微软全球技术中心.pptVIP

* * * * * * * * * * * * * * * 利用ISA Server实现具有高可用性的站点间VPN与边界安全 陈爱东 微软全球技术中心 目标 认识到VPN的重要性 展示为什么建立一个面向微软的VPN网络是可行的;这是保护基于微软架构网络的最佳选择! 剖析微软VPN系统 通过演示 – 展示如何通过VPN, 动态路由协议与ISA连接站点 议程 为什么使用VPN? 为什么使用 RRAS 与 ISA Server? 体系结构及组件 VPN失败的典型案例 OSPF 概要 演示 讨论 为什么使用VPN? VPN技术已经得到了证明, 但是… 通常的VPN产品仅仅致力于连接”少量”的站点 很少包括网络工程的概念, 例如动态路由 大部分VPN产品的价格很高;而且, 许可证是个很麻烦的问题 为什么使用VPN? 点对点的技术将驱动VPN的发展 任意两个网络设备间的直接连接 用传统链路创建一个整合的网络费用高而且复杂 为什么使用 RRAS 与 ISA Server? ISA server概要… 为Internet访问提供透明的Cache 为发布的资源提供应用层的过滤 强大的传输层[及更下层]的防火墙能力 易用 – 快速的配置与维护 支持LT2P/IPSec 和 基于证书的认证 支持 OSPF, RIP 动态路由! 体系结构及组件 一个典型的VPN架构… Internet servers ROUTER VPN Gateway #1 VPN Gateway #2 ROUTER users VPN Gateway #1 VPN Gateway #2 ROUTER users VPN Gateway #1 VPN Gateway #2 VPN TUNNEL VPN TUNNEL VPN TUNNEL 创建站点到站点VPN VPN 1 VPN 1 VPN 2 VPN 2 体系结构及组件 我们已经有了ISA与RRAS的站点间连接 现在, 我们必须处理 “路由问题” 传统上, 通过静态路由实现; 这”不是”我们想要的!! 2 个失败的典型案例… Source ROUTER ROUTER dest Internet /24 /24 VPN Tunnels 体系结构及组件 问题 #1 内部路由器设置静态路由 源点向本地路由器发送报文 本地路由器将报文静态路由至VPN 服务器 VPN服务器发生故障 源点 ROUTER 目的地 Internet /24 /24 VPN Tunnels ROUTER 体系结构及组件 问题#2 VPN 隧道故障 源点向本地路由器发送报文 本地路由器将报文静态路由至VPN 服务器 ISP #1 and VPN隧道故障, 报文丢失 源点 ROUTER 目的地 Internet /24 /24 VPN Tunnels ISP #1 ISP #2 ROUTER 体系结构及组件 我们怎样解决这些典型问题 确保基于隧道的可用性调整路由 新技术? 不! --- 在传统的企业网络内部已经广泛应用 在内部的路由发现中广泛使用OSPF与RIP等动态路由 使用2个 ISP 依然是个便宜的选择 和大部分VPN产品不同, Microsoft RRAS可以将协议绑定到每个接口! 体系结构及组件使用 OSPF 获得高可用性 servers ROUTER VPN Gateway 1 VPN Gateway 2 Internet ROUTER VPN TUNNEL OSPF OSPF OSPF OSPF OSPF OSPF client VPN Gateway 1 VPN Gateway 2 DATACENTER OFFICE 体系结构及组件OSPF 概要 OSPF 要点 “开放” 协议 使用链路状态算法 链路状态广播 每个节点维护一份网络有向拓扑图 Dijkstra (最小生成树) 算法 每个 OSPF 路由器广播状态信息 公告在整个自治系统(AS)中广播 体系结构及组件OSPF 概要 3 阶段同步过程 “Hello phase” –发现与它连接的邻节点 “Database exchange” –与邻节点交换链路状态信息 “Flooding” –所有路由器会通过一种被称为刷新（Flooding）的方法来交换链路状态数据。 OSPF 是一个自适应的路由协议… LSA(链路状态广播信息)每30分钟交换一次 ISA 集成 打住! 这些RRAS就可以实现! ISA带来了什么? 透明的数据缓存;节省带宽 Internet /24 VPN Tunnels ISA 如何增强安全性? 状态检测 与 SecureNAT 数据过滤 (病毒…) Client ROUTER 演示 利用ISA 建立站点到站点VPN 更多信