Professional Documents
Culture Documents
虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公
用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接
方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。
而是使用一种称之为“隧道”的东西来作为传输介质的,这个隧道是建立在公
将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN 服
务器接受此连接;
部网络。
(1) 节约成本
70%的开销。开销的降低发生在 4 个领域之中:
移动通讯费用的节省:这主要是针对于有许多职工需要移动办公的企业来说
公司内部的网络进行互连,大大减少了长途通信费。企业可以从他们的移动办公
用户的电话费用上看到立竿见影的好处。
是在性能、可管理性和可控性方面两者都没有太大的差别。通过向虚拟专线中加
入语音或多媒体流量,企业还可以进一步获得成本的节约。这一点对于过去有过
线路,但这已是相当短的了),而且还可能会在带宽上有更大的优势,因为现在
的 VPN 技术可以支持宽带技术了。
设备投资的节省:VPN 允许将一个单一的广域网接口用作多种用途,从分支
机构的互联到合作伙伴通过外联网(Extranet)的接入。因此,原先需要流经不同
设备的流量可以统一地流经同一设备。由此带来的好处便是企业不再像原先那样
需要大量的广域网接口了,也不必再像以前那样频繁地进行周期性的硬件升级
了,这样就可大大减少了企业固定设备的投资,这对于是、小型企业来说是非常
之重要的。此外,VPN 还使企业得以继续对其关键业务型的旧有系统进行有效
利用,从而达到保护软硬件投资的目的。
至最低。原先用来对远程用户进行支持的、经常超负荷工作的企业支持热线(通常
安装和配置成本。在降低费用方面主要表现为:远程用户可以只通过向当地的 ISP
申请账户登录到因特网,以因特网作为隧道与远程企业内部专用网络相连。这样
采用拨号方式的远程用户则不需要采用长途拨号,企业总部也可只支付 ISP 本
地网络使用费,在长途通信费用方面就会大幅度降低,据专业分析机构调查显
并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置
使得远端的接入用户可以继续使用传统的设备,保护了用户在现有硬件和软件
系统上的投资。
(2) 增强的安全性
(Key Management)、身份认证技术(Authentication)。
在用户身份验证安全技术方面,VPN 是通过使用点到点协议(PPP)用户级
身份验证的方法来进行验证,这些验证方法包括:密码身份验证协议 (PAP)、质
际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进
安全的通信。MPPE 加密确保了数据的安全传输,并具有最小的公共密钥开销。
安全。
受到保护的资源。
(3) 网络协议支持
AppleTalk、DECNet、SNA 等几乎所有的局域网协议,应用更加全面。
(4) 容易扩展
(5) 可随意与合作伙伴联网
在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如
何在双方之间建立租用线路或帧中继线路。这样相当麻烦,不便于企业自身的发
毫无必要,真正达到了要连就连,要断就断,可以实现灵活自如的扩展和延伸。
(6) 完全控制主动权
访问权、网络地址、安全性和网络变化管理等重要工作。
(7) 安全的 IP 地址
看到公用的 IP 地址,看不到数据包内包含的专有网络地址。因此远程专用网络
重视的根本原因之一。
(8) 支持新兴应用
许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作
a. 网络接入位置众多,特别是单个用户和远程办公室站点多,例如多分支
机构企业用户、远程教育用户;
b. 用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长
途电信,甚至国际长途手段联系的用户,如一些跨国公司;
d. 对线路保密性和可用性有一定要求的用户,如大企业用户和政府网。
根据 VPN 的应用平台可分为:软件平台、专用硬件平台及辅助硬件平台三类
(1)软件平台 VPN
当对数据连接速率较低要求不高,对性能和安全性要求不强时,可以利用
较低,一般仅适用于连接用户较少的小型企业。
(2)专用硬件平台 VPN
等,国内的如华为、联想等。
成本太高,对于中、小型企业很难承受。并且由于全是由硬件来构成的平台,因
此在管理的灵活性方面和可管理性方面就显得不如人意。通常是对于专业的
VPN 网络服务提供商来说选择这一平台较为合适,因为它们都有这方面的人才
方案。
(3)辅助硬件平台 VPN
中的硬件也不能完全由原来的网络硬件来完成,必要时还得添加专业的 VPN 设
络这些设备在一定程度上来说是非常必要的。
这种平台是最为通用的一种方式,它既具备了硬件平台的高性能、高安全性,
同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省
2. 主要 VPN 协议
之为第二层隧道协议。其实在第二层隧道协议中还有一种不是很主流的协议,那
第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层
的数据包隧道里传输的。第二层隧道协议和第三层隧道协议一般来说分别使用,
前性能最好、应用最广的一种,因为它能提供更加安全的数据通信,解决了用户
的后顾之忧。
部署模式:
(1)端到端(End-to-End)模式;
要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常
个网络都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企
业到 NSP 之间的透明段。
(2)供应商―企业(Provider-Enterprise)模式;
由 VPN 服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通
过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协议有
L2TP、L2F 和 PPTP。
(3)内部供应商(Intra-Provider)模式。
级别不同,这种模式非常适合小型企业用户,因为这类企业一般没有这方面的
足也就是用户自身自主权不足,存在一定的不安全因素。
4. VPN 的服务类型
(1)Access VPN
机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程
AccessVPN。
企业内部网或外部网的远程访问。AccessVPN 能使用户随时、随地以其所需的
统的拨号访问具有明显的费用优势,对于需要移动办公的企业来说不失为一种
经济安全、灵活自由的好方式,所以这种方式通常也是许多大、中型企业所必需
的。当然它也可以独自存在,如一些小型商务企业。
随着企业的跨地区、国际化经营,这是绝大多数大、中型企业所必需的。如果要进
是通过公用因特网或者第三方专用网进行连接的,有条件的企业可以采用光纤
作为传输介质。它的特点就是容易建立连接、连接速度快,最大特点就是它为各
分支机构提供了整个网络的访问权限。
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研
究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司
以在因特网上组建世界范围内的 IntranetVPN。利用因特网的线路保证网络的
全传输。IntranetVPN 通过一个使用专用连接的共享基础设施,连接企业总部、
远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量
(QoS)、可管理性和可靠性。如图 1.4 所示的是企业自建的 IntranetVPN 网络拓
扑结构示意图。
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供
给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业
之间的合作关系也越来越多,信息交换日益频繁。因特网为这样的一种发展趋势
提供了良好的基础,而如何利用因特网进行有效的信息管理,是企业发展中不
户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括
署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人
的网络,并且只拥有部分网络资源访问权限,这要求企业用户对各外部用户进