設備驗證采用了預共享密鑰或數字證書,以提供設備身份,預共享密鑰有三種:通配符、分組和獨立。獨立預共享密鑰與某一IP地址有關,分組預共享密鑰與一組名稱有關,僅適用于當今的遠程接入。通配符共享密鑰不可應用于站點到站點設備驗證。數字證書與獨立預共享密鑰相比,可更理想地擴展,因為它允許一臺設備驗證其他設備,但不具備通配符密鑰的安全特性。數字證書與IP地址無關,而是與企業(yè)CA認證的設備上獨特的標志信息有關。
IPSec
IPSec提供了多種安全特性,對于管理員如何確定其工作方式提供了可配置選擇:數據加密、設備驗證,以及保密、數據完整性、地址隱藏和安全機構(SA) 密鑰老化等功能。IPSec標準要求使用數據完整性或數據加密兩種功能之一,具體使用哪個可任選。思科公司強烈建議加密和完整性二者都使用。而改變以上那些數值會提高安全水平,但與此同時, 也增加了處理器開支。
IP編址
正確的IP編址對于用作大型IP網絡的VPN的成功有著重要意義。為保持可擴展性、性能和可管理性,強烈建議遠程站點使用主網的子網,以便進行歸納。增加 ACL輸入會降低性能,使故障查尋復雜化并影響可擴展性,適當的子網化還可支持簡化的路由器頭端配置,以實現分支到分支相互交流,要對所有設備的信息流進行歸類,所需的隧道也較少。IP編址還可影響VPN的多個方面,包括重疊網絡的遠程管理連接。
多協議隧道
IPSec作為一種標準,只支持單點廣播流量。對于多協議或IP多點廣播隧道,必須使用另一種隧道協議。
網絡地址轉換
NAT可發(fā)生于IPSec之前或之后。了解NAT何時發(fā)生是十分重要的,因為在某些情況下,由于隧道構建受阻或信息流穿過隧道,NAT都可能對IPSec構成影響。除非提供接入是必須的,否則將NAT應用于VPN流量將不失為上策。
單一目的和多目的設備
在網絡設計過程中,您需要選擇是在聯網或安全設備中采用集成功能,還是采用VPN設備的特殊功能。集成功能通常是很吸引人的,因為您可以在現行設備上實施,且該設備經濟有效,其特性可與其他設備互操作,從而提供功能更理想的解決方案。指定的VPN設備通常在對功能的要求很高或性能要求使用特殊硬件時,才會使用。當決定了采取何種選項,可根據設備的容量和功能對決策進行權衡,并與集成設備的功能優(yōu)勢相對照。在整個體系結構中,兩類系統都有所使用。由于 IPSec是一種要求嚴格的功能,隨著設計規(guī)模的提高,選擇VPN設備取代集成型路由器或防火墻的可行性也日趨增大。注意,對VPN設備這一概念的了解不是件容易的事情。當今的許多VPN設備可提供理想的性能和VPN管理選項,與此同時,也提供有限的路由選擇、防火墻或CoS功能,而它們可能與集成設備有關。如果所有這些高級功能都得以實現,從性能和部署選項的角度來看,這種設備也開始越來越像集成型設備。同樣,除了路由選擇和安全特性的全面實施以外,可支持全部VPN功能的VPN路由器,可在VPN單獨環(huán)境中進行配置,其特征更象一種應用。
入侵檢測、網絡訪問控制、信任和VPN
IPSec VPN在部署時,周圍通常環(huán)繞著多層訪問控制和入侵檢測。網絡入侵檢測系統(NIDS)是一項用于減少與擴展安全范圍有關風險的技術。在VPN設計中, NIDS完成了兩項基本功能。首先,NIDS可用于分析源自或送至VPN設備的信息流。其次,NIDS可用于加密后,確認僅僅是加密信息流被發(fā)送并由 VPN設備接收。
除NIDS以外,通常使用防火墻的訪問控制應該在VPN設備前后設置。當今的部署都將防火墻安置在VPN設備的前面。當安置在前面時,對用戶信息流的種類不具備可視性,因為信息流依然是加密的。防火墻在VPN設備前所能提供的大多數優(yōu)勢此時已喪失殆盡。
分離隧道
當遠程VPN用戶或站點被允許接入公共網(互聯網),與此同時,他未先將公共網絡信息流安置在隧道內,就接入了專用VPN網絡,此時就出現了分離隧道。事實上,不實施分離隧道會給VPN頭端造成巨大負載,因為所有互聯網相關信息流都需要流經頭端設備的WAN帶寬。
在SAFE VPN中,遠程站點除了特殊情況外,都假設實施了分離隧道。如果不支持分離隧道,而設計不會改變,那么由于頭端的流量負載加大,性能和擴展性就會產生少許變化。
部分網狀、全部網狀、分布式和星型網絡
在任一網絡拓撲結構上鋪設VPN時,許多因素都會影響網絡的可擴展性和性能。全部網狀網絡會迅速地陷入可擴展性的困境之中,因為網絡中的每臺設備都必須通過一個獨特的IPSec隧道與網絡中的其他設備交流。這就是n(n-1)/2隧道模式,在某些情況下擴大網絡的規(guī)模已經變得不現實。許多隧道也都存在性能問題。部分網狀網絡與全部網狀網絡相比,有較大的可擴展空間。與全部網狀網絡中的設備相同的是,在這種拓撲結構中的限制因素是,在CPU合理應用的前提下,設備可支持的隧道數量。這兩種網絡都可運用一種動態(tài)隧道端點搜索機制,以簡化配置和提高可擴展性。中心輻射型網絡可以更理想地擴展,但是,所有流量都渡過集線器站點,而且這種設備要求大量的帶寬。
互操作性與混合和同種設備部署
雖然IPSec是一種已證實的標準,但RFC依然為它的解釋留下了充足的空間。另外,互聯網草案,如IKE模式配置和供應商專用特性,提高了互操作問題出現的可能性。因為這些緣故,您應該對供應商產品的互操作信息及其在互操作性評比中的表現情況進行綜合評價。此外,為確保單一供應商產品間的互操作性,最好在所有平臺上使用同一代碼庫。
網絡運營
在中央IT模式運營中,需要通過中央站點VPN對遠程站點進行管理。VPN設備可支持多種配置選項,以確定隧道端點,視所采用的方式而定,這些選項可能會對網絡的管理性能產生影響。要高效地管理遠程設備,您必須在您的管理應用所在的站點使用靜態(tài)加密映像。您不可以在頭端和動態(tài)加密映像。動態(tài)加密映像只接受進入的IKE請求,但無法初始化它們,因此,要始終保證在遠程設備和頭端站點間存在一條隧道。靜態(tài)加密映像配置包括遠程對等設備的靜態(tài)IP地址,因此,遠程站點必須使用靜態(tài)IP地址來支持遠程管理。
壓縮
第二層壓縮未提供VPN信息流鏈路帶寬削減功能。第三層壓縮,發(fā)生于加密之前,的確可使數據量降低。考慮到第三層壓縮在當今的大多數硬件加速器中都不支持,因而當使用時,對CPU要求非常嚴格。
遠程接入用戶要求
當用戶不在辦公室和不在控制區(qū)時,思科公司建議您對他們到內部網和互聯網的連接進行控制。如果您選擇分離隧道要確保安裝、更新和運行個人防火墻,以及在遠程接入客戶機上擁有一個有效的安全策略。思科公司建議您在未實施防火墻的情況下,不要在客戶機上實施分離隧道。
高可用性
目前,有兩種機制可用于確定遠程對等設備的可用性和隧道建立狀態(tài):路由選擇和IKE保持激活信息。路由器可支持兩種機制,而防火墻、集中器和遠程接入客戶機則支持IKE保持激活信息。
