什么是VPC
VPC:私有网络
私有网络是针对公有云的基础网络来定义的一种概念
VPC的特点
特点一:安全隔离
- 使用隧道技术达到传统VLAN相同隔离效果
- 实现了不同云服务器间二层网络隔离(网卡MAC信息不进入物理网络),因此也实现了不同专有网络之间二层网络隔离。
- 专有网络内的ECS使用安全组防火墙进行三层网络访问控制。
特点二:访问控制
- 灵活的访问控制规则
- 满足政务、金融的安全隔离规范
特点三:软件定义网络
- 按需配置网络设置,软件定义网络
- 管理操作实时生效
特点四:丰富的网络连接方式
- 支持软件VPN
- 支持专线连接(高速通道)
NAT网关
NAT 网关是一种网络地址转换 (NAT) 服务。我们可以使用 NAT 网关,以便私有子网中的实例可以连接到 VPC 外部的服务,但外部服务无法启动与这些实例的连接。
在创建 NAT 网关时,我们指定以下连接类型之一:
- 公开 –(默认)私有子网中的实例可以通过公共 NAT 网关连接到互联网,但不能接收来自互联网的未经请求的入站连接。我们在公有子网中创建公有 NAT 网关,并且必须在创建时将弹性 IP 地址与 NAT 网关相关联。我们可以将流量从 NAT 网关路由到 VPC 的互联网网关。或者,我们可以使用公有 NAT 网关连接到其他 VPC 或本地部署网络。在这种情况下,我们可以借助中转网关或虚拟私有网关路由来自 NAT 网关的流量。
- 私密 – 私有子网中的实例可以通过私有 NAT 网关连接到其他 VPC 或我们的本地部署网络。我们可以借助中转网关或虚拟私有网关路由来自 NAT 网关的流量。我们不能将弹性 IP 地址与私有 NAT 网关相关联。我们可以将互联网网关连接到具有私有 NAT 网关的 VPC,但如果我们将流量从私有 NAT 网关路由到互联网网关,则互联网网关会丢弃流量。
NAT 网关将实例的源 IP 地址替换为 NAT 网关的 IP 地址。对于公有 NAT 网关,这是 NAT 网关的弹性 IP 地址。对于私有 NAT 网关,这是 NAT 网关的私有 IP 地址。向实例发送响应流量时,NAT 设备会将地址转换回原始源 IP 地址。
定价:当我们预置 NAT 网关时,NAT 网关可用的每个小时及其处理的每个 GB 数据都需支付费用。
NAT网关基础知识
每个 NAT 网关都在特定可用区中创建,并在该可用区进行冗余实施。我们可以在每个可用区中创建的 NAT 网关存在数量配额。
如果我们在多个可用区中拥有资源并且它们共享一个 NAT 网关,如果该 NAT 网关的可用区不可用,其他可用区中的资源将无法访问 Internet。要创建不依赖于可用区的架构,请在每个可用区中都创建一个 NAT 网关,并配置路由以确保这些资源使用自身可用区中的 NAT 网关。
以下特征和规则适用于 NAT 网关:
- NAT 网关支持以下协议:TCP、UDP 和 ICMP。
- IPv4 或 IPv6 流量支持 NAT 网关。对于 IPv6 流量,NAT 网关将执行 NAT64。通过与 DNS64 结合使用(在 Route 53 Resolver 上可用),Amazon VPC 子网中的 IPv6 工作负载可以与 IPv4 资源进行通信。这些 IPv4 服务可能存在于同一 VPC(在单独子网中)或其他 VPC、本地环境或互联网上。
- NAT 网关支持 5 Gbps 带宽并会自动扩展到 45 Gbps。如果我们需要更大的带宽,我们可以将资源拆分到多个子网中,并在每个子网中创建 NAT 网关。
- NAT 网关可以每秒处理一百万个数据包,并自动扩展到每秒 400 万个数据包。超出此限制后,NAT 网关将丢弃数据包。为防止数据包丢失,请将资源拆分到多个子网中,并为每个子网中创建单独的 NAT 网关。
- 对于每个唯一目的地,NAT 网关最多可以支持 55000 个并发连接。如果我们每秒创建了大约 900 个与单个目的地的连接 (大约每分钟 55,000 个连接),该限制也适用。如果目的地 IP 地址、目的地端口或协议 (TCP/UDP/ICMP) 发生更改,则可以再创建 55,000 个连接。若超过 55000 个连接,因接口分配错误导致连接错误的机会将提升。我们可以通过查看我们的 NAT 网关的
ErrorPortAllocationCloudWatch 指标来监视这些错误。 - 每个公有 NAT 网关只能关联一个弹性 IP 地址。创建弹性 IP 地址后,无法解除该地址与 NAT 网关的关联。如果我们需要为 NAT 网关使用不同的弹性 IP 地址,则必须创建具有所需地址的新 NAT 网关,更新路由表,然后删除现有 NAT 网关 (如果不再需要)。
- 私有 NAT 网关从配置该网关的子网接收可用的私有 IP 地址。在删除私有 NAT 网关之前,分配的私有 IP 地址将一直存在。我们无法分离私有 IP 地址,也无法附上其他私有 IP 地址。
- 不能为 NAT 网关关联安全组。我们可以将安全组与实例相关联,以控制入站和出站流量。
- 我们可以使用网络 ACL 控制进出 NAT 网关所在子网的流量。NAT 网关使用端口 1024–65535
- NAT 网关会收到一个网络接口,该网络接口从子网的 IP 地址范围自动分配一个私有 IP 地址。我们可以在 Amazon EC2 控制台中查看 NAT 网关的网络接口。此网络接口的属性不可修改。
- 不能通过与 VPC 关联的 ClassicLink 连接来访问 NAT 网关。
- 无法通过 VPC 对等连接、Site-to-Site VPN 连接或 AWS Direct Connect 将流量路由到 NAT 网关 这些连接另一端的资源不能使用 NAT 网关。
NAT实例
NAT 实例基础知识
下图展示了 NAT 实例的基本信息。主路由表与私有子网关联,并将来自私有子网中实例的流量发送到公有子网中的 NAT 实例。然后,NAT 实例再将流量发送到 VPC 的互联网网关。流量由 NAT 实例的弹性 IP 地址产生。NAT 实例为响应指定了一个较高的端口号;响应返回后,NAT 实例会根据响应的端口号将其发送给私有子网中的相应实例。
来自私有子网中实例的互联网流量将路由到 NAT 实例,然后由该实例与互联网通信。因此,NAT 实例必须能够访问互联网。它必须位于公有子网(路由表中包含通往互联网网关的路由的子网)中,并且必须具有公有 IP 地址或弹性 IP 地址。
IGW
IGW可以让我们的相应VPC内的具有公网IP(IPv4或者IPv6都可以)的资源访问互联网,同时也允许互联网发起去往VPC内资源的连接。比如说你在local PC去远程RDP到一台VPC内的EC2。
VPC 终端节点
VPC 终端节点使我们能够在 Virtual Private Cloud (VPC) 与支持的服务和之间建立连接,而无需使用互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。因此,我们可以控制可从 VPC 访问的特定 API 终端节点、站点和服务。
VPC 终端节点是虚拟设备。它们是水平扩展、冗余和高度可用的 VPC 组件。以下是不同类型的 VPC 终端节点。我们可以创建受支持的服务所需要的 VPC 终端节点类型。
EIP(弹性 IP 地址)
弹性 IP 地址 是专为动态云计算设计的静态 IPv4 地址。弹性 IP 地址会分配给我们的 AWS 账户,并且在我们释放它之前一直属于我们。使用弹性 IP 地址,我们可以快速将地址重新映射到我们的账户中的另一个实例,从而屏蔽实例故障。或者,我们可以在域的 DNS 记录中指定弹性 IP 地址,以使域指向我们的实例。
弹性 IP 地址是公有 IPv4 地址,可通过 Internet 访问。如果我们的实例没有公有 IPv4 地址,则可以将弹性 IP 地址与我们的实例关联以启用与 Internet 的通信。例如,这允许我们从本地计算机连接到我们的实例。
我们目前不支持对 IPv6 使用弹性 IP 地址。
弹性 IP 地址定价
为确保弹性 IP 地址的有效使用,如果弹性 IP 地址未与正在运行的实例关联,或者它已与停止的实例或未附加的网络接口关联,我们将强制收取小额的小时费用。当我们的实例正在运行时,我们无需为与该实例关联的某个弹性 IP 地址付费,但需为与该实例关联的所有其他弹性 IP 地址付费。
弹性 IP 地址基本信息
- 弹性 IP 地址是静态地址,不会随着时间的推移而改变。
- 要使用弹性 IP 地址,我们应首先向我们的账户分配这样一个地址,然后将其与我们的实例或网络接口关联。
- 当我们将弹性 IP 地址与实例关联时,该地址也会与实例的主网络接口相关联。当我们将弹性 IP 地址与连接到实例的网络接口关联时,它也与该实例关联。
- 当我们将弹性 IP 地址与实例或其主网络接口关联时,实例的公有 IPv4 地址 (如果有) 将释放回 Amazon 的公有 IPv4 地址池中。我们不能重用公有 IPv4 地址,并且不能将公有 IPv4 地址转换为弹性 IP 地址。
- 我们可以取消弹性 IP 地址与资源的关联,然后重新将此地址与其他资源关联。为避免意外行为,请确保在进行更改之前关闭到现有关联中指定资源的所有活动连接。将弹性 IP 地址关联到其他资源后,可以重新打开与新关联的资源的连接。
- 取消关联的弹性 IP 地址保持分配到我们的账户,直至我们明确释放它。如果弹性 IP 地址未与正在运行的实例关联,我们会按小时收取少量费用。
- 在将弹性 IP 地址与之前具有公有 IPv4 地址的实例关联时,该实例的公有 DNS 主机名将发生更改以匹配弹性 IP 地址。
- 我们会将公有 DNS 主机名解析为实例所在网络外部的该实例的公有 IPv4 地址或弹性 IP 地址,以及实例所在网络内部的该实例的私有 IPv4 地址。
- 弹性 IP 地址来自 Amazon 的 IPv4 地址池,或来自已引入到我们的 AWS 账户的自定义 IP 地址池。
- 从已引入到我们 AWS 账户的 IP 地址池分配弹性 IP 地址时,该地址不会计入弹性 IP 地址限制。
- 分配弹性 IP 地址时,我们可以将弹性 IP 地址与网络边界组关联。这是我们通告 CIDR 块的位置。设置网络边界组会将 CIDR 块限制到此组。如果我们未指定网络边界组,我们将设置包含区域中所有可用区的边界组(例如,
us-west-2)。 - 弹性 IP 地址仅用于特定网络边界组。
- 一个弹性 IP 地址只能在一个特定区域中使用,不能移动到其他区域。
ACL
访问控制列表 (ACL) 概述
Amazon S3 访问控制列表 (ACL) 使我们可以管理存储桶和对象的访问权限。每个存储桶和对象都有一个作为子资源而附加的 ACL。它定义了哪些 AWS 账户或组将被授予访问权限以及访问的类型。收到针对某个资源的请求后,Amazon S3 将检查相应的 ACL 以验证请求者是否拥有所需的访问权限。
预设情况下,当另一个 AWS 账户 将对象上载到我们的 S3 Bucket,该账户(对象编写者)拥有该对象,拥有对象的访问权限,并可以授予其他用户通过 ACL 访问该数据元的权限。我们可以使用对象所有权来更改此原定设置行为,以便禁用 ACL,并且作为存储桶拥有者,我们可以自动拥有存储桶中的每个对象。因此,数据的访问控制基于策略,例如 IAM 策略、S3 Bucket 策略、virtual private cloud (VPC) 终端节点策略和 AWS Organizations 服务控制策略 (SCP)。
Amazon S3 中的大多数现代使用案例不再需要使用 ACL,我们建议我们禁用 ACL,除非在需要单独控制每个对象的访问的异常情况下。使用对象所有权,我们可以禁用 ACL 并依赖策略进行访问控制。禁用 ACL 时,我们可以轻松通过不同的 AWS 账户 上载的对象维护存储桶。作为存储桶拥有者,我们拥有存储桶中的所有对象,并可以使用策略管理对它们的访问。
Security Group(安全组)
安全组充当虚拟防火墙,控制允许到达和离开与其关联的资源的流量。例如,在将安全组与 EC2 实例关联后,它将控制该实例的入站和出站流量。
创建 VPC 时,它带有一个默认安全组。我们可以为每个 VPC 创建额外的安全组。我们只能将安全组与为其创建的 VPC 中的资源关联。
对于每个安全组,我们可以添加用于根据协议和端口号控制流量的规则。入站流量和出站流量具有单独的规则集。
我们可以设置网络 ACL,使其规则与我们的安全组相似,以便为我们的 VPC 添加额外安全层。
VPN
虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN网络同样也需要这三部分,不同的是VPN连接不是采用物理的传输介质,而是使用一种称之为“隧道”的东西来作为传输介质的,这个隧道是建立在公共网络或专用网络基础之上的,如因特网或专用Intranet等。同时要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server(目前Windows系统是最为普及,也是对VPN技术支持最为全面的一种操作系统)的VPN服务器,VPN服务器一方面连接企业内部专用网络(LAN),另一方面要连接到因特网或其它专用网络,这就要VPN服务器必须拥有一个公用的IP地址,也就是说企业必须先拥有一个合法的Internet或专用网域名。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由NSP(网络服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器将所有的数据传送到目标计算机。因为在VPN隧道中通信能确保通信通道的专用性,并且传输的数据是经过压缩、加密的,所以VPN通信同样具有专用网络的通信安全性。整个VPN通信过程可以简化为以下4个通用步骤:
(1)客户机向VPN服务器发出请求;
(2) VPN服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到VPN服务器;
(3) VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN服务器接受此连接;
(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。
1. VPN的优势
VPN网络给用户所带来的好处主要表现在以下几个方面:
(1)节约成本
这是VPN网络技术的最为重要的一个优势,也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30%到70%的开销。开销的降低发生在4个领域之中:
移动通讯费用的节省:这主要是针对于有许多职工需要移动办公的企业来说的,因为这样对于出差在外地的移动用户来说只需要接入本地的ISP就可以与公司内部的网络进行互连,大大减少了长途通信费。企业可以从他们的移动办公用户的电话费用上看到立竿见影的好处。
专线费用的节省:采用VPN的费用比起租用专线来要低40~60%,而无论是在性能、可管理性和可控性方面两者都没有太大的差别。通过向虚拟专线中加入语音或多媒体流量,企业还可以进一步获得成本的节约。这一点对于过去有过租用象DDN之类的专线的企业用户就会有更深刻的感受了,租用DDN一个小小的64k就得每月花费几千上万元费用,采用VPN后不仅这方面的费用会大大减少(但通常不能全免,因为在企业与NSP之间这一段还得租用NSP的专用线路,但这已是相当短的了),而且还可能会在带宽上有更大的优势,因为现在的VPN技术可以支持宽带技术了。
设备投资的节省:VPN允许将一个单一的广域网接口用作多种用途,从分支机构的互联到合作伙伴通过外联网(Extranet)的接入。因此,原先需要流经不同设备的流量可以统一地流经同一设备。由此带来的好处便是企业不再像原先那样需要大量的广域网接口了,也不必再像以前那样频繁地进行周期性的硬件升级了,这样就可大大减少了企业固定设备的投资,这对于是、小型企业来说是非常之重要的。此外,VPN还使企业得以继续对其关键业务型的旧有系统进行有效利用,从而达到保护软硬件投资的目的。
支持费用的节省:通过减少Modem池的数量,企业自身支持费用可以被降至最低。原先用来对远程用户进行支持的、经常超负荷工作的企业支持热线(通常还需由专人负责)被NSP帮助桌面系统所取代。而且,由于NSP帮助桌面系统可以完全实现从总部中心端进行管理,因此VPN可以极大地降低对远程网络的安装和配置成本。在降低费用方面主要表现为:远程用户可以只通过向当地的ISP申请账户登录到因特网,以因特网作为隧道与远程企业内部专用网络相连。这样采用拨号方式的远程用户则不需要采用长途拨号,企业总部也可只支付ISP本地网络使用费,在长途通信费用方面就会大幅度降低,据专业分析机构调查显示,采用VPN与传统的拨号方式相比可以节约通讯成本可达50%-80%。与租用专线方式相比更具有明显的费用优势,一般VPN每条连接的费用成本只相当于租用专线的40%到60%;VPN还允许一个单一的WAN接口服务多种用途,因此用户端只需要极少的WAN接口和设备。而且由于VPN是可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需的设备上的开销。另外,由于VPN独立于初始的协议,这就使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件系统上的投资。
(2)增强的安全性
目前VPN主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。
在用户身份验证安全技术方面,VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证,这些验证方法包括:passwd身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shivapasswd身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);
在数据加密和密钥管理方面VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进行管理。MPPE使Windows 95、98和NT 4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输,并具有最小的公共密钥开销。以上的身份验证和加密手段由远程VPN服务器强制执行。对于采用拨号方式建立VPN连接的情况下,VPN连接可以实现双重数据加密,使网络数据传输更安全。
还有,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
(3)网络协议支持
VPN支持最常用的网络协议,这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。新的VPN技术可以全面支持如AppleTalk、DECNet、SNA等几乎所有的局域网协议,应用更加全面。
(4)容易扩展
如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能及时实现,因为这些工作都可以交由专业的NSP来负责,从而可以保证工程的质量,更可以省去一大堆麻烦。企业只需与新的NSP签约,建立账户;或者与原有的NSP重签合约,扩大服务范围。VPN路由器还能对工作站自动进行配置。
(5)可随意与合作伙伴联网
在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。这样相当麻烦,不便于企业自身的发展,也就是租用的专线在灵活性方面是非常不够。有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断,可以实现灵活自如的扩展和延伸。
(6)完全控制主动权
借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
(7)安全的IP地址
因为VPN是加密的,VPN数据包在因特网中传输时,因特网上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。IP地址的不安全性也是在早期的VPN没有被充分重视的根本原因之一。
(8)支持新兴应用
许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等,而且随着网络接入技术的发展,新型的VPN技术可以支持诸如ADSL、Cable Modem之类的宽带技术。
上面介绍了VPN的主要优势,那么哪些用户适合采用VPN网络连接呢?综合VPN技术的特点,可以得出主要有以下四类用户适合采用VPN进行网络连接:
a.网络接入位置众多,特别是单个用户和远程办公室站点多,例如多分支机构企业用户、远程教育用户;
b.用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户,如一些跨国公司;
c.带宽和时延要求相对适中,如一些提供IDG服务的ISP;
d.对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。
根据VPN的应用平台可分为:软件平台、专用硬件平台及辅助硬件平台三类。
(1)软件平台VPN
当对数据连接速率较低要求不高,对性能和安全性要求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能,如checkpoint software和Aventail Corp等公司的产品。甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows 2000版本以后的系统就可实现纯软件平台的VPN连接。
这类VPN网络一般性能较差,数据传输速率较低,同时在安全性方面也比较低,一般仅适用于连接用户较少的小型企业。
(2)专用硬件平台VPN
使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多,比较有名的如国外的:Nortel、Cisco、3Com等,国内的如华为、联想等。
这类VPN平台虽然投资了大量的硬件设备,但是它具有先天的不足,就是成本太高,对于中、小型企业很难承受。并且由于全是由硬件来构成的平台,因此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的VPN网络服务提供商来说选择这一平台较为合适,因为它们都有这方面的人才和资金优势。不过现在的主流VPN硬件设备制造商都能提供相应的管理软件来支持,如Cisco、3COM公司等,这在后面章节中将具体介绍它们的VPN解决方案。
(3)辅助硬件平台VPN
这类VPN的平台介于软件平台和指定硬件平台的之间,辅助硬件平台的VPN主要是指以现有网络设备为基础,再增添适当的VPN软件以实现VPN的功能。这是一种最为常见的VPN平台,性能也是最好的一种。但是通常这种平台中的硬件也不能完全由原来的网络硬件来完成,必要时还得添加专业的VPN设备,如VPN交换机、VPN网关或路由器等,对于一个完善的、高性能的VPN网络这些设备在一定程度上来说是非常必要的。
这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性,同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省了总体投资。目前绝大多数企业VPN方案选用。
2.主要VPN协议
通过前面的介绍知道VPN隧道协议主要有三种:PPTP、L2TP和IPSec,PPTP和L2TP协议是工作在OSI/RM开放模型中的第二层,所以又称之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议,那就是Cisco公司的L2F(Layer 2 Forwarding)协议。在VPN网络中最常见的第三层隧道协议是IPSec,但另一种GRE(Generic Routing Encapsulation,通用路由封装协议,在RFC 1701中早有描述)也是属于一个第三隧道协议。
第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用,但合理的运用两层协议,将具有更好的安全性。例如:L2TP与IPSec协议的配合使用,可以分别形成L2TP VPN、IPSec VPN网络,也可混合使用L2TP、IPSec协议形成性能更强的L2TP VPN网络,且这一VPN网络形式是目前性能最好、应用最广的一种,因为它能提供更加安全的数据通信,解决了用户的后顾之忧。
3. VPN的部署模式
VPN的部署模式从本质上描述了VPN通道的起始点和终止点,不同的VPN模式适用于不同的应用环境,满足不同的用户需求,总的来说有3种VPN部署模式:
(1)端到端(End-to-End)模式;
该模式是自建VPN的客户所采用的典型模式,也是最为彻底的VPN网络。在这种模式中企业具有完全的自主控制权,但是要建立这种模式的VPN网络需要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常见的隧道协议是IPSec和PPTP。这种模式一般只有大型企业才有条件采用,这种模式最大的好处,也是最大的不足之处就是整个VPN网络的维护权都是由企业自身完成,需花巨资购买成套昂贵的VPN设备,配备专业技术人员,同时整个网络都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企业到NSP之间的透明段。
(2)供应商―企业(Provider-Enterprise)模式;
这是一种外包方式,也是目前一种主流的VPN部署方式,适合广大的中、小型企业组建VPN网络。在该模式中,客户不需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协议有L2TP、L2F和PPTP。
(3)内部供应商(Intra-Provider)模式。
这也是一种外包方式,与上一种方式最大的不同就在于用户对NSP的授权级别不同,这种模式非常适合小型企业用户,因为这类企业一般没有这方面的专业人员,自身维护起来比较困难,可以全权交给NSP来维护。这是很受电信公司欢迎的模式,因为在该模式中,VPN服务提供商保持了对整个VPN设施的控制。在该模式实现中,通道的建立和终止都是在NSP的网络设施中实现的。对客户来说,该模式的最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。最大的足也就是用户自身自主权不足,存在一定的不安全因素。
4. VPN的服务类型
根据VPN应用的类型来分,VPN的应用业务大致可分为3类:IntranetVPN、Access VPN与Extranet VPN,但更多情况下是需要同时用到这三种VPN网络类型,特别是对于大型企业。
(1)Access VPN
Access VPN又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
Access VPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括能随时使用如模拟拨号Modem、ISDN、数字用户线路(xDSL)、无线上网和有线电视电缆等拨号技术,安全地连接移动用户、远程工作者或分支机构。这种方式相对传统的拨号访问具有明显的费用优势,对于需要移动办公的企业来说不失为一种经济安全、灵活自由的好方式,所以这种方式通常也是许多大、中型企业所必需的。当然它也可以独自存在,如一些小型商务企业。
(2) Intranet VPN
Intranet VPN即企业的总部与分支机构间通过VPN虚拟网进行网络连接。随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。如果要进行企业内部各分支机构的互联,使用Intranet VPN是很好的方式。这种VPN是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤作为传输介质。它的特点就是容易建立连接、连接速度快,最大特点就是它为各分支机构提供了整个网络的访问权限。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在因特网上组建世界范围内的IntranetVPN。利用因特网的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
(3) Extranet VPN
Extranet VPN即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。如果是需要提供B2B电子商务之间的安全访问服务,则可以考虑选用Extranet VPN。
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。因特网为这样的一种发展趋势提供了良好的基础,而如何利用因特网进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
Extranet VPN对用户的吸引力在于:能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络,并且只拥有部分网络资源访问权限,这要求企业用户对各外部用户进行相应访问权限的设定。典型网络结构如图1.5所示。
以上三种VPN模式,其实在后面将要介绍的Windows 2000系统中的VPN网络中都统归于两种模式,即:远程访问VPN和路由器到路由器VPN,“远程访问VPN”对应于本节所介绍的Access VPN(VPDN)模式,而“Extranet VPN”和“Intranet VPN”则可统归“路由器到路由器VPN”模式。但是又不能完全这么划分,因为不同系统中对VPN模式的分类标准和前提不太一样,本节所介绍的这三种VPN模式是基于整个VPN网络来划分的,而在Windows 2000系统中的这种VPN模式划分的前提是在纯软件方式下进行的。
图解
管理员权限,就是分成数据中心和我们自己的管理员,通过VPN网络和云的直连网络进入的云,下级的用户通过边缘节点(CDN),在用户接入的层面叫做边缘云节点,CDN就是网络加速的意思,就是内容分发网络。就比如你的服务器在上海,然后你在其他城市一些地方部署这种边缘节点,他就可以通过这个边缘云节点去访问服务器,来达到加速的效果。CloudWatch和CloudTrail,一个是云监控,一个算是操作日志,起到一个运维的作用,可以在CloudWatch中看你云上的接入流量,带宽等,CloudTrail可以看自己的操作日志,这个组件可以把我们的操作日志记录下来,WAF就是安全应用防火墙,就是基于应用层面的防火墙。
S3和Glacier就是冷存储和热存储
Glacier最大的两个特点是
1.便宜, 是S3的1/12
2.访问延时非常高, 访问一个S3的数据可能耗时100毫秒, 访问一个Glacier的数据可能耗时3-5小时。
另外,在Glacier中,用户需要自己维护的文件目录。
这是与Glacier的定位相符合的. Glacier是一种cold storage, 可以看做是高级磁带(但实际上是用定制的磁盘), AWS的官方文档介绍的几种应用场景是: 公司历史数据保存, 出版物(书, 电影, 音乐, 电视, 新闻)制作过程的素材和中间产物的保存, 科研过程中原始数据的保存。
这几种应用场景有如下特征:
- 数据总量大, 不是以G计算, 而是以T, 甚至P计算。
- 访问频率极低, 大多数文件再也不会访问了。
- 对可靠性要求较高, 要求有异地备份, 防止机房故障。
可以看出, Glacier和S3虽然都是存储服务, 但定位不同, cold storage对访问速度不敏感, 对价格很敏感, 因此Glacier的价格就很低廉, 而访问速度则非常慢。
进入云的网络首先有两个,一个是NAT网关一个是堡垒机,一般来说就是给用户开放的话都是通过堡垒机接入的,这样可以起到一个隔离的作用,出于安全方面的考虑。
里面一个是WEB服务器一个是APP服务器,一个框里面部署的是你应用的web界面的一些服务,一边就是单独开发出来的APP。
用区域(Region)和可用区(Availability Zone)来描述数据中心,您可以在特定的区域、可用区创建资源。
区域指物理的数据中心。每个区域完全独立,这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。
可用区是同一区域内,电力和网络互相隔离的物理区域,一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区,不同可用区之间物理隔离,但内网互通,既保障了可用区的独立性,又提供了低价、低时延的网络连接。
