| 摘要:在介紹VPN技術的概念、工作原理、體系結構的基礎上,對這項技術的發展、組網方式、市場前景、所應用的領域及典型應用做了詳細分析和闡述。 關鍵詞:VPN 虛擬 封裝 加密 隧道技術 1 VPN的概念 VPN的英文Virtual Private Network的縮寫,可文譯為虛擬專用網。VPN是利用公共網絡基礎設施,通過“隧道”技術等手段達到類似私有專網的數據安全傳輸。VPN具有虛擬特點:VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路,但同時VPN又具有專線的數據傳輸功能,因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。VPN可以說是一種網絡外包,企業不再追求擁有自己的專有網絡,而是將對另外一個公司的訪問任務部分或全部外包給一個專業公司去做。這類專業公司的典型代表是電信企業。VPN具有以下優點: (1)降低成本:企業不必租用長途專線建設專網,不必大量的網絡維護人員和設備投資。利用現有的公用網組建的Intranet,要比租用專線或鋪設專線要節省開支,而且當距離越遠時節省的越多。如:某企業的北京與紐約分部之間的連接,不太可能自鋪專線:當一個遠程用戶在紐約想要連到北京的Intranet,用拔號訪問時,花的是國際長途話費;而用VPN技術時,只需在紐約和北京分別連接到當地的Internet就實現了互聯,雙方花的都是市話費。
(2)容易擴展:網絡路由設備配置簡單,無需增加太多的設備,省時省錢。對于發展很快的企業來說,VPN就更是不可不用了。如果企業組建自己的專用網,在擴展網絡分支時,考慮到網絡的容量,架設新鏈路,增加互聯設備,升級設備等;而實現了VPN就方便多了,只需連接到公用網上,對新加入的網絡終端在邏輯上進行設置,也不需要考慮公用網的容量問題、設備問題等。 (3)完全控制主動權:VPN上的設施和服務完全掌握在企業手可。例如,企業可以把撥號訪問交給NSP去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。 VPN通過采用“隧道”技術,并在Internet或國際互聯網工程工作組(IETF)制定的Ipsec標準統一下,在公眾網可形成企業的安全、機密、順暢的專用鏈路。 2 VPN的工作原理 圖1比較了常規的直接撥號連接與虛擬專網連接的異同點。在前一種情形可,PPP(點對點協議)數據包流是通過專用線路傳輸的。在VPN可,PPP數據包流是由一個LAN上的路由器發出,通過共享IP網絡上的隧道進行傳輸,再到達另一個LAN上的路由器。這兩者的關鍵不同點是隧道代替了實在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。 基于IP的VPN基本上歸結為兩類:撥號VPN(一般稱為VDPN,即虛擬撥號專網)和專線VPN(Dedicated VPN,即專線的VPN),完整的VPN解決方案通常把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。
撥號VPN(即VDPN)為移動用戶和遠程辦公用戶提供了對公司企業網的遠程訪問。這是當今最常見的一種VPN部署形式,主要是基于L2F協議。VDPN允許多個不同領域的用戶都能通過公共網絡或者Internet或其他公用網絡獲得安全的通路到他們的企業內部網絡。 提供私有撥號網絡服務的服務提供商可以用單個電話號碼提供給所有的用戶組織。訪問者可以用撥號網絡進入訪問服務器,訪問服務器通過PPP用戶名來區別訪問者。PPP用戶名用于建立一個到企業網關的連接,當企業網關鑒別了用戶之后,訪問集成器建立一個通過網絡提供商的骨干網、到企業風部網關的安全隧道。 PPP協議同時也被傳輸到內部網關,在內部網關的本地完全策略和本地認證授權決定了用戶通過內部網關之后對內部網絡的訪問級別。 撥號VPN的原理如下圖2所示。服務提供商管理MODEM池和確保可靠的連通性,而商業公司管理某企業內部網的用戶認證。 專線VPN以多個用戶和比撥號VPN高速的連接為特片。有許多類型的專線VPN業務,但最常見的是在IP網上建立的IP VPN業務,如圖3所示。專線VPN提供了公司總部與公司分部、遠程分支辦事處以及Extranet用戶的虛擬點對點連接。 虛擬專用網的體系結構有多種形式,分類示意圖如圖4。
模擬目前國內公眾多媒體通信網的狀況;在國內采用VPN組網一般分為三類: (1)ATM PVC組建方式,即利用電信部分提供的ATM PVC來組建用戶的專用網。這種專用網的通信速率快,安全性高,支持多媒體通信。 (2)IP Tunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證,不支持多媒體通信;使用國際通行的加密算法,安全性好;這種組網方式的業務在公眾通信網遍及的地方均可提供。 (3)Dial-up Access組網方式(VDPN)。這是一種撥號方式的專用網組建方式,可以利用已遍布全國的撥號公網來組建專用網,其接入地點在國內不限,上網可節省長途撥號的費用。對于流動性強、分支機構多、通信量小的用戶而言,這是一種非常理想的組網方式。它可以將用戶內部網的界限,從單位的地理所在延伸到全國范圍。 2.1 撥號VPN(VDPN) 撥號VPN又可分為客戶發起的(Client-Initiated)VPN和NAS發起的VPN。 2.1.1 客戶發起的VPN 在客戶發起的VNP中,用戶撥號到本地的POP遠程,由客戶來發出請求并建立到某企業內部網的加密隧道。為了建立一個安全的連接,客戶端運行Ipsec軟件,客戶軟件與公司內部網絡防火墻上的Ipsec進程通信,或者直接與支持Ipsec的路由器通信,確保連接的安全性。這種形式的VPN優點是: (1)遠程用戶能夠同時與多個Home Gateway建立IP Tunnel。 (2)遠程用戶不必重新撥號,就可以進入另一網絡。 (3)VPN的建立和管理與ISP無關。
|
66821730(技術支持)
