通信人家园

标题: 求助:VPN与802.1X技术  [查看完整版帖子] [打印本页]
时间:  2002-11-28 16:06
作者: 晕     标题: 求助:VPN与802.1X技术

在网络安全方面,现在提的最多的便是VPN及802.1X技术,但我一直不明白,两者在应用时是不是结合在一起的?有哪位大侠赐教。(最好能将VPN与802.1X技术做通俗的解释及比较)

[此贴子已经被zjol于2005-5-11 11:11:46编辑过]

时间:  2002-11-28 16:55
作者: 前田庆次

802.1x 不专属于哪个厂商的WLAN方式,它能够弥补常规WEP的弱点,并且同时能够解决在接入点之间的移动性问题。802.1x另一个显著的优点是它解决了昂贵的VPN瓶颈问题。用户将可以以有线网络的速度进行工作:一台认证、授权、计算服务器(aka AAA-Radius)将能够处理无限个接入点之间,多达20,000个用户的认证。

所以,为什么分析人员们和许多其他的人在有(或者即将有)更棒的解决方案的时候还这么迷恋VPN呢?首先,要采用那些方案的话,连接无线设备的接入点需要支持这些标准。但现在,大部分接入点还不支持。而且,这些标准本身还没有被认可。

但是,让我们向前看,标准即将浮出水面、硬件也开始出现,而软件已经具备了。将要吸引我们的标准解决方案显然比VPN更值得注意。VPN的基础架构本身就不支持这些标准,无论如何,我们应该不再购买这些设备了。

顺便提一句,这并不意味着你不需要一个VPN了。VPN仍然是无线用户们通过公共接入网络(比如在宾馆、机场或者诸如星巴克咖啡馆这样的地方)接入企业资源的最好的安全保障
转摘自
By David Berlind
时间:  2002-11-28 17:49
作者:

你上面提到的“硬件也开始出现,而软件已经具备了”一句话,即是指在802.1X认证实现的过程中,软硬件是有机结合的。但对于802.1X认证,由于其为基于端口的认证方式,每一客户端在安装必要的软件后,其认证信息是什么?另外,其端口认证在硬件上到底是怎么实现的,或者说干脆就是由软件实现?
时间:  2002-11-29 09:19
作者: 西方多路

哥们,VPN与802.1X怎么可以混为一谈呢?哪位热心的兄弟帮一下这可怜的小弟弟?让他明白到底VPN怎么实现、802.1X怎么实现?
时间:  2002-11-29 10:45
作者: sindy     标题: 与其他VPN实现的比较

VPN的实现方式很多,如:基于帧中继网、ATM网的PVC方式、基于ISDN的拨号方式、基于IP的通道方式等。互动宽频王提供的VPN是目前最为先进、性能价格比最高的实现方式。


互动宽频王的VPN

网络基础:基于宽带IP网络
带宽限制:10M/100M/1000M
带宽保证:好
安全性:好
设备要求:低,用户端设备只需是具有以太网接口的普通路由器,就可得到可靠的宽带网络连接
线路要求:各点只需就近接入互动宽频王,就能随时与其它点实现宽带数据通信。
管理维护:由于需维护的设备比较简单,只需简单接入互动宽频王,即实现网络互联,故维护工作量少,对用户的管理要求低。


[此贴子已经被作者于2002-11-29 10:45:00编辑过]

时间:  2002-11-29 10:49
作者:

如何进行设置呢?我没有做过,因此一直感到非常的抽象及奥妙,还望众位高手指点迷津。谢谢!
时间:  2002-11-29 10:53
作者: sindy     标题: 802.1x EAP-TLS  VS  VPN

现在有一种令人吃惊的趋势:把虚拟专网(virtual private networks ,VPN)的发展作为本地无线局域网(wireless LAN)安全问题的解决方案。更令人吃惊的是,通常都是非常具有前瞻性的Gartner的分析人员在提供这种关于移动安全的观点。   

在本月早些时候,在Symposium/Itxpo举办的移动安全会议上,Gartner的分析人员John Girard大力宣扬VPN作为移动安全解决方案,而对于VPN会带来的移动问题,或者对于VPN将让位于那些更好地解决无线方案中的安全漏洞的标准解决方案避而不谈。

推测起来,很多人使用无线网络是因为它所带来的移动性。但是,任何一个使用过有线或者无线VPN网络的人,都会对于他们的VPN网络(以及在它上面的应用)有多脆弱再熟悉不过了,设备和它们所连接的VPN服务器之间的连接经常会断掉--甚至是立刻就会断掉。

基于802.11的客户经常会在他们从一个网络接入点到另一个接入点之间经历这样的瞬间连接中断。Outlook依赖于和Exchange的连接工作,那些经历过VPN连接中断而影响Outlook运行的人就能够充分了解我在说什么了。(微软告诉我即将问世的Outlook的新版本将对不可靠的网络连接适应良好)。一旦你失去了VPN连接,你经常不得不手动重新建立它。(至少,这是我的经验。)很难想象能够从战略上信任这样的连接,尤其是对于服务质量有严格要求--比如象VoIP这样的兢兢业业,努力进入企业和其他公众部门的独立软件。

即便VPN连接是可以信赖的,它还是带来了另一些性能上的问题。在一个VPN网络里进行的任何交换必须经过一个VPN服务器,一台典型的VPN服务器能够达到30-50 mbits/秒的数据吞吐量。按照这个速度,只要有八个无线接入点就可以使一台VPN服务器过载。这就使得那些为大公司提供公司范围内的无线接入的公司为了在多个VPN服务器之间达到负载平衡花费多得不可思议的费用。

我问Gartner的安全分析员John Pescatore有关作为安全解决方案的VPN会给移动性带来影响的问题时,他表示,VPN是可行的,因为很少有人会象我说的那样在使用网络的时候走来走去。

除了移动性和性能问题,我最关心的是Girard建议中的专有性,这个建议并没有前瞻性。

Girard推荐以供应商专有的技术来代替802.11的WEP(Wired Equivalent Privacy)。但是Girard继续表示,不要被某一个供应商的WLAN适配器和接入点锁定,这样才有灵活性,不要把工作在一个大杂烩式的WLAN基础架构之上的VPN作为安全解决方案。

供应商专有(私有)的WEP替代技术,比如Cisco的LEAP,迫使你必须使用某个厂商的WLAN适配器和接入点。更快、更安全的基于标准的第2层解决方案(VPN是工作在第三层上)刚刚出现。这当然值得一提。

这些解决方案是基于现有的802.1x端口认证协议(这一协议在有线及无线局域网中使用)和正在出现的EAP-TLS标准之上的。(可扩展的认证协议--传输层安全协议)。802.1x EAP-TLS看起来是最好的,不专属于哪个厂商的WLAN方式,它能够弥补常规WEP的弱点,并且同时能够解决在接入点之间的移动性问题。有人告诉我,配置802.1x EAP-TLS可不是一件容易的事情,这也就是为什么很多Windows销售商将要采用另一种自动配置的叫做PEAP的技术。  

PEAP是由微软,思科和RSA Security共同开发的。微软在这个行业内稍稍领先,它率先致力于了客户端、服务器端以及目录的端到端整合的简单化。为了推动这个技术,微软Windows XP的服务包现在已经包含了PEAP支持。微软以前版本也将推出类似的支持,可仅仅这一个原因就足以使某些Windows用户转向XP了。不喜欢微软解决方案的人可以考虑Funk Software公司的Odyssey,这个系统是基于一个类似于EAP-TLS,名为EAP-TTLS技术之上的。

另一方面,Sun可能回考虑收购Funk来获得无线安全/目录集成领域内的领先地位。Sun可以在它新的LDAP认证产品中集成Odyssey,从而解决无线安全问题。如果Sun的产品不具备这种能力,而人们又开始寻找不会有那么多麻烦的无线配置解决方案的话,动态目录的市场分额(也就是微软Windows服务器的市场分额)将会急剧增长。

802.1x-EAP方式另一个显著的优点是它解决了昂贵的VPN瓶颈问题。用户将可以以有线网络的速度进行工作:一台认证、授权、计算服务器(aka AAA-Radius)将能够处理无限个接入点之间,多达20,000个用户的认证。

所以,为什么分析人员们和许多其他的人在有(或者即将有)更棒的解决方案的时候还这么迷恋VPN呢?首先,要采用那些方案的话,连接无线设备的接入点需要支持这些标准。但现在,大部分接入点还不支持。而且,正如Girard指出的那样,这些标准本身还没有被认可。

但是,让我们向前看,标准即将浮出水面、硬件也开始出现,而软件已经具备了。将要吸引我们的标准解决方案显然比VPN更值得注意。VPN的基础架构本身就不支持这些标准,无论如何,我们应该不再购买这些设备了。

顺便提一句,这并不意味着你不需要一个VPN了。VPN仍然是无线用户们通过公共接入网络(比如在宾馆、机场或者诸如星巴克咖啡馆这样的地方)接入企业资源的最好的安全保障
(作者: TechUpdate.com)




[此贴子已经被作者于2002-11-29 10:53:28编辑过]

时间:  2002-11-29 11:00
作者: sindy     标题: VPN相关

如何定义VPN?

  利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。

  “虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴、企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点)即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源; 如果接入服务器的用户身份认证服务器支持漫游,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。

VPN可分为哪几类?

  VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

VPN的优点有哪些?

  利用公用网络构建VPN是个新型的网络概念,它给服务提供商(ISP)和VPN用户(企业)都将带来不少的益处。

  对于服务提供商来说,在通过向企业提供VPN这种增值服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加,将给ISP带来新的商业机会。

   而对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN提高了整个企业网的互联性,同时良好的扩展性使得企业更好、更快地适应Internet经济的发展,把握商机;另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输私有数据的安全性。

VPN应该遵循哪些设计原则?

  VPN的设计包含以下原则:安全性、网络优化、VPN管理等。

  在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。

  在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

  在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

时间:  2005-5-11 10:45
作者: 超级小霸王

我才疏学浅,冒个泡就算了
时间:  2005-5-19 14:03
作者: bluestrip

好像应用的地方不一样吧
时间:  2005-5-19 14:13
作者: cs1174

以下是引用超级小霸王在2005-5-11 10:45:00的发言:
我才疏学浅,冒个泡就算了


你真是个强人,

这是2002年的帖子.你都能顶上来.强
时间:  2005-5-19 15:23
作者: tonychen01

我们出差时就是通过VPN来和公司联系的,发邮件或是找资料等。
时间:  2007-4-24 13:19
作者: duck_3d

<p>建议你分别看书了解这2个专题技术,相对而言,dot1x较为简单(需要了解一些radius的东东,尤其是扩展属性,例如在cisco的NAC环境中,H3C的EAD环境中)</p><p>而vpn技术就较复杂一些,你会看到很多名词等,例如IP SEC VPN,VPDN,MPLS L3 VPN,mpls l2 vpn,martini,vpls等,这个需要慢慢的去体会。但说穿了,就是一个虚拟的网络</p>
时间:  2009-3-24 13:39
作者: fixedaccount     标题: 学习了,谢谢各位





通信人家园 (https://www.txrjy.com/) Powered by C114