资料下载

比较Cisco 虚拟专用网技术–基于策略的VPN与基于路由的VPN

由管理员撰写。发表于 思科服务& Technologies

3.5 1 1 1 1 1 评分3.50(16投票)
压住他

虚拟专用网 构成网络中的热门话题,因为它们提供低成本且 安全通讯 网站之间(站点到站点VPN),同时通过将公司网络扩展到远程用户来提高生产力(远程访问VPN)。

思科必须为此感到自豪 虚拟专用网解决方案。它是支持如此广泛的VPN技术并具有众多功能和灵活性的少数供应商之一。思科路由器和思科ASA防火墙是最常用于构建思科虚拟专用网络的两种设备。 

在本文中,我们将讨论和比较网络工程师用来在当今企业环境中构建大多数VPN网络的两个常规Cisco 虚拟专用网类别。这些类别是“基于策略的VPN” (要么 IPSEC 虚拟专用网)和“基于路由的VPN”。当然,思科支持其他VPN技术,例如 SSL 虚拟专用网 (Anyconnect SSL 虚拟专用网,无客户端SSL 虚拟专用网), 动态多点VPN(DMVPN),Easy 虚拟专用网,组加密传输(GET)VPN等。其中许多VPN技术已在 防火墙 超出了本文的范围。 

以下是感兴趣的用户可以参考的一系列Cisco 虚拟专用网文章:

 

基于策略和基于路由的Cisco 虚拟专用网概述

下图快速概述了我们将要讨论的两个VPN类别及其在实际网络中的实际应用:

基于Cisco策略和基于路由的VPN

对于网络工程师或设计人员而言,了解这两种VPN类别及其实际应用之间的主要区别非常重要。了解这些将帮助专业人员为他们的公司和客户选择正确的VPN类型。

如上图所示,基于策略的VPN用于构建站点到站点和中心辐射型VPN,以及使用IPSEC客户端的远程访问VPN。另一方面,基于路由的VPN仅用于构建站点到站点或中心辐射型VPN拓扑。

现在,让我们看一下每种VPN类型的简要说明。

 

基于策略的IPSEC 虚拟专用网

这是传统的IPSEC 虚拟专用网类型,今天仍然广泛使用。 思科公司 ASA防火墙和Cisco IOS路由器均支持此VPN类别。使用此VPN类型,设备将根据已定义的策略(使用访问控制列表)加密并封装流经接口的流量子集。的 IPSEC协议 用于隧道和确保通信流。由于传统的IPSEC 虚拟专用网是由IETF标准化的,因此它得到所有网络供应商的支持,因此您也可以使用它在不同供应商的设备之间构建VPN。 

思科公司 ASA防火墙上的示例配置

为了说明这种VPN类型被称为的原因 基于政策 虚拟专用网,我们将根据下图在Cisco ASA防火墙上看到示例配置代码。

 

思科ASA IPsec站点到站点VPN

完整的分步配置说明 基于政策 虚拟专用网IOS路由器 可以在我们的网站上找到 在Cisco路由器之间配置站点到站点IPSec 虚拟专用网隧道 文章。

ASA-1:

ASA-1(配置)# 访问列表VPN-ACL扩展许可ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
ASA-1(配置)# 加密ipsec ikev1转换集TS esp-aes esp-md5-hmac
 
ASA-1(配置)# 加密映射VPNMAP 10匹配地址VPN-ACL
ASA-1(配置)# 加密映射VPNMAP 10设置对等200.200.200.1
ASA-1(配置)# 加密映射VPNMAP 10集ikev1转换集TS
ASA-1(配置)# 外部加密映射VPNMAP接口

 

ASA-2:

ASA-2(配置)# 访问列表VPN-ACL扩展许可ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ASA-2(配置)# 加密ipsec ikev1转换集TS esp-aes esp-md5-hmac

ASA-2(配置)# 加密映射VPNMAP 10匹配地址VPN-ACL
ASA-2(配置)# 加密映射VPNMAP 10设置对等体100.100.100.1
ASA-2(配置)# 加密映射VPNMAP 10集ikev1转换集TS
ASA-2(配置)# 外部加密映射VPNMAP接口

在上面的配置示例中,访问控制列表 虚拟专用网 定义将通过VPN隧道的流量。尽管有其他流量通过外部ASA接口流动,但根据LAN规定的流量策略,仅LAN1和LAN2之间的流量将通过VPN隧道。 虚拟专用网。这就是为什么这种VPN类型被称为的原因 基于政策 虚拟专用网。

 

了解基于路由的VPN

基于路由的VPN配置使用第3层路由的隧道接口作为VPN的端点。无需使用访问列表选择要通过VPN隧道的流量的子集,而是将通过特殊的Layer3隧道接口的所有流量放入VPN。因此,您需要相应地配置路由。必须配置动态路由协议(例如EIGRP或OSPF)或静态路由,以通过特殊的Layer3隧道接口转移VPN流量。

此VPN类型仅在Cisco路由器上受支持,并且基于 GRE 要么 VTI 隧道接口。为了进行安全通信,基于路由的VPN还使用GRE或VTI隧道顶部的IPSEC协议对所有内容进行加密。

思科路由器上的样本配置

根据下面的网络图,我们来看看具有IPSEC保护功能的基于GRE路由的VPN。

思科路由器vpn gre ip sec隧道

完整的分步配置说明 基于路线 虚拟专用网IOS路由器 可以在我们的网站上找到 配置点对点GRE 虚拟专用网隧道-未受保护的GRE&受保护的GRE over IPSec隧道 文章。

 

路由器1:

!
加密ipsec转换集TS esp-3des esp-md5-hmac
加密ipsec配置文件GRE-PROTECTION
 设置变换集TS
!
接口Tunnel0
 IP地址10.0.0.1 255.255.255.0
 隧道源20.20.20.2
 隧道目的地30.30.30.2
 隧道保护ipsec Profile GRE-PROTECTION
!
IP路由192.168.2.0 255.255.255.0 10.0.0.2
!

根据以上配置,将创建GRE Layer3隧道接口(隧道0),这将是VPN隧道的端点之一。 IPSEC保护也适用于安全性。 虚拟专用网隧道的另一端是 隧道0 另一个站点(IP 10.0.0.2),从而形成点对点VPN链接。上面显示的静态路由将通过隧道接口转移发往LAN2的VPN流量。

 

以下是我们第二个路由器的VPN相关配置命令:

路由器2:

!
加密ipsec转换集TS esp-3des esp-md5-hmac
加密ipsec配置文件GRE-PROTECTION
 设置变换集TS
!
接口Tunnel0
 IP地址10.0.0.2 255.255.255.0
 隧道源30.30.30.2
 隧道目的地20.20.20.2
 隧道保护ipsec Profile GRE-PROTECTION
!
IP路由192.168.1.0 255.255.255.0 10.0.0.1
!



基于策略的VPN和基于路由的VPN之间的比较

总而言之,我们来看看一个比较表,其中主要区别在于 基于政策基于路线 虚拟专用网。

基于策略的IPSEC 虚拟专用网

(传统IPSEC)

基于路由的VPN

(GRE和VTI)

在大多数网络设备(Cisco路由器,Cisco ASA,其他供应商等)上受支持

仅在Cisco IOS路由器上受支持。与其他供应商的互操作性非常有限

不支持多播或非IP协议

支持多播(GRE和VTI)和非IP协议(GRE)

路由协议(例如OSPF,EIGRP)无法通过VPN隧道

路由协议(例如OSPF,EIGRP)可以通过VPN隧道

使用访问列表选择要加密的流量并将其放置在VPN隧道中。

通过特殊隧道接口的所有流量都将被封装并放置在VPN中

本机强大的安全性

仅GRE或VTI不能提供安全性。您必须将它们与IPSEC结合使用以保护VPN。

复杂的配置

简化配置

有限的QoS

完全支持QoS

 

关于作家

Harris Andrea是一位网络安全工程师,在欧洲的一家大型ISP工作。 Harry拥有超过15年的Cisco网络和安全经验,是一位公认的Cisco工程师,并拥有Cisco的CCNA,CCNP和CCSP认证。哈里维护着自己的博客,专门介绍思科网络- 网络sTraining.com 并且还编写了许多流行的逐步配置教程。

返回思科服务& Technlogies Section

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置