VPN知识点滴
上一篇 / 下一篇 2007-12-13 10:45:08 / 个人分类:其他
| ■ 什么是VPN | ||||||||
|
|
||||||||
| 利用公共网络来构建的专用网络称为虚拟专用网(VPN,Virtual Private Network),用于构建 VPN 的公共网络包括 Internet 、帧中继、 ATM 等。在公共网络上组建的 VPN 象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而 VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。通过 VPN ,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴、企业内部资源享用者只需连入本地 ISP 的 POP ( Point Of Presence ,接入服务提供点)即可相互通信;而利用传统的 WAN 组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成之后,出差员工和外地客户只需拥有本地 ISP 的上网权限就可以访问企业内部资源; 如果接入服务器的用户身份认证服务器支持漫游,甚至不必拥有本地 ISP 的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设 VPN 服务所需的设备很少,只需在资源共享处放置一台 VPN 服务器就可以了。 |
||||||||
|
||||||||
| ■ VPN可分为哪几类 | ||||||||
| VPN 分为三种类型:远程访问虚拟网( Access VPN )、企业内部虚拟网( Intranet VPN )和企业扩展虚拟网( Extranet VPN ),这三种类型的 VPN 分别与传统的远程访问网络、企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对应。 | ||||||||
|
||||||||
| ■ VPN的优点有哪些 | ||||||||
|
|
||||||||
| 利用公用网络构建 VPN 是个新型的网络概念,它给服务提供商( ISP )和 VPN 用户(企业)都将带来不少的益处。
对于服务提供商来说,在通过向企业提供 VPN 这种增值服务, ISP 可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上, VPN 用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。 VPN 用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。 ISP 对外提供两种服务,资源利用率和业务量都会大大增加,将给 ISP 带来新的商业机会。 而对于企业而言,利用 Internet 组建私有网,将大笔的专线费用缩减为少量的市话费用和 Internet 费用。据报道,局域网互联费用可降低 20 ~ 40 %,而远程接入费用更可减少 60 ~ 80 %,这无疑是非常有吸引力的; VPN 大大降低了网络复杂度、 VPN 用户的网络地址可以由企业内部进行统一分配、 VPN 组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的 ISP 来完成; VPN 提高了整个企业网的互联性,同时良好的扩展性使得企业更好、更快地适应 Internet 经济的发展,把握商机;另外,在 VPN 应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输私有数据的安全性。 |
||||||||
|
||||||||
| ■ VPN 应该遵循哪些设计原则 | ||||||||
| VPN 的设计包含以下原则:安全性、网络优化、 VPN 管理等。
在安全性方面,由于 VPN 直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。 Extranet VPN 将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 在网络优化方面,构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。 QoS 通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 在 VPN 管理方面, VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的 VPN 管理系统是必不可少的。 VPN 管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上, VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS 管理等内容。 |
||||||||
|
||||||||
| ■ 优秀VPN的基本素质 | ||||||||
|
|
||||||||
| 企业利用 VPN可完成多种事务,从文件传输、商业合伙人的事务处理及合作应用,一直到数据库和远程拨号的接入,VPN可传输很多重要的应用和重要的数据,而且通过利用公共IP网可以享受到节约资金的好处。不过仅仅节约资金还是不够的。由于今天网络容量和各种重要的商业数据日益增长,必须有自动化的VPN安装和操作,同时也必须有广泛的安全性和高效的性能,这是两个有时会互相矛盾的特性。动态的VPN交换为公共网带来了自动化操作和安全性。现在的VPN技术已给VPN的广泛发展带来了一线曙光,但是,如果它的设备和运作费用太高,那么VPN的优点就不能完全体现出来。为了成功地拓宽商业应用的范围,VPN必须具备以下几点基本素质: 1.方便的安装和自动的操作管理。 VPN的安装和管理应当像Hub一样简单,它们应当无需人工配置或对设备的维护。 2.动态连接。 VPN通过网络进行的再发送应当方便且高效,这主要决定于用户和机构应用的需要。此外,由于必须对动态路由选择做出判定,因而,它们应当具有必要的优化带宽的智能性,因为IP网络的静态配置不能满足企业连续处理连通性改变的需要。 3.安全性。 VPN必须提供全面的安全性,以确保公共网上重要数据的安全传输。除了封装和加密之外,所有携带安装和维护信息进入控制路径的数据都必须得到保护。VPN也必须是开放并且是适应于标准的,以便保证将来验证和网络安全技术的实施。 |
||||||||
|
||||||||
| ■ 全面认识VPN(一) | ||||||||
| 在国外, VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。 对国内的用户来说,VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。 为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。 认识VPN 现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。 用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。 所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。 由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 越来越多的用户认识到,随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。 还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。 用户的需求正是虚拟专用网技术诞生的直接原因。 用户需要的VPN 一 .VPN的特点 在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点: 1.安全保障 虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。 2.服务质量保证(QoS) VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 3.可扩充性和灵活性 VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 4.可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 二 .自建还是外包 由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基本目标:在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。 1.大型企业自建VPN 大型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在其总部和分支机构中,将各个机构低成本且安全地连接在一起。企业建立自己的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。 企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。 虽然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。 2.中小型企业外包VPN 虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包VPN是较好的选择。 * 外包VPN比企业自己动手建立VPN要快得多,也更为容易。 * 外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。 * 企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。 * 对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。 三 .VPN安全技术 由于传输的是私有信息,VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。 1. 隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。 2. 加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。 3. 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。 4. 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 |
||||||||
Link URL: http://www.cnblogs.com/tester2test/archive/2007/07/25/831513.html
TAG:
标题搜索
日历
|
|||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | 5 | 6 | ||||
| 7 | 8 | 9 | 10 | 11 | 12 | 13 | |||
| 14 | 15 | 16 | 17 | 18 | 19 | 20 | |||
| 21 | 22 | 23 | 24 | 25 | 26 | 27 | |||
| 28 | 29 | 30 | |||||||
我的存档
数据统计
- 访问量: 270264
- 日志数: 689
- 建立时间: 2006-12-05
- 更新时间: 2009-04-15
