传输的质量,效果相当于点对点的专线。费用是以月租的形式交给运营商的,不用你添加什么设备。
由于你的问题有些笼统,所以不好作答,你要是需要很详细的答案可以再和我沟通。刚发现这帖子里的广告好多啊~~~~汗。
你还想知道什么可以给我发消息吧。因该会用吧?希望你能选到一种合适的解决方案,别看广告,看疗效~
再造姻缘 2008-11-10 12:47
网络从RWAN向MPLS VPN演变之后,PE-CE之间的路由协议通常继续使用OSPF,这时有一些问题需要注意:
1.P-NETWORK使用不带VRF参数的OSPF进程,VPN使用带有VRF参数的OSPF进程。如:
router ospf 3 vrf VPN_3
在配置以上命令时需要保证有一个属于该VRF的端口已经配置了IP并且处于UP的状态。
在将用户路由分发到MP-BGP的时候需要注意必须使用match匹配不同类型的OSPF路由,例如:
address-family ipv4 vrf VPN_3
redistribute ospf 3 vrf wan match internal external 1 external 2 route-map filter_1
适当地使用route-map做路由过滤正好可以弥补OSPF路由控制不便的问题。
2.在新的结构中,MPLS VPN通常作为OSPF 的SuperBackbone,即PE和CE运行OSPF的链路属于AREA0。MPLS VPN分发到OSPF中的路由是EX类型的,其优先级低于OSPF域内路由。如下图所示,如果CE1与CE2之间运行OSPF,那么CE1到CE2的流量会通过两者之间直连的线路传输,而不是通过MPLS VPN骨干。
