VPN在企业的实际应用与实现Word文档下载推荐.docx
《VPN在企业的实际应用与实现Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《VPN在企业的实际应用与实现Word文档下载推荐.docx(23页珍藏版)》请在冰豆网上搜索。
虚拟"
的。
不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"
通道"
,它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。
本文阐述了VPN及其实现的主要技术――隧道。
探讨了VPN的产生背景及其能够实现的功能,VPN利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道,用户认证,访问控制等技术实现与专用网络类似的安全性能;
分析了实现VPN的隧道技术和隧道协议,并着重分析了第二层隧道协议实现原理;
然后对各种协议做了比较;
最后列出了两种VPN实现的方法并给出了企业内VPN的方案。
关键词VPN,企业网,L2TP,隧道
TheapplicationandrealizationofVPNincorporationnet
AbstractTheVirtualPrivateNetworkbriefnameVPN,isinrecentyearsalongwiththeInternetextensiveapplicationbutakindofnewtechniquethatdevelopquickly,itincludestheshareorpublicnetworkchainsofthesimilarInternettoconnect.PassVPNcanwiththeemulationpointtopointtheappropriationchaintoconnectofwaypasstheshareorpublicnetworksattwoofthepedestalcalculatorssendoutthedata.Ifsayagainalittlebitandpopular,theVPNis"
circuitinthecircuit"
actually,typeinthecity"
Mr.handsovertheappropriationline"
ofthebigway,differentis,isnotaphysicsfrom"
circuit"
thattheVPNconstituteexistent,butimitateoutthroughthetechniquemeans,is"
conjecture"
of.However,thiskindofvirtualappropriationnetworktechniquecanbuildupalogicalappropriation"
passage"
fortwopedestalcalculatorsinaMr.usecircuit,ithastokeepsecretandbefreefromtheinterferencegoodly,makingthebothpartiesbeabletocarryontheorderoffreedombutsafetytopayattentiontotowardsorderingtheconjunction,sodrivenetworkthemanagingpersonsverybroadly.ThisarticlepresentsVPNanditsmainimplementingtechnologythatistheTunnelTechnology.First,thepaperanalysestheemergingbackgroundandthefunctionsitcanrealizeoftheVPN.VPNusesthefallibleInternetasitsinformationtransportmedia,throughtheadditionalsecuretunnel,authentication,accesscontrolandothertechnology,itcanachievethesamesafefuctionsasprivatenetwork;
andthentheacticleproposestheTunnelTechnologyandTunnelprotocolrealizingVPN,anditanalysestherealizingprinciplesoflayertwoprotocolsandthenitgivesacomparationbetweentheprotocols,includingrealizingdifficulty,performanceandsoon.Atlast,weshowtwowaysofVPNrealizationandthenshowtheprojectofVPNinthecorporationnet.
ThekeywordVPN,thecorporationnet,L2TP,Tunnel
第一章绪论
随着全球经济一体化VPN目前已成为全社会的信息基础设施,企业端应用也大多基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的虚拟专用网业务获得了极大的增长空间。
在国内,虚拟专用网也得到迅猛的发展。
由于VPN传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
本论文只介绍隧道协议以及VPN的组建部分,身份验证机制将不在讨论范围。
在企业,许多信息只能通过企业内的网络共享(如生产管理的一些数据库,企业内的协同办公系统),如果走出企业范围就无法访问。
如何让企业的资源不被外人轻易得到而又使有资格访问的人获得方便呢?
VPN的实现可以轻易解决这些问题。
具体怎么实现我们将在以后章节介绍,下面我们开始介绍VPN的一些概念和协议。
第二章VPN概述
2.1VPN简介
虚拟专用网(VirtualPrivateNetwork,VPN)是一种"
基于公共数据网,给用户一种直接连接到私人局域网感觉的服务"
。
VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:
(1)企业各部门与远程分支之间的IntranetVPN;
(2)企业网与远程(移动)雇员之间的远程访问(RemoteAccess)VPN;
(3)企业与合作伙伴、客户、供应商之间的ExtranetVPN。
图1一个VPN网络
2.2VPN的优点
◆降低费用
首先远程用户可以通过向当地的ISP申请账户登陆到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;
其次企业可以节省购买和维护通讯设备的费用。
◆增强安全性
◆VPN通过使用点到点协议用户级身份验证的方法进行验证,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
◆高度灵活性
用户不论是在家中、在出差途中、或是在其他任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。
既不受地域限制,也不受接入方式限制。
◆带宽
用户可以选择使用本地服务供应商所能够提供的任何宽带接入技术,不论是ADSL、CableModem,还是在信息化小区或酒店中使用以太网接入。
◆网络协议支持
VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议,网络中的客户机都可以很容易得使用VPN。
这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
◆IP地址安全
因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到VPN使用的协议。
因此,利用Internet作为传输载体,采用VPN技术,实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。
2.3VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,QoS技术对VPN的实现也很重要。
◆隧道技术
隧道技术简单的说就是:
原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。
目前实现隧道技术的有一般路由封装(GenericRoutingEncapsulation,GRE)L2TP和PPTP。
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。
例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放入隧道中。
当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。
GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。
然而也有一些实现允许点到多点,即一个源地址对多个终地址。
这时候就要和下一跳路由协议(Next-HopRoutingProtocol,NHRP)结合使用。
NHRP主要是为了在路由之间建立捷径。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。
但是在远程访问VPN中,多数用户是采用拨号上网。
这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F(Layer2Forwarding)和PPTP的结合。
但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行。
隧道的建立有两种方式即:
"
用户初始化"
隧道和"
NAS初始化"
(NetworkAccessServer)隧道。
前者一般指"
主动"
隧道,后者指"
强制"
隧道。
隧道是用户为某种特定目的的请求建立的,而"
隧道则是在没有任何来自用户的动作以及选择的情况下建立的。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。
L2TP比PPTP更安全,因为L2TP接入