利用实现具有高可用性的站点间和边界安全.ppt

利用ISAServer实现具有高可用性的站点间VPN和边界安全 陈爱东微软全球技术中心 目标 认识到VPN的重要性展示为什么建立一个面向微软的VPN网络是可行的 这是保护基于微软架构网络的最佳选择 剖析微软VPN系统通过演示 展示如何通过VPN 动态路由协议和ISA连接站点 议程 为什么使用VPN 为什么使用RRAS和ISAServer 体系结构及组件VPN失败的典型案例OSPF概要 演示讨论 为什么使用VPN VPN技术已经得到了证明 但是 通常的VPN产品仅仅致力于连接 少量 的站点很少包括网络工程的概念 例如动态路由大部分VPN产品的价格很高 而且 许可证是个很麻烦的问题 为什么使用VPN 点对点的技术将驱动VPN的发展任意两个网络设备间的直接连接用传统链路创建一个整合的网络费用高而且复杂 为什么使用RRAS和ISAServer ISAserver概要 为Internet访问提供透明的Cache为发布的资源提供应用层的过滤强大的传输层 及更下层 的防火墙能力易用 快速的配置和维护支持LT2P IPSec和基于证书的认证支持OSPF RIP动态路由 体系结构及组件 一个典型的VPN架构 Internet VPNTUNNEL 创建站点到站点VPN VPN1 VPN1 VPN2 VPN2 体系结构及组件 我们已经有了ISA和RRAS的站点间连接现在 我们必须处理 路由问题 传统上 通过静态路由实现 这 不是 我们想要的 2个失败的典型案例 Source ROUTER ROUTER dest Internet 192 168 2 0 24 10 0 2 0 24 VPNTunnels 体系结构及组件 问题 1内部路由器设置静态路由源点向本地路由器发送报文本地路由器将报文静态路由至VPN服务器VPN服务器发生故障 源点 ROUTER 目的地 Internet 192 168 2 0 24 10 0 2 0 24 VPNTunnels ROUTER 体系结构及组件 问题 2VPN隧道故障源点向本地路由器发送报文本地路由器将报文静态路由至VPN服务器ISP 1andVPN隧道故障 报文丢失 源点 ROUTER 目的地 Internet 192 168 2 0 24 10 0 2 0 24 VPNTunnels ISP 1 ISP 2 ROUTER 体系结构及组件 我们怎样解决这些典型问题确保基于隧道的可用性调整路由新技术 不 在传统的企业网络内部已经广泛应用在内部的路由发现中广泛使用OSPF和RIP等动态路由使用2个ISP依然是个便宜的选择和大部分VPN产品不同 MicrosoftRRAS可以将协议绑定到每个接口 体系结构及组件使用OSPF获得高可用性 servers ROUTER VPNGateway1 VPNGateway2 Internet ROUTER VPNTUNNEL client VPNGateway1 VPNGateway2 DATACENTER OFFICE 体系结构及组件OSPF概要 OSPF要点 开放 协议使用链路状态算法链路状态广播每个节点维护一份网络有向拓扑图Dijkstra 最小生成树 算法每个OSPF路由器广播状态信息公告在整个自治系统 AS 中广播 体系结构及组件OSPF概要 3阶段同步过程 Hellophase 发现与它连接的邻节点 Databaseexchange 和邻节点交换链路状态信息 Flooding 所有路由器会通过一种被称为刷新 Flooding 的方法来交换链路状态数据 OSPF是一个自适应的路由协议 LSA 链路状态广播信息 每30分钟交换一次 ISA集成 打住 这些RRAS就可以实现 ISA带来了什么 透明的数据缓存 节省带宽 Internet 10 0 2 0 24 VPNTunnels ISA如何增强安全性 状态检测和SecureNAT数据过滤 病毒 Client ROUTER 演示 利用ISA建立站点到站点VPN 更多信息 ISAServerWebSite 参考信息 AvanadeDeploymentCaseStudyavanade aspDetailedVPNArchitectureWhitepaperavanadevpn aspCiscoOSPFDesignGuideArticleID 495 pg 2 old butverygood ISAServer orgVPNTutorialhttp www isaserver org shi