VPN就是在公司网中形成企业专用的链路。为了形成这样的链路,采用了所谓的"隧道"技术。可以模拟点对点连接技术,依靠Internet服务提供商(ISP)和其它的网络服务提供商(NSP)在公用网中建立自己专用的"隧道",让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。于是,兼容性问题、不同的服务质量要求、以及其它的麻烦都迎刃而解。
在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如:(1)配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机;(2)分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器;(3)网络服务提供商站点中的有VPN能力的访问集中器。
虚拟专网本质上是将多媒体通信网用做"公用数据网",通过公共的多媒体通信网加密传输专用数据流量。虚拟网络用户在安全性可得到完全保证的前提下,均可通过当地的电话或租用线路服务建立联系,而不必租用长途线路,大大节省了通信费用。
虚拟专网能够连接各机构的所有办公室、远程工作人员、移动员工,甚至于全国范围的客户和供给商。虚拟专网减少了设备需求及网络维护责任,能够为用户节省大量的开支。无论是基于拨号接入还是基于专线接入的用户,虚拟专网均适用。
在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。隧道代替了实实在在的专用线路。
IP-VPN的分类:
IP-VPN
拨号 客户端发起
NAS(访问服务器发起)
专线 IP隧道 安全验证设备
路由器
VC(虚电路) X.25,FR,ATM
VPN Aware Networks
VPN有以下几方面好处:
降低成本
借助ISP来建立VPN,就可以节省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。这些工作都由ISP负责完成。
轻易扩展
假如用户想扩大VPN的容量和覆盖范围。统计局需做的事情很少,而且能立时实现:企业只需与新的ISP签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:通过配置命令就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。
可随意与合作伙伴联网
用户假如想与合作伙伴联网,假如没有VPN,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了VPN之后,这种协商也毫无必要,真正达到了要连就连、要断就断。
完全控制主动权
VPN使用户可以利用ISP的设施和服务,同时又完全把握着自己网络的控制权。比方说,用户可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化治理等重要工作。
建立在山东省公众多媒体通信网上的虚拟专网,随着省网二期扩容的开展和ATM宽带业务网的建设,其网络性能将得到不断的提高。我公司在VPN的组网方面有着丰富的经验,为广大用户提供丰富地、灵活地组网方式。现已完成的虚拟网项目有:
山东省证券公司虚拟专用网
山东省统计局虚拟专用网
微软的VPN解决方案
微软虚拟专用网使用点到点通道协议(PPTP)构造跨越因特网的低成本、安全保密的远程访问解决方案。其易于实现且具有下列好处:
支持所有主要的网络协议。
答应继续使用现有网络。
答应继续使用现有的通讯方式。
提供流控制。
支持开放的工业标准。
支持目前市场占有率最高的Windows NT Server/Workstation、和Windows95。
支持所有主要的网络协议
虚拟专用网支持所有主要的网络协议,包括TCP/IP、IPX/SPX和NetBEUI。多协议虚拟专用网使得远程终端用户能够跨越因特网访问异构的网络。微软的虚拟专用网答应用户使用普通模拟调制解调器、X.25设备和其它连接方式,通过本地拨号入网,从而节省了长途电话连接的费用。虚拟专用网可通过任何类型的网络,包括Windows NT的远程访问服务器、基于IPX的NetWare服务器和NetBEUI环境。因为虚拟专用网多种网络协议,所以用户能在不同的网络上保持PPTP的优点。
答应继续使用现有的网络地址
虚拟专用网不需要改变现有网络地址方案,这非凡适合那些已经实施内部网络的企业,这样不必使用标准的因特网编址,无须重编内部网络地址,只需设置远程访问服务就可互联企业网络,极大地方便了网络治理。因为PPTP使用封装的方式,隐含了非标准的地址,所以虚拟专用网答应企业使用非标准的IP和IPX地址。
提供流控制
流控制作用在客户和服务器之间的数据路径上。
假如没有流控制,当传输出现问题时,客户端会持续发送数据包从而导致服务器端的负载,由于数据包的重复发送会导致性能的降低。流控制答应服务器端通知客户端停止工作并在资源可用时重发数据包。流控制同时减少了网络拥塞,消除了不必要的数据包重发。使用开放的工业标准微软的虚拟专用网基于PPTP,目前是IETF的草案标准,不仅可用于基于Windows的系统,还可实施于异构的环境中。任何PPP客户机(包括UNIX和Macintosh)、服务器和其它远程访问系统均可使用PPP。
CISCO的VPN解决方案
IP虚拟专用网(IP-VPN)是指因特网服务提供商(ISP)可以提供的以IP骨干网为基础的一系列服务。一个最终用户采用IP-VPN的服务,就可以在多个地点之间传送IP数据包,同时得到一定程度的服务质量保证和安全保证,就像自己的内部网一样。访问国际互联网也使这种服务的一部分。CISCO的IP-VPN解决方案扩充了INTERNET的能力,同时其提供的增值服务也可以丰富IP-VPN的应用。包括加密服务,不同形式的数据优先处理以及主机代管、协同工作和多媒体服务等基于服务器的应用。数据优先处理可以答应最终用户对网络资源得到比传统的广域网更好的控制。在资源比较缺乏的时候(低带宽链路),那些重要的和对延迟敏感的数据包可以得到非凡的对待,而其他低优先级的数据包则被限制在剩余的带宽内。
从经济的角度上说,CISCO的IP-VPN解决方案除了给用户组网节省了大量的费用,同时也带来其他好处,包括缩短建设周期以及维护的时间,并且可以很快的完成在多点之间的移动、增加和改动。CISCO的IP-VPN解决方案十分灵活多样,包括两种基于拨号的,两种基于专线的,和一种基于标记交换的,可以满足不同的用户需求。
解决方案1
由用户端建立的拨号IP-VPN
首先,远程客户拨号进入一个本地接入点(POP)。然后运行一个支持IPSec的客户端软件,与公司内联网中的一台PIX防火墙建立一条加密的隧道,这样就可以安全地访问防火墙内的主机了。
优势:访问服务器不参与IP-VPN,客户可以同时访问互联网和内联网。
限制:客户端软件必须是指定的支持IPSec的产品
隧道对于ISP是完全透明的,用户无法得到ISP的增值服务。
IP地址由ISP分配,不能采用内部地址。
解决方案2
由访问服务器建立的拨号IP-VPN
采用AS5X00访问服务器(NAS),通过L2F或L2TP协议,由NAS建立一条安全隧道到的内联网网关,该网关负责身份认证和IP地址分配,远程客户就像直接联到内联网一样。
优势:远程用户端不需要非凡的软件。
ISP可以提供高档次的拨号IP-VPN服务。
IP地址可以采用的内联网的内部地址,不占用ISP的地址空间。
限制:该方式不适合在国际互联网上采用
解决方案3
IPSec IP 隧道的专线IP-VPN
任何联台支持IPSec的设备之间都可以建立一条加密隧道,支持IPSec的设备包括运行IPSec软件的客户机、路由器、防火墙和服务器。
优势:方便、快捷,无需改变ISP的网络
安全、可靠、性能高
ISP可以对隧道提供高级的IP服务
解决方案4(推荐)
GRE IP 隧道的专线IP-VPN
GRE 隧道是基于RFC1701和RFC1702的标准IP-VPN方案。它的做法是将IP数据包加上GRE头,封装在IP数据包内。在路由器看来GRE隧道是一个点到点端口,它可以被加密。ISP可以对GRE隧道提供QoS服务,但这个隧道的两端必须在同一个ISP的网络内。推荐用户采用此方式。
优势:用户自己定义内部的IP地址
ISP可以提供针对应用层的IP QoS服务。
与媒体无关,CISCO IOS都支持
限制:只能在一个ISP网络内
解决方案5
基于MPLS的内嵌VPN网络
在整个网络上运行MPLS,每一个IP-VPN都有一个VPN-ID,通过TDP将不同的VPN-ID映射到不同的TAG上,这样VPN的信息就内嵌在MPLS网络中。
优势:TAG-VPN是无连接的,无需定义隧道。
与MPLS一样具有良好的网络扩展性和增值服务扩展性。
在ISP网络中可以"看见"VPN,可以为每个VPN提供增值服务
轻易增加VPN和简化治理
IP QoS和流量治理随MPLS与生具有
限制:
需要cisco 高端路由器VPN中的隧道是由隧道协议形成的,VPN使用的隧道协议主要有三种:点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec。
PPTP封装了PPP数据包中包含的用户信息,支持隧道交换。隧道交换可以根据用户权限,开启并分配新的隧道,将PPP数据包在网络中传输。另外,隧道交换还可以将用户导向指定的企业内部服务器。PPTP便于企业在防火墙和内部服务器上实施访问控制。位于企业防火墙的隧道终端器接受包含用户信息的PPP数据包,然后对不同来源的数据包实施访问控制。
L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding)协议的优点,并且支持多路隧道,这样可以使用户同时访问Internet和企业网。
IPSec是用来增强VPN安全性的标准协议。IPSec包含了用户身份认证、查验和数据完整性等内容。该协议标准由IETF组织制订,其中规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP级协议。IPSec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。另外,由于IPSec的安全性功能与密钥治理系统松散耦合,所以当密钥治理系统发生变化时,IPsec的安全机制不需要进行修改。
基于MPLS的VPN是一种基于网络的新型VPN解决方案,它要求广域网络支持MPLS,利用MPLS的标记交换在广域网络上为VPN用户提供虚拟连接。
MPLS VPN的优点是全网统一治理的能力很强,由于MPLS VPN是基于网络的,全部的VPN网络配置和VPN策略配置都在网络端完成,可以大大降低治理维护的开销。
ITU-T形成的基于网络IP VPN草案中提出了关于基于MPLS的IP VPN技术要求,在业务提供商的网络中采用IP技术,且骨干网用MPLS,对于IP VPN业务只能在边缘设备上提供,而对于骨干设备,IP VPN业务是透明的,这样才有利于可扩展性。