VPN解决方案的研究Word格式.docx
《VPN解决方案的研究Word格式.docx》由会员分享,可在线阅读,更多相关《VPN解决方案的研究Word格式.docx(9页珍藏版)》请在冰豆网上搜索。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
针对不同的用户要求,VPN有三种解决方案:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
VPN网关是实现局域网(LAN)到局域网连接的设备。
从字面上我们就能够知道它可以实现两大功能:
VPN和网关。
广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。
目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
1、VPN的原理
VPN的基本思想很容易理解,假设公司有两个网络,相距很远,要用VPN连接,由两个VPN设备建立专用通道,数据传输过程如下图所示:
(1)主机A建立分组,将其IP地址作为源地址,将主机B的IP地址作为目标地址,将分组发送到VPN设备1,通常是网关。
(2)分组到达VPN设备1,VPN设备1在分组中增加一新头。
在此分组中,将分组的源IP地址写为自己的IP地址V1,目标地址写为对等VPN设备2的IP地址V2,然后发送。
(3)分组通过Internet到达VPN设备2,VPN设备2能够识别新增的头部,对其进行拆除,从而得到第1步由主机A生成的原分组,然后根据分组的IP地址信息,进行正常的转发。
2.VPN的分类
根据网络类型的差异,IPVPN可分为两种类型:
Client-LAN和LAN-LAN类型。
(1)Client-LAN类型的VPN也称为AccessVPN,即远程访问方式的VPN。
它提供了一种安全的远程访问手段,例如,出差在外的员工,有远程办公需要的分支机构,都可以利用这种类型的VPN,实现对企业内部网络资源进行安全的远程访问
(2)LAN-LAN类型的VPN
为了在不同局域网之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,可以采用LAN-LAN类型的VPN。
而采用LAN-LAN类型的VPN,可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接,再利用VPN的隧道协议实现安全保密需要,就可以满足公司总部与分支机构以及合作企业间的安全网络连接。
2、VPN系统简介
接入范围:
不管是国内或者国外,只要能通过某种方式接入Internet就可以使用VPN组网。
如ADSL、ISDN或者拨号方式接入Internet。
其它宽带接入方式。
接入设备:
对于企业总部或者分部在原有Internet接入的基础上根据需要增加SnapGearVPN设备,对于家庭或者移动办公的个人,可以使用相应的SnapGearVPN设备,也可以使用VPN软件。
3、VPN的特点:
在实际应用中,用户需要的是什么样的VPN呢?
一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;
而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;
对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;
而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
先进的硬件VPN设备:
采用SnapGear硬件VPN设备,处理能力强大,节点可定义、可管理,可以远程Telnet。
节点可定义性、防火墙可管理,可以远程Telnet。
VPN的连接是网状的,各点之间可以自由通讯,所以可以提供VOIP、视频会议、文件共享等功能。
具有IPSEC128位3DES256位AES专业加密算法,可以用于企业、政府、证券、银行等部门行业。
产品系列完整:
提供多种型号,适应从家庭到小、中、大型企业的不同需求。
5.硬件VPN和软件VPN的差异
总体来说:
软件具有可扩展性强,容易升级的特点,但缺点也很明显,维护麻烦,需专门的技术人员进行管理,出现问题时需专业人员上门解决,服务器容易感染病毒,造成业务中断,并且加密级别不及纯硬件VPN设备。
4.利用VPN可以做什么
连接企业内部网络计算机
在企业的内部网络中,考虑到一些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。
这样做虽然保护了部门的重要信息,但是由于物理上的中断,使其他部门的用户无法,造成通讯上的困难。
采用VPN方案,通过使用一台VPN服务器既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。
路由器虽然也能够实现网络之间的互联,但是并不能对流向敏感网络的数据进行限制。
使用VPN服务器,但是企业网络管理人员通过使用VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。
此外,可以对所有VPN数据进行加密,从而确保数据的安全性。
没有访问权利的用户无法看到部门的局域网络。
5.实施方案
一、用户背景
XX公司是一家大型连锁公司,公司在各处均有连锁店,由于公司业务发展需要,实现各地分点网吧业务数据的整合。
但同时由于总公司与各分点之间数据传送要通过Internet传送,所以对数据要求安全且可靠地传送。
实现帐号统一管理,收费集中处理,故选用某软件公司提供的ERP管理软件进行集中管理.
二、设计方案要点
实施ERP系统的网络硬件要求:
*在实施ERP的数据流中,有很多数据是需要保密传输的
*在实施ERP的数据流中,有很多数据是需要稳定传输的
公司不可能在网络建设方面投很大费用,网络建造要尽可能低廉,低维护量,安装简单,方便。
但同时要数据传送可靠稳定。
数据要在Internet传送上面安全地传送,如果用专线,对于全国这么多分支公司,无疑是一笔很大的费用,而由于各地分公司都安装了宽带上网,所以希望在现有条件基础上实现数据安全传送。
在现阶段,能实现以上需要的可以使用VPN搭建安全系统网络,通过隧道方式实现各地间数据的安全传送。
三、实施方案
中心点选用电信提供的10M专线,分点分别使用ADSL、CableModem、小区宽带、56KModem拨号连接到互联网上,并且各分点计算机数量均不同,少则一台,多则数十台,按照该特点,我们分别选用SnapGearSME530,SME550,SME570/575。
各分点通过VPNIPSEC3DES加密连接起来,流动远程的用户则通过WINDOWS自带的VPNPPTP拨号工具连接到中心点。
中心点安装一台Radius的服务器,用作验证用户登陆身份。
及一台大型的数据服务器,用作存放数据文件及ERP程序。
1.
中心点设备选用
选用SnapGearSME575VPN路由器
-
采用日立HitachiSH4
240MHZCPU,64M内存,16MFLASH
带有最先进的双WAN口技术,提供双倍带宽及DMZ功能,
最高支持750IPSEC隧道,25个PPTPVPN拨号。
路由吞吐量达到100M,防火墙吞吐量达到140M
经过ICSA认证的网络防火墙保证网络安全,为网络的安全运行提供了保证
支持Radius服务器认证,方便对用户帐号进行管理
2.中型分点设备选用
中型分点一般有40-50台电脑,根据这一特点,我们选用SnapGearSME550
日立HitachiSH4166MhzCPU,16M内存,4MFLASH
最高支持500条IPSEC隧道,20个PPTPVPN拨号。
额外增加了一块有SOFTNET公司提供的硬件加解密芯片,提供数据处理速度
支持DHCP功能,无用户数限制
路由吞吐量达到35M,防火墙吞吐量达到35M
支持IPSEC168位3DES
256位AES加密
并且支持线路容错技术,当主线路因某种原因断开,备用MODEM线路将会自动接上
3.小型分点设备选用
小型分点一般有10-20台电脑,根据这一特点,我们选用SnapGearSME530
支持56KMODEM拨号,ADSL,CABLEMODEM,小区宽带
LAN-TO-LAN流量达到3M
经过ICSA认证的网络防火墙保证网络安全,为网络的安全运行提供保证
六.方案特点:
从图中可以看出,各分公司内部资源享用者通过Internet与总部数据服务器进行数据传递与处理,数据在Internet通过VPN隧道加密传送,加密之后,即使是ISP网管中心都无法看到数据包的内容,即使是用户不对其数据加密,通信双方的VPN防火墙也能自动协商加密传输,保护数据不受破坏和被他人窃取,传送而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的,而且费用昂贵。
这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。
使用VPN的优点在于:
1.
防止数据中心服务器直接暴露在公网上,防止黑客病毒的袭击,最大限度地保证了网络的安全
2.
使用VPN更可减少了租用专线的费用,节约企业大笔的资源。
3.
可扩展性强,无论何时何地只需加装一个设备,进行简单的调试,即可进行VPN连接,无需等待铺用专线所花费的时间.
选用SnapgearVPN路由器的优点在于
4.
性能出众,VPN路由处理速度快,能应付多变的网络环境。
5.
性价比高,价格是其他VPN路由器的一半,甚至更低
6.
网络防火墙功能强大,通过世界级ICSA认证。
7.
集中管理,通过CMS软件可对数十个分点进行统一管理,减少了管理人员的开销
七.总结
通过这次课程设计,对VPN有了更深刻的了解。
VPN的前景很广阔,因为它保障了传输数据的安全性,可以解决传统的远程访问方式成本高的问题。
对于企业公司以及各个需要保护自己的数据安全的用户来说是一个很大的需求。
我们在设计过程中也遇到了一些问题,比如把VLAN2和VLAN3做路由连通,刚开始没有激活IP路由,所以VLAN2和VLAN3老是ping不通,检查接线也没有问题,最后查书才发现是没有激活IP路由,一个很简单的问题,被我们弄了这么久才解决,可见做任何事细心都非常重要。
这次课程设计对我的帮助也很大,不管是理论知识还是实际动手能力,都有一定的提高也为以后网络的组建和设计打下一个基础。
升级会员 