VPN

VPN（精选十篇）

VPN 篇1

关键词：虚拟专用网络,用户远程访问,网络互联

1、VPN的实现原理

VPN的全称是Virtual Private Network, 即虚拟专用网络。VPN是通过一个公用网络 (通常是Internet) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道[1]。可以把它理解成是虚拟的内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个终端内部网之间建立一条专有的线路, 就像是架设了一条专线一样, 但并不需要去铺设物理线路。

为了形成虚拟连接链路, VPN网络采用了"隧道"技术。"隧道"技术就是模仿点对点连接, 它依靠Internet服务提供商和其他的网络服务提供商在公共网中建立自己专用的"隧道", 让数据包通过这条隧道进行传输。

2、VPN的三种应用方式

2.1 通过因特网实现用户远程访问

虚拟专用网络和使用专线连接企业的网络接入服务器不同, 虚拟专用网络用户首先拨通本地ISP的网络接入服务器并与之建立连接, 然后再利用VPN软件在拨号用户和企业的VPN服务器之间创建一个跨越因特网 (或其它公共互联网络) 的虚拟专用网络以达到远程访问的目的。

2.2 通过因特网实现网络互联

网络互联是指通过因特网或其他公共网络将公司内部的局域网和分支机构的局域网连接起来, 形成一个远程局域网络。使用VPN连接远程局域网时, 可以采用以下两种实现方式。

1、使用专线连接分支机构和局域网

专线连接方式的原理是分支机构和终端路由器使用各自的本地专用线路通过本地的ISP连接到因特网或其他公共网络, 然后再通过VPN软件或硬件设备, 利用与本地ISP建立的连接和因特网, 在分支机构和终端路由器之间创建一个虚拟专用网络[2]。可见, 专线连接方式并不是真的使用价格昂贵的长距离线路来连接分支和局域网, 而是利用虚拟专用网来实现连接。

2、使用拨号线路连接分支机构和局域网

在使用拨号线路连接分支机构和局域网的VPN网络中, 分支机构的路由器不再使用专线或其他的方式来连接企业的接入服务器NAS, 而是分支机构端的路由器通过拨号方式连接本地网络服务提供商ISP, 然后再由VPN软件使用与本地ISP建立起的连接在分支机构和终端路由器之间创建一个跨越因特网的虚拟专用网络。

2.3 连接企业网内部网络计算机

通过使用一台VPN服务器既能够实现与整个企业网络的连接, 又可以保证重要数据的安全性。在VPN网络中, 企业网络管理人员可以通过使用VPN服务器, 指定符合特定身份要求的用户连接VPN服务器获得访问敏感信息的权利, 而没有此身份的用户根本无法看到这些敏感部门的局域网络。此外, 可以对所有VPN数据进行加密, 从而确保数据的安全性。为了实现业务网络隔离, 通常在企业局域网中使用VLAN技术, 防止无关人员对特定信息的访问。然而VLAN并不是完善的安全解决方案, 不能实现数据加密, 如果再使用VPN加以改造, 就可实现更安全的网络隔离。我国目前的VPN应用主要集中在跨国公司的国内分支机构、部分用户规模较大的外企、金融领域以及与IT相关的企业之中, 从2004年开始中小企业和教育行业应用也逐渐受到青睐, 应用比例有所提高, 在近一、两年, 更是迅速向中小企业拓展, 在家用产品领域也有所涉足, VPN产品逐渐成为各行业竞相采购的焦点。

3、结语

随着人们对VPN认识的加深, 以及不断拓展的市场需求, VPN市场的前景将非常喜人。无论是从需求的范围还是传输的内容上来看, 网络数据的传输需求越来越宽泛, 目前很多企业, 尤其是分支机构遍布各地的大型企业, 协同管理和数据传输的需求也越来越大, 使得VPN产品的应用范围不断攀升。综合来看, 随着用户需求的进一步扩大, VPN产品的市场将继续扩大, VPN技术发展会日益完善, 国内外各大网络设备商必将推出更多优秀产品, 以满足各大用户不断变化的使用需求。

参考文献

[1]http://baike.baidu.com/view/19735.htm

VPN定义 篇2

开放分类： 互联网、网络、电脑、技术

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充。

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

======

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。

对于很多IPSec VPN用户来说，IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制，大量的企业都认为IPSec VPN是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。

----从概念上讲，IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况（如运营商的运营商）。

----图1给出了实现IP-VPN的一个通用方案。其中，CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。

----站点是指这样一组网络或子网，它们是用户网络的一部分，并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点，一个站点可以同时位于不同的几个VPN之中。

----图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示，一个站点可以同时属于多个VPN。依据一定的策略，属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力，也可以不提供这种能力。当一个站点同时属于多个VPN时，它必须具有一个在所有VPN中唯一的地址空间。

----MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础，服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以，在MPLS/ATM网络中,有多种支持IP-VPN的方法，本文介绍其中两种方法。

方案一

----本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式，即拓扑驱动方式来实现基本的LSP建立过程，同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。

----图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。

----LER(标记边缘路由器)

----LER是MPLS的边缘路由器，它位于MPLS/ATM服务提供者网络的边缘。对于VPN用户的IP业务量，LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享，它还应当具有执行虚拟路由的能力。这就是说，它应当为自己服务的各个VPN分别建立一个转发表，这是因为不同VPN的IP地址空间可能是有所重叠的。

----LSR(标记交换路由器)

----MPLS/ATM核心网络是服务提供者的下层网络，它为用户的IP-VPN业务所共享。

----建立IP-VPN区域的操作

----希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作，基本的LSP 建立过程将使用拓扑驱动方法来进行，这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由，则将使用两级LSP隧道（标记堆栈）。

----VPN成员

----每一个LER都有一个任务，即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道，所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP，向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记，以方便这些消息能够最终到达目的LER。

----LDP Hello消息实际上是一种查询消息，通过这一消息，发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER（对等实体）。新的Hello消息相邻实体注册完成之后，相关的两个LER之间将开始发起LDP会话。随后，其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后，对等LER之间的会话便建立起来了。此后，双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道，则该标记将被推入标记栈中，并被置于原有的标记之上。

----VPN成员资格和可到达性信息的传播

----通过路由信息的交换，LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER，还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之，只有支持相同VPN的LER之间才能成功地建立LDP会话。

----VPN内的可到达性

----最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时，配置信息将包含它在VPN内部要使用的路由协议。在这一过程中，还可能会配置必要的安全保密特性，以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中，每一次发现阶段结束之后，每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。

----IP分组转发

----LER之间的路由信息交互完成之后，各个LER都将建立起一个转发表，该转发表将把VPN用户的特定地址前缀(FEC转发等价类)与下一跳联系起来。当收到的IP分组的下一跳是一个LER时，转发进程将首先把用于该LER的标记（嵌套隧道标记）推入标记栈，随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组，接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR；当该分组到达目的LER时，最外层的标记可能已经发生许多次的改变，而嵌套在内部的标记始终保持不变；当标记栈弹出后，继续使用嵌套标记将分组发送至正确的LER。在LER上，每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。

方案二

----本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍，其技术细节可以参见RFC 2547。

----图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置，图4则给出了使用RFC 2547的网络模型。

----提供者边缘(PE)路由器

----PE路由器是与用户路由器相连的服务提供者边缘路由器。

----实际上，它就是一个边缘LSR（即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口）。

----用户边缘(CE)路由器

----CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中，CE路由器不使用MPLS，它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。

----提供者(P)路由器

----P路由器是指网络中的核心LSR。

----站点（Site）

----站点是指这样一组网络或子网：它们是用户网络的一部分，通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。

----路径区别标志

----服务提供者将为每一个VPN分配一个唯一的标志符，该标志符称为路径区别标志（RD）,它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址，这些地址称为VPNIP 地址，它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的，对于VPN中的每一个节点（即VPN中的每一个PE路由器），转发表中都将存储有一个条目。

----连接模型

----图4给出了MPLS/BGP VPN的连接模型。

----从图4中可以看出，P路由器位于MPLS网络的核心。PE路由器将使用MPLS与核心MPLS网络通信，同时使用IP路由技术来与CE路由器通信。P与PE路由器将使用IP路由协议（内部网关协议）来建立MPLS核心网络中的路径，并且使用LDP实现路由器之间的标记分发。

----PE路由器使用多协议BGP4来实现彼此之间的通信，完成标记交换和每一个VPN策略。除非使用了路径映射标志（route reflector），否则PE 之间是BGP全网状连接。特别地，图4中的PE处于同一自治域中，它们之间使用内部BGP（iBGP）协议。

----P路由器不使用BGP协议而且对VPN一无所知，它们使用普通的MPLS协议与进程。

----PE路由器可以通过IP路由协议与CE路由器交换IP路径，也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。

----PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发，BGP使用VPN-IP地址（由RD和IPv4地址构成）。这样，不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。

----PE路由器将BGP计算得到的路径映射到它们的路由表中，以便把从CE路由器收到的分组转发到正确的LSP上。

----这一方案使用两级标记：内部标记用于PE路由器对于各个VPN的识别，外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。

----建立IP-VPN区域的操作

----希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置，这包括：PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置；MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置；为了与CE进行通信，还必须进行普通的路由协议配置；为了与MPLS核心网络进行通信，还必须进行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能够支持MPLS之外，还要能够支持VPN。

>----VPN成员资格和可到达性信息的传播

----PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息，并且通过这一过程获得与之直接相连的用户网站IP地址前缀。

----PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外，PE路由器还要通过BGP与其PE路由器对等实体交换标记，以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记，P 路由器看不到这些标记。

----PE路由器将为其支持的每一个VPN分别建立路由表和转发表，与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。

----IP分组转发

----PE之间的路由信息交换完成之后，每一个PE都将为每一个VPN建立一个转发表，该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。

----当收到发自CE路由器的IP分组时，PE路由器将在转发表中查询该分组对应的VPN。

----如果找到匹配的条目，路由器将执行以下操作：

----如果下一跳是一个PE路由器，转发进程将首先把从路由表中得到的、该PE路由器所对应的标记（嵌套隧道标记）推入标记栈；PE路由器把基本的标记推入分组，该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳；带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。

----P路由器（LSR）使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时，最外层的标记可能已发生多次改变，而嵌套在内部的标记保持不变。

----当PE收到分组时，它使用内部标记来识别VPN。此后，PE将检查与该VPN相关的路由表，以便决定对分组进行转发所要使用的接口。

----如果在VPN路由表中找不到匹配的条目，PE路由器将检查Internet路由表（如果网络提供者具备这一能力）。如果找不到路由，相应分组将被丢弃。

----VPNIP转发表中包含VPNIP地址所对应的标记，这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址，所以在企业网中，用户可以使用自己的地址体系，这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译（NAT）。通过为每一个VPN使用不同的逻辑转发表，不同的VPN业务将可以被分开。使用BGP协议，交换机可以根据入口选择一个特定的转发表，该转发表可以只列出一个VPN有效目的地址。

----为了建立企业的Extranet，服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。

----安全

方正VPN安全网关 篇3

评选理由：鞭的由来与锏相同，惟戬必双用，鞭则有单双软硬之分，但是现在普遍所见都是软鞭。鞭要求演习者在身法上转折圆活，刚柔合度；步伐轻捷奋迅，与手法紧密配合。软鞭是软硬兼施的兵器，其特点是身械协调性强，演练者强，既要有击打速度，又要体现灵巧的方法。尤其舞动时，上下翻飞，相击作响，如银蛇飞舞，使人眼光撩乱。方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，同时具有VPN客户端和集中管理软件，整个系统采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，可谓软硬兼施，灵活方便。

产品简介：方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，是采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，能满足企业总部和分支之间、企业和合作伙伴之间、移动办公用户和企业之间安全连接的需求，还可作为专线的备份线路。适用于静态地址、动态地址、NAT穿越等各种应用环境。适用于静态地址、动态地址、NAT穿越等各种应用环境，能够满足从大型企业集团到中小型企业、政府机关、行业用户的各种组网要求。

方正VPN系统由三部分组成：VPN安全网关、安全管理中心SecuwayCenter2000和VPN客户端SecuwayClient2000。整个系统采用模块化设计，用户可以根据实际需要灵活配置。对于中小企业，由于VPN设备不多，也可以不采用SecuwayCenter2000，直接采用网关自带的GateAdminPro管理软件进行安装、配置，从而最大限度地节省用户的投资，减少系统的维护量。

方正VPN安全网关特点：

独创的芯片级设计思想

独创的芯片级设计是方正VPN在稳定性、安全性和性能方面得以出色表现的坚实基础。它独特的体系结构消除了传统VPN系统中由于使用通用处理器、通用操作系统而导致的自身安全漏洞、稳定隐患和性能瓶颈，同时依然提供了基于完全状态检测的网络通信安全。

使用超级VPN加速芯片

采用芯片级的设计，极大地提高了自身的可靠性和效率。 使用针对VPN高强度运算优化的超级芯片，VPN通讯速度达到软件模拟的10倍以上。

获得专利的黑区安全体系

可灵活提供了一个安全的监视区域，并提供与其他网络安全技术的联动接口。黑区可帮助管理员对整个网络进行安全监控，能够与众多主流入侵检测系统无缝联动，并联合其他安全产品形成立体网络安全体系。

强大的集中管理功能

利用SecuwayCenter2000安全管理中心可对VPN策略、VPN隧道、VPN客户端进行有效的管理。同时SecuwayCenter2000还是证书分发中心、身份认证中心、日志信息收集和分析中心。通过SecuwayCenter2000对VPN网络进行有效的管理。安全管理中心包括SecuwayCenter2000管理中心、SQLServer 数据库和Radius服务器。

独一无二的自毁保护

提供国际先进理念的物理安全，可保证不因人为的物理损坏而导致策略失效和敏感信息泄密，符合国际和国内标准所规定的安全系统本身高安全性的要求。

多ISP线路接入

浅谈“VPN”的融合 篇4

VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义, 虚拟专用网络我们可以把它理解成是虚拟出来的内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个内部网之间建立一条专有的通讯线路, 就好比是架设了一条专线一样, 但是它并不需要真正的去铺设光缆之类的物理线路。VPN技术原是路由器具有的重要技术之一, 目前在交换机, 防火墙设备或WINDOWS 2003等软件里也都支持VPN功能, 一句话, VPN的核心就是在利用公共网络建立虚拟私有网。

VPN可以帮助远程用户、分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路, 用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2 VPN的特点

2.1 安全保障

虽然实现VPN的技术和方式很多, 但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面, 由于VPN直接构建在公用网上, 实现简单、方便、灵活, 但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改, 并且要防止非法用户对网络资源或私有信息的访问。

2.2 服务质量保证 (QoS)

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面, 构建VPN的另一重要需求是充分有效地利用有限的广域网资源, 为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低, 在流量高峰时引起网络阻塞, 使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略, 可以按照优先级分实现带宽管理, 使得各类数据能够被合理地先后发送, 并预防阻塞的发生。

2.3 可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流, 方便增加新的节点, 支持多种类型的传输媒介, 可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

2.4 可管理性

从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上, VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

3 IPSec VPN与SSL VPN

IPSec VPN基于一种端-对-端的安全模式。这种模式有一个基本前提假设, 就是假定数据通信的传输媒介是不安全的, 因此通信数据必须经过加密, 而掌握加解密方法的只有数据流的发送端和接收端, 两者各自负责相应的数据加解密处理, 而网络中其他只负责转发数据的路由器或主机无须支持IPSec。IPSec VPN结合密码保护服务、安全协议组和动态密钥管理三者来实现保护护IP数据包安全及为抵御网络攻击提供防护措施, 不仅能为局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护, 而且还能用来筛选特定数据流。

SSL VPN即指采用SSL (Security Socket Layer) 协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议, 它包括:服务器认证、客户认证 (可选) 、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说, 使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用, 也可以应用于Outlook等使用TCP协议传输数据的C/S应用。

4 IPSec VPN与SSL VPN的优缺点

从上面可以看出, 在设计上, IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于, 它们尽量提高IP环境的安全性。可问题在于, 部署IPSec需要对基础设施进行重大改造, 以便远程访问。好处就摆在那里, 但管理成本很高。首次登台亮相时, IPSec VPN被认为与其它远程访问解决方案相比有一大优势。

然而, 传统的IPSec VPN出现了两个主要问题:首先, 客户软件带来了人力开销, 而许多公司希望能够避免;其次, 某些安全问题也已暴露出来, 这些问题主要与建立开放式网络层连接有关。

许多专家认为, 就通常的企业高级用户 (Power User) 和LAN-to-LAN连接所需要的直接访问企业网络功能而言, IPSec无可比拟。然而, 典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。因而, 如果需要更全面的、面向基于浏览器应用的访问, 以及面向远程员工、把所有办公室连接起来, IPSec无疑是首选。

而SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比, SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中, 它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

此外, SSL VPN还有其它经常被提到的特性, 包括降低部署成本、减小对日常性支持和管理的需求。此外, 因为所有内外部流量通常都经过单一的硬件设备, 这样就可以控制对资源和URL的访问。

厂商推出这类不需要客户软件的VPN产品后, 用户就能通过与因特网连接的任务设备实现连接, 并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件, 但企业只要管理一种设备, 不必维护、升级及配置客户软件。

因为最终用户避免了携带便携式电脑, 通过与因特网连接的任何设备就能获得访问, SSL更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于, SSL VPN的加密级别通常不如IPSec VPN高。所以, 尽管部署和支持成本比较低, 并且使组织可以为使用台式电脑、便携式电脑或其它方式的员工提供使用电子邮件的功能, 甚至迅速、便捷地为合作伙伴提供访问外联网的功能, 但SSL VPN仍有其缺点。

业内人士认为, 这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言, SSL VPN是很好;但对需要较高安全级别、较为复杂的应用而言, 就需要IPSec VPN。

5 VPN的融合

有业内人士指出, 未来IPSec与SSL VPN可能撷取彼此的好处, 而衍生出兼具两方优点的产品, 如具有强化透通性的SSL VPN, 或是免除客户端安全软件的IPSec VPN。

另外, 随着价格的降低, 如果有需要, 可以考虑在一家公司内同时使用IPSec VPN与SSL VPN, IPSec VPN用于连接各分公司主要部门, 这样可以充分利用IPSec VPN的安全性, 且维护数量不大, 降低了难度。而SSL VPN可以运用在移动办公方面, 发挥其简单易用的特性。

由于IPSEC VPN和SSL VPN有着各自的优缺点, 在解决网间互联和远程安全接入这两个问题的时候, 两都各有优缺点。用户在其自身的住处化发展过程中, 也都将面临这两个问题, 若采用单一的VPN解决方案, 将逐渐暴出其自身的缺点。因而, 在未来一段时间, 除了继续对产品的稳定、安全、速度、管理和易用性等方面进行改进之外, 将IPSEC VPN和SSL VPN 融为一体, 这将是VPN产品的发展方向。

摘要：VPN可以帮助远程用户、分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。未来IPSec与SSL VPN可能撷取彼此的好处, 而衍生出兼具两方优点的产品, 如, 具有强化透通性的SSLVPN, 或是免除客户端安全软件的IPSec VPN。

关键词：IPSec,VPN,SSL,VPN,融合

参考文献

[1]戴宗坤, 唐三平.VPN与网络安全[M].电子工业出版社, 2007.

[2]王达.虚拟专用网 (VPN) 精解[M].清华大学出版社, 2008.

VPN说明书. 篇5

注意事项：

一、若成功登录后，不能正常下载及浏览文件，请首先确认您的计算机上是否已经安装相应的文件浏览器或阅读器；

二、若不能正常安装请查看以下说明：

1、浏览器安全级别太高，请到中或默认级别，或调整以下设置: A、浏览器禁止下载ActiveX控件，设设置允许下载控件；

B、浏览器禁止运行ActiveX控件，设设置允许运行控件；

C、浏览器禁止ActiveX控件执行脚本，设设置允许执行脚本；

2、浏览器插件拦截控件下载，如上网安全助手等，请设置允许下载

3、可浏览器安全中将本页为信任站点

4、浏览器要求使用IE5以上版本

5、本系统支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系统

四、因带宽不足，为提高速度，提高访问效率，请不要在校内使用；不使用时请及时退出系统；10分钟内如不使用本系统，系统将自动断线。

五、如果长时间不能建立隧道，或者不能获取ip地址，请将防火墙和杀毒软件先行关闭或者卸载，成功连接后，再次把防火墙和杀毒软件打开或安装。

建立VPN轻松实现远程协助 篇6

TeamViewer对于PC远程协助就是不错的解决方案，现在它提供的Android与iOS的应用程序就能很好地建立移动设备与PC之间的特殊通道。

首先，在需要远程协助的PC安装TeamViewer软件。安装步骤虽然简单，但是需要用户注意的是，在选择安装类型这一步骤时选择“Yes”建立无人值守，以便用户随时访问远程PC，并注意选择“使用TeamViewer VPN”用来创建安全的VPN远程控制链接。之后程序会自动弹出设置无人值守安装向导，依次设置PC用户名与预定义密码，以后无需在PC端操作即可使用Android或iOS设备远程控制了。

完成安装后，运行TeamViewer即可获得一个远程连接ID，在移动终端连接PC主机时，只需将刚获得的ID与预定义密码输入即可，不用操控PC端获得TeamViewer随机生成的连接密码。

接下来，就在手机或平板电脑中下载并安装移动版的TeamViewer应用。运行应用后，在登录界面中输入远程PC的ID与预设密码，也可以通过“伙伴”功能，直接输入预设的PC用户名与密码连接。

触控“连接至伙伴”按钮，即可看到PC端桌面，可以通过触屏操作来控制鼠标、图标的拖动以及屏幕的缩放，双手指点击可实现鼠标右键功能。

构建便利的VPN网络 篇7

任何一种远程网络访问技术, 不管原因为何, 只要在连接过程中发生了中断, 对于远程用户来说便需要手动重新建立连接, 如此一来, 对于移动工作者而言在许多情况下是相当不方便的。比如, 当您正在使用无线局域网连接Internet, 并用笔记本电脑通过VPN方式连接访问自己公司的内部网络数据, 这时候忽然需要移接到某一层楼的会议室, 并且需要改为使用有线网络来连接Internet时, 根据过去的经验, 在这种情况下目前与自己公司VPN网络的连接肯定是会发生中断的。

如今, 在Windows Server 2008 R2上所提供的RRAS角色服务 (路由及远程访问) , 在结合移动客户端Windows 7的使用下, 提供了VPN Reconnect的连接处理机制, 让暂时性断线的Windows 7移动客户端, 例如从有线的网络切换到无线网络过程中所发生的断线, 系统并不会弹出中断连接的通知, 等到Internet连接恢复之后, 将自动完成与原有企业Windows Server 2008R2的VPN主机连接, 而不需要用户重新自行建立VPN连接, 以及再一次输入相关的身份认证 (域账户与密码或是智能卡的PIN码) 。

注意:对于使用笔记本电脑的人来说, 当关闭了上盖时, 会因进入到睡眠模式而导致连接断开, 这时候将需要手动重新进行连接。

VPN Reconnect技术

VPN Reconnect所采用的IPSec信道模式是IKEv2 (Internet Key Exchange version 2) 协议的加密连接机制, 而IKEv2支持计算机证书以及EAP为主的验证方式。关于这部分的协议说明可以参考RFC 4306, 至于由IKEv2协议提供的移动性 (Mobility) 与多宿主 (Multihoming) 通讯协议 (MOBIKE) 功能, 则可以参考RFC 4555说明。接下来, 让我们来实际做一个VPN Reconnect的测试环境, 来真正感受一下它与其他VPN连接方式的不同之处。

在此, 您需要准备的环境是一部域控制器主机 (DC) , 此主机必须预先将证书授权单位服务器角色安装完毕, 或是在现有域中已经存在。接着, 则是一部准备构建成VPN主机的Windows Server 2008 R2操作系统并且已加入域, 此主机可以是采用双网卡或单网卡, 还有一部作为外部连接访问使用的远程Windows 7计算机。

注意:VPN Reconnect不同于过去其他类型的VPN通道, 例如:PPTP、L2TP/IPSec、SSTP, 它所采用的IPsec Tunnel Mode with IKEv2技术不需要执行在以PPP为基础的通道连接上。

域控制器的准备

首先在域控制器主机的“系统管理工具”菜单中开启“Active Directory用户和计算器”界面, 接着, 建好一个自定义的VPN用户群组, 并且将其中的每一位成员在“拨入”的页面中选取“允许访问”。单击“确定”继续。

虚拟专用网络(VPN)技术 篇8

虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。这种跨越公共互联网络建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。

使用VPN技术可以解决在当今远程通讯量日益增大,企业全国甚至全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。

1 概念

VPN的英文全称是“Virtual Private Network”,顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的内部专线。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个单位内部网之间建立一条专有的通讯线路。

VPN的基本概念:隧道,加密以及认证

· 隧道——隧道是在公网上传递私有数据的一种方式;安全隧道是指在公网上几方之间进行数据传输中,保证数据安全及完整的技术

· 加密——保证数据传输过程中的安全

· 认证——保证VPN通讯方的身份确认及合法

2 虚拟专用网络的基本用途

通过Internet实现远程用户访问,虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。

与使用专线拨打长途连接企业的网络接入服务器(NAS)不同,虚拟专用网络用户首先拨通本地ISP的NAS,然后利用VPN软件或硬件与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络(如图1所示)。

3 隧道技术基础

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。注意隧道技术是指包括数据封装,传输和解包在内的全过程。

隧道所使用的传输网络可以是任何类型的公共互联网络。目前较为成熟的技术包括:

(1) IP网络上的SNA隧道技术

当系统网络结构(SystemNetworkArchitecture)的数据流通过企业IP网络传送时,SNA数据帧将被封装在UDP和IP协议包头中。

(2) IP网络上的NovellNetWareIPX隧道技术

当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地。

(3) 点对点隧道协议(PPTP)

PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。

(4) 第2层隧道协议(L2TP)

L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,帧中继或ATM。

(5) 安全IP(IPSec)隧道模式

IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。

(6) 安全套接层协议SSL

SSL(Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它主要适用于点对点之间的信息传输,是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。

(7) 隧道协议

为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。

隧道协议和基本隧道要求如下:

① 用户验证:第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。

② 令牌卡(Tokencard)支持:通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepassword),加密计算器(cryptographic calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如IPSec协议通过ISAKMP/Oakley公共密钥证书验证。

③ 动态地址分配:第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。

④ 数据压缩:第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。

⑤ 数据加密:第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。

⑥ 密钥管理:作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。

⑦ 多协议支持:第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP,IPX,或NetBEUI等多种协议企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。

4 隧道类型

4.1 自愿隧道(Voluntarytunnel)

用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。

自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立一条新的隧道。因此,一条隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才终止整条隧道。

4.2 强制隧道(Compulsorytunnel)

由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。

因为客户只能使用由FEP创建的隧道,所以称为强制隧道。一旦最初的连接成功,所有客户端的数据流将自动的通过隧道发送。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS(Network Attached Storage:网络附属存储)时,一条隧道将被创建,所有的数据流自动通过该隧道路由。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道,也可以配置FEP基于不同的用户名或目的地创建不同的隧道。

5 高级安全功能

虽然Internet为创建VPN提供了极大的方便,但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击,确保通过公共网络传送的企业数据的安全。对称加密与非对称加密(专用密钥与公用密钥)。

对称加密,或专用密钥(也称做常规加密)由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法,数据加密标准(DES),国际数据加密算法(IDEA)以及Skipjack加密技术都属于对称加密方式。

非对称加密,或公用密钥,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥,任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。

公用密钥加密技术允许对信息进行数字签名。数字签名使用发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后,使用发送方的公用密钥解密数字签名,验证发送方身份。

5.1 证书

使用对称加密时,发送和接收方都使用共享的加密密钥。必须在进行加密通讯之前,完成密钥的分布。使用非对称加密时,发送方使用一个专用密钥加密信息或数字签名,接收方使用公用密钥解密信息。公用密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方,发送方只要保证专用密钥的安全性即可。

5.2 扩展验证协议(EAP)

由于PPP协议只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展,允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两端动态加入验证插件模块。

5.3 交易层安全协议(EAP-TLS)

EAP-TLS是基于公用密钥证书的验证方式。使用EAP-TLS,客户向拨入服务器发送一份用户方证书,同时,服务器把服务器证书发送给客户。用户证书向服务器提供了强大的用户识别信息;服务器证书保证用户已经连接到预期的服务器。用户方证书可以被存放在拨号客户PC中,或存放在外部智能卡。无论那种方式,如果用户不能提供没有一定形式的用户识别信息(PIN号或用户名和口令),就无法访问证书。

5.4 IPSEC

IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。

5.5 协商安全关联(NegotiatedSecurityAssociation)

一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。

5.6 验证包头

通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。

5.7 封装安全包头

为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。

5.8 扩展性

通过使用循环DNS在同属一个安全地带(securityperimeter)的VPN隧道服务器之间进行请求分配,可以实现容余和负荷平衡。一个安全地带只具有一个对外域名,但拥有多个IP地址,负荷可以在所有的IP地址之间进行任意的分配。

5.9 RADIUS

远程验证用户拨入服务(RADIUS)协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便(lightweight)协议。

5.10 记费,审计和报警

为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。

6 结论

如本文所述,虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。

摘要：虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接,并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。

关键词：虚拟专用网络,隧道技术,加解密技术

参考文献

[1]王达,何艳辉,王珂,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.

[2]何宝宏.IP虚拟专用网技术[M].北京:人民邮电出版社,2002.4.

VPN技术及部署模型分析 篇9

关键词：VPN,安全协议,关键技术,部署模型

0 前言

VPN技术实现了内部网信息在公众信息网中的传输,就好像在广域网中为用户建立了一条专线网。VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每一个用户来说,也是“专用”的,这一点是VPN给用户带来的最为明显的变化。

1 VPN概述

1.1 VPN的概念

VPN(Virtual Private Network)即虚拟专用网,是在Internet中建立一条虚拟的专用通道,让分布在不同地点的网络用户能在一个安全、稳定的专用网络通道中相互传递数据信息。V P N采用认证、访问控制、机密性、数据完整性等技术保障数据通过安全的“加密管道”在Internet中传播。[1]

1.2 VPN的类型

根据V P N所起的作用,可以将V P N分为三类:[1,2,3]

1.企业内部虚拟网(Intranet VPN):通过公用网络将总部网络与各个分部网络安全互联,是传统的专线网或其他企业网的扩展或替代形式。

2.企业扩展虚拟网(Extranet VPN):将具有合作关系的几个内联网通过V P N互联,形成一个大的联网区域,使之可共享访问的虚拟专用网络。

3.远程访问虚拟网(Access VPN):实现出差流动员工、远程办公人员和远程小办公室对内部资源的访问。

1.3 VPN特点[2,4,5]

(1)数据加密和身份认证;(2)提供不同的访问控制;(3)用户有不同的访问权限;(4)网络具有很高的安全性;(5)有利益于扩展企业与合作伙伴的关系;(6)可支持新兴多媒体业务;

2 VPN关键技术

2.1 隧道技术

隧道技术(Tunneling)是一种在公用网络之间传递数据的方式[6]。隧道技术是VPN的核心。[7]不同协议的数据帧或包都可以使用隧道传递。隧道是由隧道协议形成的,常用的有第2、3层隧道协议。隧道协议把其它协议的数据帧或包重新封装之后,再由隧道发送。

2.2 密码技术

V P N技术的安全保障主要依靠密码技术实现。其加密算法包括对称加密算法、不对称加密算法两种。对称加密算法是通信双方共享一个密钥,发送方使用该密钥将明文加密为密文,接收方使用相同的密钥将密文解密为明文。不对称加密算法是通信双方各使用一个不同的密钥,一个是只有发送方知道的密钥,另一个则是与之对应的公开密钥。

2.3 身份鉴别和认证技术

V P N基于公共网络进行通信的特点使得对用户身份的鉴别显得极为重要。身份鉴别和认证技术可以辨别数据的真伪,这对于网络数据是尤为重要的。认证协议一般采取的是消息摘要算法,它主要是采用H A S H函数将一段较长的报文通过H A S H函数变换,映射为一段较短的报文摘要。

2.4 QoS技术

通过加密技术及隧道技术,就能建立一个具备安全性、互操作性的V P N。但建立的该VPN是不稳定的,在管理上还不能满足企业的要求,这就需要加入QoS技术。实行QoS技术应该在主机网络中,即VPN所建立的隧道,这样才能建立一条性能优越的隧道。[8]

3 VPN解决方案[9]

3.1 VPN部署模型

部署V P N首先要选定一个V P N隧道终端设备,选择的这个设备主要由V P N隧道端点位置和用于隧道端点设备的功能来决定。

3.1.1 位于边界路由器的V P N终端

位于边界路由器的V P N终端所具有的优点是能够确保V P N流量遵循外部防火墙的策略后才能够达到内部网络,它比较适合外部连接部署。它的缺点是随着业务合作伙伴的增加,路由器上的负荷也随着加解密进出V P N隧道数据包的增加而增加。

如图1所示。

3.1.2 位于企业防火墙的V P N终端

位于企业防火墙的V P N终端能够允许来自不同分支机构对公司内部网络的访问,在这种模型下,远程用户可以直接访问内部网络,而不用进行第二次认证。它的缺点是随着公司分支机构的增加,防火墙的负荷也随着增加。

如图2所示。

3.1.3 位于专用设备的VPN终端

位于专用设备的V P N终端能够允许从分支机构网络直接访问公司内部核心网络,远程用户可以访问提供的所有内部服务。它的缺点是随着更多的公司分支机构接入内部网络,防火墙的负荷也会因为每个V P N需要加密数量的增加而增加。

如图3所示。

3.2 VPN拓扑模型

3.2.1 星状拓扑模型

在星型拓扑结构中,远程分支机构可以安全的与公司总部通信,它的缺点是分支机构间不能通信。星型拓扑结构提供的固有优点是新站点的增加比较容易。

如图4所示。

3.2.2 网状拓扑模型

在网状拓扑模型中,可以全网状或部分网状来部署VPN网络。它的优点是有大量任意目的地的替代路径,缺点有大量的冗余路径。

如图5所示。

3.2.3 中心轮廓拓扑模型

中心轮廓拓扑模型从设计上来,很类似网状拓扑模型,但其最大的不同点是解决了各分支机构间不能通信的缺点。在这个模型中,公司网络做外一个传输节点,它让所有的流量从网络的一个分支结构传输到另一个传输节点。它的缺点是使得整个网络的安全风险加大。

如图6所示。

3.2.4 远程访问拓扑模型

远程访问拓扑模型是建立在中心轮廓拓扑模型基础之上的,它可以为远程用户,移动办公用户等没有静态IP地址的用户提供连接从而保证它们之间的通信。

如图7所示。

4 结语

VPN技术的发展,为企业建设计算机网络提供了一种新的思路,可以通过在公共网络上建立虚拟的链接来传输私有数据。V P N通过隧道技术、数据加密技术以及QoS机制,使得企业不仅极大的降低了企业建设网络的成本,同时也大大提高了网络的安全性,提高了企业运营效率。在网络时代,企业发展取决于是否最大限度地利用网络。V P N将是企业现在乃至未来最佳的选择[10]。

参考文献

[1]袁德明.乔月圆.计算机网络安全[M].电子工业出版社.2007.266-282.

[2]谢怀军.VPN技术透视分析[M].中国金融电脑.2000.10.

[3][美]C arlton R.D avis.IP Sec VPN的安全实施[M].清华大学出版社.2002.

[4]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机.2004.21(11):47～49.

[5]周喜等.VPN现状与在网区中的部署分析[J].计算机应用研究.2003.2.

[6]陈兴刚,孟传良.VPN及其隧道技术研究[J].电脑知识与技术.2008,3(5):879-880.

[7]彭湘凯.VPN及其核心技术[J].成都大学学报(自然科学版),2001,20(1):12～15.

[8]刘建伟,王育民等.网络安全——技术与实践[M].北京.清华大学出版社.2005.472.

[9][美]Mark Lucas,Abhishek Singh,Chris Cantrell编著.谢琳,赵俐等译.防火墙策略与VPN配置[M].中国水利水电出版社.2008.136～170.

VPN技术的浅析与比较 篇10

利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual private network)。它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网络,也可以说虚拟专用网是一种逻辑上的专用网络[1]。“虚拟”表明它在构成上有别于实在的物理网路,但对使用者来说,在功能上则与实在的专用网完全相同。

VPN技术发展至今,先后出现了基于电话网(基于传统电路交换的电话网)的VPN、基于传统TCP/IP网络的VPN以及基于MPLS网络的VPN等技术。

1 基于电话网的VPN技术

电话网中的VPN技术是指通过公共电话网络资源提供给用户专用电话网的功能,使具有这项业务的用户具有在同一个程控交换机的功能,比如专用编号方案、呼叫等待、呼叫保持、网内通信等等。电话网中的VPN技术主要应用于话音业务。

1.1 业务需求

电话网中的VPN技术目前已得到广泛应用。目前运营商大力推广的集团用户业务是基于电话网的VPN技术的一个典型应用。通过VPN技术在现有电话网上建立一个逻辑话路专用网,将集团内部的固定电话用户编制成一个虚拟专用网,其中的每一个用户均可以使用短号码互相呼叫并享受网内用户本地通话的优惠,实现集团用户间便捷、智能沟通。

1.2 安全性

电话网基于电路交换技术,基于电话网的VPN在提供语音电话服务的过程中通过公共交换电话网(PSTN)实现电路交换过程[2],当连接建立后在用户通话期间提供一条专用的物理路径,该路径专用于通话双方间的连接。这条专用的物理路径使通话的安全性能够得到充分的保障。

1.3 可靠性

目前电话网中的核心设备程控数字交换机一般采用大规模集成电路或专用集成电路,并通常采用冗余技术。此外程控交换机能借助于故障诊断技术对故障自动地进行检测和定位,从而能够及时地发现和排除故障。因此基于电话网的VPN具有很高的可靠性。

1.4 可扩展性

电话网一般具有简单而方便的扩容能力。电话交换系统一般采用模块化的硬件和软件设计,这样可以做到在增加模块的情况下,实现简单而方便的系统扩容。因此基于电话网的VPN的扩容可以通过增加硬件和软件模块来实现,有些情况下甚至只需要改变软件配置就可以实现。

1.5 Qo S保障

Qo S的英文全称为“Quality of service”,中文名为“服务质量”。由于电话网是基于电路交换的,当电路连接建立后就保证或者说确定了Qo S。因此基于电话网的VPN能够提供一种严格的、有保证的Qo S保障。

2 基于传统TCP/IP网络的VPN技术

在传统TCP/IP网络上建立的虚拟专用网(以下简称IP VPN)主要是指通过共享的TCP/IP网络(通常是Internet)建立一条安全稳定的通路,它可以使远程用户、公司分支机构、公司的合作伙伴和企业内部的网络建立安全可靠的连接,并且能够进行安全可靠的数据通信。如图1所示。

对于IP VPN来说,网络隧道(Tunneling)技术是个关键技术。目前有两种类型的隧道协议:二层隧道协议,用于传输二层(七层OSI协议中的数据链路层)网络协议;三层隧道协议,用于传输三层(七层OSI协议中的网络层)网络协议。

二层隧道协议主要有三种:PPTP(Point to point tunneling protocol,点对点隧道协议)、L2F(Layer 2 Forwarding,二层转发协议)和L2TP(Layer 2 Tunneling Protocol,二层隧道协议)。其中L2TP结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持,是目前使用最广泛的VPN二层隧道协议。

三层隧道协议目前应用得最广泛的是IPSec(IP Security)[3]。IPSec是一组开放协议的总称,特定的通信方之间在网络层通过加密与数据源验证,以保证数据包在网上传输时的私有性、完整性和真实性。

2.1 业务需求

IP VPN一般是应用于企业内部网络扩张的一种方案,IP VPN技术的出现能使企业节省大量建设专用通信网的费用,大大利用了现有的网络资源,并且利于维护和管理,便于扩充业务。

随着IP VPN的兴起,用户和运营商都将目光转向了这种极具竞争力和市场前景的VPN。对用户而言,IP VPN可以非常方便地替代租用线路来连接计算机或局域网,同时还可以提供租用线的备份、冗余和峰值负载分担等,大大降低了成本;对服务提供商而言,IP VPN则是其扩大业务范围、保持竞争力和客户忠诚度、降低成本和增加利润的重要手段。

2.2 安全性

目前主流IP VPN上安全的远程访问通信是由L2TP和IPSec结合在一起实现的。这两者彼此分工协作,L2TP协议专用来建立数据传输的隧道,而IPSec协议则专门用来保护数据,为数据传输提供安全加密措施[4]。这一方式之所以成功,主要归功于IPSec这一安全技术。

IPSec工作在7层OSI协议中的网络层,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间、网络安全网关之间或主机与网关之间。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。

IPSec的主要工作有数据验证、数据完整和信任。数据验证主要确保接收的数据与发出的数据相同,并且确保发送数据者的真实性;数据完整主要确保数据在传输过程中没有被篡改;信任主要确认通信双方的相互信任关系,防止冒名者的通信,通常使用加密来确立信任。

IPSec安全体系包括以下三个基本协议:

身份认证报头协议(AH):AH协议提供信息源验证和完整性保证,它通过在数据包头加入“数字签名”对用户进行认证。AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。

安全加载封装协议(ESP):ESP提供加密机制,通过对数据包的全部数据和加载内容进行安全加密,严格保证传输信息的机密性。目前最主要的ESP标准是数据加密标准(DES)。

密钥管理协议(ISAKMP):ISAKMP提供双方交流时的共享安全信息。它包括密钥确定和密钥分发两个方面。密钥管理包括手工和自动两种方式。

2.3 可靠性

IP VPN构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故IP VPN可靠而稳定地运行是建立VPN时必需考虑的问题。

目前主流的IP VPN是基于INTERNET构建的,因此它的可靠性依赖于两个方面:线路的可靠性和设备的稳定性。从设备可靠性来看,目前IP VPN技术已经相当成熟,很多产品的运行都能够非常稳定可靠。从线路的可靠性来看,目前Internet的接入已经非常普及,由于长期的投入建设,整个Internet线路质量已经达到了很高的水平,不仅带宽有保证,而且提供的接入方式多样。一旦某一条线路出错,可以使用其他备份线路接入Internet。由于随时可以使用其他线路作备份,因此系统具有很强的容错能力。

2.4 可扩展性

IP VPN利用Internet的资源,可以非常方便地在全球范围内,组建企业的虚拟专网,不需要改变服务提供商任何网络结构就可以完成相应服务的配置。但是IP VPN在部署时,要考虑网络的拓扑结构,大规模部署需要制定相应计划并且协同解决关键分支机构、关键管理和对等配置等各个方面出现的问题。如果增添新的设备,往往要改变网络结构,那么IP VPN就要重新部署,因此造成IP VPN的可扩展性比较差,并且组建及维护成本较高。

2.5 Qo S保障

IP VPN利用了Internet的资源建立虚拟专用网,随着计算机网络的高速发展,人们对网络的要求也越来越高。越来越多地对带宽、延迟与抖动敏感的、实时性强的语音、图象等重要数据需要在IP VPN上传输,因此对网络的能力和资源要求也越来越高,同时引入了如何保证服务质量(Qo S)的问题。解决这个问题的一个途径是增加网络的带宽,但带宽增加毕竟是有限的,而且代价昂贵,它只能在一定程度上缓解这个问题。保证服务质量的另一种有效的手段是通过拥塞管理、拥塞避免、流量整形等策略对网络上的流量进行管理,以解决不断增长的流量需求带来的问题。

以拥塞管理为例,当发生拥塞时,可以采取一定的策略对报文进行调度,决定哪些报文可以优先发送、哪些报文可以被丢弃,这种管理策略叫做拥塞管理。拥塞管理可通过以下几种队列调度方法来实现:先进先出队列(FIFO,First in first out queueing)、优先队列(PQ,Priority queueing)、定制队列(CQ,Custom queueing)等。

3 基于MPLS网络的VPN技术

MPLS(Multi-protocol Label Switching,多协议标记交换)属于第三代网络架构,是新一代的高速网络交换标准[5],由IETF(Internet engineering task force)所提出,由Cisco,ASCEND,3Com等网络设备公司所主导。它吸收了ATM的VPI/VCI交换的一些思想,无缝地继承了IP路由技术的灵活性和二层交换的简捷性,在面向无连接的IP网络中增加了MPLS这种面向连接的属性。通过采用MPLS建立“虚连接”的方法,为IP网络增加了一些管理和运营的手段。在解决企业互联,提供各种新业务方面,MPLS VPN越来越被运营商看好,成为网络运营商提供增值业务的重要手段[6]。

MPLS VPN的基本组成如图2所示。

MPLS VPN的基本构成单元是MPLS核心路由器LSR,由LSR构成的网络称为MPLS域。位于MPLS域边缘、连接其它用户网络的LSR称为边缘LSR(LER,Labeled edge router),域内部的LSR称为核心LSR。LSR之间使用MPLS技术进行通信,MPLS域的边缘由LER与传统IP技术进行适配。在MPLS域中,通过MPLS信令(LDP,Label distribute protocol,标签分配协议)建立好MPLS标记交换通道(Label switched path,LSP),数据沿着LSP传送,其中的入口LER称为Ingress,出口称为Egress,中间的节点则称为Transit。数据转发时,在入口LER对IP包进行分类,根据分类结果选择相应的LSP,打上相应的标记,中间路由器在收到MPLS报文以后直接根据MPLS报头的标记进行转发,而不用再通过IP报文头的IP地址查找。在LSP出口LER,去掉MPLS标签,还原为IP包。

由MPLS VPN的基本组成可以看出,MPLS可以看做是一种面向连接的技术,它的运作原理是为每个IP数据包提供一个标记,并由此决定数据包的路径及优先级。因为在将数据包转发的过程中,仅需读取数据包标记,无需读取每个数据包的IP地址和标头,所以数据包传输的延迟被大大减小,网络速度自然就快了很多。同时由于可以对所传送的数据包加以分级,因而能大幅度提升网络质量,并可提供更多样化的服务。

3.1 业务需求

MPLS VPN适用于具有以下明显特征的企业:高效运作、商务活动频繁、数据通信量大、对网络依靠程度高、有较多分支机构,如网络公司、IT公司、金融业、贸易行业、新闻机构等,这类企业网的节点数较多,通常将达到几十个以上。而像城域网这样的网络环境,业务类型多样、业务流向流量不确定,也特别适合使用MPLS。目前,许多大的VPN网络设备供应商都已把注意力转移到支持MPLS VPN技术的设备开发上。

3.2 安全性

为了保证数据传输的安全性,MPLS VPN技术采用的主要手段如下:

(1)地址空间和路由独立

在MPLS VPN中,不同的VPN之间,地址空间是完全独立的,这样就保证了某一VPN中的数据包不至于到达其他VPN中具有同样地址的主机。

(2)隐藏MPLS核心结构

MPLS VPN不会暴露任何不必要的信息给外界,包括其VPN用户,这样将使网络攻击变得十分艰难。

(3)攻击防范

在设计MPLS VPN和配置路由协议时充分考虑被攻击的可能性,并采取措施降低这种风险。

(4)防火墙技术

一个封闭的MPLS VPN具有内在的安全性,因为它不同Public Internet相连。如果需要访问Internet,则可以建立一个通道,在该通道上,可放置一个防火墙,这样就可对整个VPN提供安全的连接。

但是MPLS VPN技术没有解决所有共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部攻击等安全问题[7]。例如在MPLS VPN传递数据时,只是标记了端点路由,对数据本身并不提供加密的防护手段。

3.3 可靠性

MPLS VPN的可靠性主要靠资源的冗余度来实现。由于全球基于互联网的基础设施非常发达,因此依托它来开展MPLS VPN业务,自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时,MPLS VPN的流量与普通互联网流量一起迂回到其他链路上,这一过程完全自动完成,对用户完全透明。

此外MPLS VPN的可靠性还依赖于设备的可靠性。几乎业界所有网络设备厂商和技术专家都参与了MPLS技术标准的制定工作,越来越多的厂商都有了MPLS VPN相关的设备,设备的可靠性也能够得到保证。

3.4 可扩展性

MPLS VPN一般由服务提供商配置,由于不需要点对点的对等性,因而在增加节点和客户数量方面具有高度的可扩展性。典型的MPLS-VPN能够支持在同一网络上部署上万个VPN组;另一方面,在同一VPN中的用户节点数不受限制,容易扩充,并可以实现任何节点与任意其它节点的直接通信。MPLS VPN可以非常容易地配置来适应公司的增长和变更,例如,当一个新的站点被增加到VPN时,仅仅需要建立在新站点和提供者边界之间的本地对等,并不需要在其他的现存站点重新配置,赢得了重要的优化成本节约[8]。

3.5 Qo S保障

MPLS VPN上的Qo S保障主要靠流量工程技术来实现。优秀的MPLS VPN实现方案可以提供可伸缩的、稳固的Qo S机制,从而令服务提供商可以提供具有保证的MPLS VPN服务。

流量工程是一种Qo S机制,因为影响网络Qo S的最主要原因就是网络存在拥塞,在一个没有拥塞的网络中,Qo S是可以得到很好的保证的。而流量工程的作用就是调配网络流量,使流量能够避开网络拥塞点,从而达到均衡网络流量,减少网络拥塞的作用。

MPLS流量工程就是在网络中建立LSP(标记交换通道)时,用对网络流量进行调度的方法实现网络流量的均衡。通常在网络中有一些链路饱满甚至超负荷,另一些链路却流量较少,在建立LSP的时候,绕开负荷较大的链路,选择负荷较小的链路,把流量转到负荷较小的链路,从而达到平衡网络流量的目的。

4 三种VPN技术的综合比较

上文已经分别对基于电话网的VPN技术、基于传统TCP/IP网络的VPN技术和基于MPLS网络的VPN技术进行了阐述。下面将对三种VPN技术进行综合比较,详见表1。

5 结束语

无论是何种类型的VPN,他们的中心思想是一定的:利用现有的公共网络资源,通过一定方法建立专用网,即“公网专用”,同时这个网络是逻辑上的,不是实际的物理网络,但是这种网络的功能和实际物理上的专用网没有什么不同,即“虚网实用”[10]。三种类型的VPN技术中,基于电话网络的VPN技术主要用于话音业务,基于传统TCP/IP网络的VPN技术和基于MPLS网络的VPN技术主要用于数据业务,后两种VPN技术各有优缺点。随着技术的发展,目前在MPLS VPN上也可以采用IPSec技术,从而使其安全性得到了充分的保证。

参考文献

[1]Antonio Liotta,Daniel H.Tyrode-Goilo,Adetola Oredope.Open Source Mobile VPNs over Converged All-IP Networks[J].Jour nal of Network and Systems Management,2008(2):163-181.

[2]Deep Medhi.Routing Management in the PSTN and the Inter net:A Historical Perspective[J].Journal of Network and Systems Management,2007,(4).

[3]Heesook Choi,Hui Song,Guohong Cao et al.Mobile multi-lay ered IPsec[J].Wireless Networks,2008(6).

[4]Khaled Masmoudi,Hossam Afifi.Building identity-based securi ty associations for provider-provisioned virtual private networks[J].Telecommunication Systems,2008(3):215-222.

[5]肖阳,王颖,段慧良,等.基于MPLS-VPN平台的QoS解决方案研究[J].计算技术与自动化,2009,28(1):116-117.

[6]王达,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004:56.

[7]Sahel Alouneh,Abdeslam En-Nouaary,Anjali Agarwal.MPLS se curity:an approach for unicast and multicast environments[J].annals of telecommunications,2009(5).

[8]陈定国,郭雪梅.三种IP VPN技术实现方案的比较研究[J].经济与管理,2007(2):78.