VPN就是在公司網中形成企業(yè)專用的鏈路。為了形成這樣的鏈路,采用了所謂的"隧道"技術。可以模仿點對點連接技術,依靠Internet服務提供商(ISP)和其它的網絡服務提供商(NSP)在公用網中建立自己專用的"隧道",讓數據包通過這條隧道傳輸。對于不同的信息來源,可分別給它們開出不同的隧道。于是,兼容性問題、不同的服務質量要求、以及其它的麻煩都迎刃而解。
在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務,例如:(1)配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機;(2)分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器;(3)網絡服務提供商站點中的有VPN能力的訪問集中器。
虛擬專網本質上是將多媒體通信網用做"公用數據網",通過公共的多媒體通信網加密傳輸專用數據流量。虛擬網絡用戶在安全性可得到完全保證的前提下,均可通過當地的電話或租用線路服務建立聯系,而不必租用長途線路,大大節(jié)省了通信費用。
虛擬專網能夠連接各機構的所有辦公室、遠程工作人員、移動員工,甚至于全國范圍的客戶和供應商。虛擬專網減少了設備需求及網絡維護責任,能夠為用戶節(jié)省大量的開支。無論是基于撥號接入還是基于專線接入的用戶,虛擬專網均適用。
在VPN中,PPP數據包流是由一個LAN上的路由器發(fā)出,通過共享IP網絡上的隧道進行傳輸,再到達另一個LAN上的路由器。隧道代替了實實在在的專用線路。
IP-VPN的分類:
IP-VPN
撥號 客戶端發(fā)起
NAS(訪問服務器發(fā)起)
專線 IP隧道 安全驗證設備
路由器
VC(虛電路) X.25,FR,ATM
VPN Aware Networks
VPN有以下幾方面好處:
降低成本
借助ISP來建立VPN,就可以節(jié)省大量的通信費用。此外,VPN還使企業(yè)不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備。這些工作都由ISP負責完成。
容易擴展
如果用戶想擴大VPN的容量和覆蓋范圍。統(tǒng)計局需做的事情很少,而且能立時實現:企業(yè)只需與新的ISP簽約,建立賬戶;或者與原有的ISP重簽合約,擴大服務范圍。在遠程辦公室增加VPN能力也很簡單:通過配置命令就可以使Extranet路由器擁有Internet和VPN能力,路由器還能對工作站自動進行配置。
可隨意與合作伙伴聯網
用戶如果想與合作伙伴聯網,如果沒有VPN,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路,有了VPN之后,這種協商也毫無必要,真正達到了要連就連、要斷就斷。
完全控制主動權
VPN使用戶可以利用ISP的設施和服務,同時又完全掌握著自己網絡的控制權。比方說,用戶可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。
建立在山東省公眾多媒體通信網上的虛擬專網,隨著省網二期擴容的開展和ATM寬帶業(yè)務網的建設,其網絡性能將得到不斷的提高。我公司在VPN的組網方面有著豐富的經驗,為廣大用戶提供豐富地、靈活地組網方式。現已完成的虛擬網項目有:
山東省證券公司虛擬專用網
山東省統(tǒng)計局虛擬專用網
微軟的VPN解決方案
微軟虛擬專用網使用點到點通道協議(PPTP)構造跨越因特網的低成本、安全保密的遠程訪問解決方案。其易于實現且具有下列好處:
支持所有主要的網絡協議。
允許繼續(xù)使用現有網絡。
允許繼續(xù)使用現有的通訊方式。
提供流控制。
支持開放的工業(yè)標準。
支持目前市場占有率最高的Windows NT Server/Workstation、和Windows95。
支持所有主要的網絡協議
虛擬專用網支持所有主要的網絡協議,包括TCP/IP、IPX/SPX和NetBEUI。多協議虛擬專用網使得遠程終端用戶能夠跨越因特網訪問異構的網絡。微軟的虛擬專用網允許用戶使用普通模擬調制解調器、X.25設備和其它連接方式,通過本地撥號入網,從而節(jié)省了長途電話連接的費用。虛擬專用網可通過任何類型的網絡,包括Windows NT的遠程訪問服務器、基于IPX的NetWare服務器和NetBEUI環(huán)境。因為虛擬專用網多種網絡協議,所以用戶能在不同的網絡上保持PPTP的優(yōu)點。
允許繼續(xù)使用現有的網絡地址
虛擬專用網不需要改變現有網絡地址方案,這特別適合那些已經實施內部網絡的企業(yè),這樣不必使用標準的因特網編址,無須重編內部網絡地址,只需設置遠程訪問服務就可互聯企業(yè)網絡,極大地方便了網絡管理。因為PPTP使用封裝的方式,隱含了非標準的地址,所以虛擬專用網允許企業(yè)使用非標準的IP和IPX地址。
提供流控制
流控制作用在客戶和服務器之間的數據路徑上。如果沒有流控制,當傳輸出現問題時,客戶端會持續(xù)發(fā)送數據包從而導致服務器端的負載,由于數據包的重復發(fā)送會導致性能的降低。流控制允許服務器端通知客戶端停止工作并在資源可用時重發(fā)數據包。流控制同時減少了網絡擁塞,消除了不必要的數據包重發(fā)。使用開放的工業(yè)標準微軟的虛擬專用網基于PPTP,目前是IETF的草案標準,不僅可用于基于Windows的系統(tǒng),還可實施于異構的環(huán)境中。任何PPP客戶機(包括UNIX和Macintosh)、服務器和其它遠程訪問系統(tǒng)均可使用PPP。
CISCO的VPN解決方案
IP虛擬專用網(IP-VPN)是指因特網服務提供商(ISP)可以提供的以IP骨干網為基礎的一系列服務。一個最終用戶采用IP-VPN的服務,就可以在多個地點之間傳送IP數據包,同時得到一定程度的服務質量保證和安全保證,就像自己的內部網一樣。訪問國際互聯網也使這種服務的一部分。CISCO的IP-VPN解決方案擴充了INTERNET的能力,同時其提供的增值服務也可以豐富IP-VPN的應用。包括加密服務,不同形式的數據優(yōu)先處理以及主機代管、協同工作和多媒體服務等基于服務器的應用。數據優(yōu)先處理可以允許最終用戶對網絡資源得到比傳統(tǒng)的廣域網更好的控制。在資源比較缺乏的時候(低帶寬鏈路),那些重要的和對延遲敏感的數據包可以得到特別的對待,而其他低優(yōu)先級的數據包則被限制在剩余的帶寬內。
從經濟的角度上說,CISCO的IP-VPN解決方案除了給用戶組網節(jié)省了大量的費用,同時也帶來其他好處,包括縮短建設周期以及維護的時間,并且可以很快的完成在多點之間的移動、增加和改動。CISCO的IP-VPN解決方案十分靈活多樣,包括兩種基于撥號的,兩種基于專線的,和一種基于標記交換的,可以滿足不同的用戶需求。
解決方案1
由用戶端建立的撥號IP-VPN
首先,遠程客戶撥號進入一個本地接入點(POP)。然后運行一個支持IPSec的客戶端軟件,與公司內聯網中的一臺PIX防火墻建立一條加密的隧道,這樣就可以安全地訪問防火墻內的主機了。
優(yōu)勢:訪問服務器不參與IP-VPN,客戶可以同時訪問互聯網和內聯網。
限制:客戶端軟件必須是指定的支持IPSec的產品
隧道對于ISP是完全透明的,用戶無法得到ISP的增值服務。
IP地址由ISP分配,不能采用內部地址。
解決方案2
由訪問服務器建立的撥號IP-VPN
采用AS5X00訪問服務器(NAS),通過L2F或L2TP協議,由NAS建立一條安全隧道到的內聯網網關,該網關負責身份認證和IP地址分配,遠程客戶就像直接聯到內聯網一樣。
優(yōu)勢:遠程用戶端不需要特別的軟件。
ISP可以提供高檔次的撥號IP-VPN服務。
IP地址可以采用的內聯網的內部地址,不占用ISP的地址空間。
限制:該方式不適合在國際互聯網上采用
解決方案3
IPSec IP 隧道的專線IP-VPN
任何聯臺支持IPSec的設備之間都可以建立一條加密隧道,支持IPSec的設備包括運行IPSec軟件的客戶機、路由器、防火墻和服務器。
優(yōu)勢:方便、快捷,無需改變ISP的網絡
安全、可靠、性能高
ISP可以對隧道提供高級的IP服務
解決方案4(推薦)
GRE IP 隧道的專線IP-VPN
GRE 隧道是基于RFC1701和RFC1702的標準IP-VPN方案。它的做法是將IP數據包加上GRE頭,封裝在IP數據包內。在路由器看來GRE隧道是一個點到點端口,它可以被加密。ISP可以對GRE隧道提供QoS服務,但這個隧道的兩端必須在同一個ISP的網絡內。推薦用戶采用此方式。
優(yōu)勢:用戶自己定義內部的IP地址
ISP可以提供針對應用層的IP QoS服務。
與媒體無關,CISCO IOS都支持
限制:只能在一個ISP網絡內
解決方案5
基于MPLS的內嵌VPN網絡
在整個網絡上運行MPLS,每一個IP-VPN都有一個VPN-ID,通過TDP將不同的VPN-ID映射到不同的TAG上,這樣VPN的信息就內嵌在MPLS網絡中。
優(yōu)勢:TAG-VPN是無連接的,無需定義隧道。
與MPLS一樣具有良好的網絡擴展性和增值服務擴展性。
在ISP網絡中可以"看見"VPN,可以為每個VPN提供增值服務
容易增加VPN和簡化管理
IP QoS和流量管理隨MPLS與生具有
