VPN技术综述及应用.docx
《VPN技术综述及应用.docx》由会员分享,可在线阅读,更多相关《VPN技术综述及应用.docx(5页珍藏版)》请在冰豆网上搜索。
VPN技术综述及应用
VPN技术妹述及应用
IO:
在介鉛VPN技术的欄念、工作原理、依系结构的基础上,对这项技术的发展、组网方式、市场前景、所应用的领域汝典型应用做了详细分析和阐述。
关傩词:
VPN虚芥1封装jffl密隧道技术
1VPN的楊念
VPN的英文VirtualPrivateNetwork的编写,可文译为虚扔专用网。
VPN是利用公共网络基88设施,通it“隧道”技术等手段达到类似秋有专网的数据安全传输。
VPN具有虛抵特点:
VPN并不是某个公司专有的封闻线路或者是租用某个网络服务商提供的封闲线路,但同时VPNQ貝有专线的数据传输功能,因为VPN能昵像专线一样在公共网络上处理自己公司的信息。
VPN可以说是一种网络外包,企业不再追求捌有自己的专有网络,而是将对另外一个公司的诉冋任务部分或全部外包给一个专业公司去做。
这类专业公司的典型代表是电信企toVPN具有以下优点:
(1)降低成本:
企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。
利用现有的公用网组建的Intranet,要比租用专线或備设专线要节省开支,而且当距离趙远时节省的趟多。
tin:
某企业的与纽约分部之间的连接,不丈可能自備专线:
当一个远程用户在纽约想要连到WIntranet,用抜号诉冋时,花的是国师长途话费;
而用VPN枝术吋,只需在纽约和分别连接到当地的Internet就实现了
5®,双方花的部是市话费。
(2)容易扩展:
网络路由设备配置简单,无需憎加丈多的设备,省时省钱。
对于发展很快的企业来说,VPN就更是不可不用了。
如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,
只需连接到公用网上,对新加人的网络终端在逻辑上进行设置,也不需要考虑公用网的容量间题、设备间题等。
(3)完全控制主动权:
VPN上的设施和服务完全掌握在企业手可。
例如,企业可以把拨号折间交给NSP去做,由自己负贯用户的査验、诉间权、网络地址、安全性和网络变化管理等重要工作。
VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组
(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、XX、噸畅的专用链路。
2VPN的工作原理
图1比较了常规的直接抜号连接与虚抄专网连接的异同点。
在前一种情形可,PPP(点对点协议)数据包流是通过专用线路传输的。
在VPN可,PPP数稠包流是由一个LAN上的路由器发出,通IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关建不同点是隧道代替了实在的专用线路。
隧道好比是在WAN中拉出一根审行通信电缆。
基于IP的VPN基本上IH结为两类:
抜号VPN(—般称为VDPN,fiD虛Jfl抜号专网)和专线VPN(DedicatedVPN,UP专线的VPN),完整的VPN解决方案通常把抜号VPN和专线VPN组合在一起来满足所有用户的使用需求。
抜号VPN(即VDPN)为務动用户和远程亦公用户提供了对公司企业网的远程诉间。
这是当今最常见的一种VPN部署形式,主要是基于L2F协议。
VDPN允许多个不同领域的用户部能通11公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。
提供秋有拔号网络服务的服务提供商可以用单个提供给所有的用户组级。
前问者可以用拔号网络进人诉问服务器,诉间服务器通过PPP用户塔来区别折间者。
PPP用户名用干建立一个到企业网关的连接,当企业网关鉴别了用户之后,诉间集成器建立一个通过网络提供商的骨干网、到企业内部网关的安全隧道。
PPP协议同时也被传输到内部网关,在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的筋间级别。
拔号VPN的原理如下图2所示。
服务提供商管理MODEM池和确保可靠的连通性,而商业公司管理某企业内部网的用户认证。
专线VPN以多个用户和比抜号VPN高速的连接为特片。
有许务类型的专线VPN业务,但最常见的是在IP网上建立的IPVPN业务,如图3所示。
专线VPN提供了公司总部与公司分部、远程分支亦事处以及Extranet用户的虚抵点对点连接。
虚拥专用网的休系结构有多种形式,分类示意图如图4。
模拥目前国内公众多媒体通信网的状况;在国内采用VPN组网一般分为三类:
(1)ATMPVC组建方式,即利用电信部分提供的ATMPVC来组建用户的专用网。
这种专用网的通信速率快,安全性高,支持多媒体通信。
(2)IPTunneling组建方式。
即在务媒体通信网的IP层组建专用网。
其传输速率不能完全保证,不支持多媒体通信;使用国际通行的加密算法,安全性好;这种组网方式的业务在公众通信网遍汝的地方均可提供。
(3)Dial-upAccess组网方式(VDPN)。
这是一种抜号方式的专用网组建方式,可以利用已逅布全国的抜号公网来组建专用网,其接人地点在国内不眼,上网可节省长途抜号的费用。
对于流动性强、分支机构多、通信量小的用户而言,这是一种非常理想的组网方式。
它可以將用户内部网的界眼,从单位的地理所在延伸到全国X围。
2.1抜号VPN(VDPN)
抜号VPN艮可分为客户发起的(Client-Initiated)VPN和NAS发起的
VPNO
2.1.1客户发起的VPN
在客户发起的VNP中,用户抜号到本地的POPS程,由客户来发出请求并建立到某企业内部网的加密隧道。
为了建立一个安全的连接,客户端运11Ipsec软件,客户软件与公司内部网络肪火墙上的Ipsec进程通信,或者直接与支持Ipsec的路由器通信,确保连接的安全牲。
这种形式的VPN优点是:
(1)远程用户能够同时与多fHomeGateway建立IPTunnelo
(2)远程用户不必重新抜号,就可以进人另一网络。
(3)VPN的建立和管理与ISP无关。
缺点是:
因为这种M密的VPN隧道对于服务提供商而言是透明的,在客户諾需要专用的抜号软件,而且管理移动PC±的Ipsec客户端软件也是麻坝的事件。
HUt,大部分的服务提供曾几何时会选择vpn隧道作为其网络一部分的形式,如下面侨讨论的朋样。
2.1.2NAS发起的VPN
在NAS发起的VPN中,由服务提供商的POP中的NAS请求并创建到客户公司路由器(或者HomeGateway)的VPN隧道。
NAS使用L2F
(Layer2ForwardingProtocol)或者L2TP(Layer2TunnelingProtocol)怵议来建立到客户HomeGateway的安全隧道。
L2TP是不久前建立的标准,这个标准结合了Cisco公司的L2F和微软公司的PPTP协议。
对于HomeGateway来说,L2F或L2TP隧道表现得似乎用户是直接拔号到公司内部网上。
表现得似乎用户是直接抜号到公司内部网上。
在这种拔号VPN形武中,用户认证公两级处理。
当用户拔人吋,首先由服务提供商NAS执行基本的汰证,这个认证仅仅识别出用户的公司身份。
然后,NAS打开到用户公司HomeGateway的隧道,由HomeGateway来执行用户级的认证助能。
这种VPN形式有若干优点:
对械号用户透明,用户PC±无需特殊的客户软件,因而管理简单化;由于是由服务提供商初始化隧道,他们可以提供优质的抜号VPN服务,如通过预gModem端口,优先的数据传送等手段保证抜号VPN用户得到所需的服务;NAS可以时支持
Internet或其他公用网络和VPN服务;由于到某一目的的通信量全部通过单一隧道传送,大规模部署將更具有可扩充性和管理性。
这种VPN形式存在的缺点有:
(1)当远程用户进人其它网络时,需要重新抜号,并且只能以另一用户名登录。
(2)远程用户不能同吋进人多个网络。
2.2专线VPN
2.2.1基于IPTunnel的专线VPN
VPN与常规的直接拔号网络不同,在VPN中,PPP数据包流不是通过专用线路,而是通过共享IP网络上的隧道进行传输。
这两者的关建不同点是隧道代替了实际的专用线路。
如何形成VPN隧道昵?
隧道是由隧道怵议形成的,这与流行的各种网络是依靠相应的网络加议完成通信没有区别。
为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络怵议(IP、IPXfl]AppleTalk等)封装到PPP里,再把这整个PPP数据包装人隧道协议里。
隧道协议一般封装在IP协议中,但也可以是ATM或FrameRelayo由于隧道搭载的是PPP数据包(第二层),所以这种封装方法称为“第2层隧道”。
用得很少的另—种方法是把各种网络怵议直接装入隧道怵议中(3公司的VTP就是这种隧道怵议),由干隧道直接搭载第三层协议的数据包,所以称为“第3层隧道”。
2.2.2基于VitualCircuit(虚抵电路)的VPN
服务提供商可以提供虚拥电路来建立IPVPN服务。
用PVC在顺中继
(FrameRelay)ATM网络中建立虑对点连接,并通过路由器来管理第三层的信息。
电信运营商或者牖电局可以采用这种办法,充分利用其现有的顺交换(如帧中继)或信元交换(如ATM)基础设施提供IPVPN服务。
在前面叙述的专线VPN和抜号VPN本质上部是通过在公共IP网络中建立隧道(tunnel)来提供服务的。
与之不同,基于虚扔电路的VPN通it在公共的帧或信元交换网络上的路由来传送ip服务,是使用pvc而不是tunnel来建立隐机性。
S此,加密是不需要的。
这种形式的VPN具有如下优点:
受控的路由器服务为具有帧或信元基础设施的服务提供商提供一种便宜、快速的建立VPN服务的办法;可充分利用FRCIR(mittedInformationRate)和ATMQoS来确保QoS能力;虚扔电路拓扑的牌性;连接无须加密。
它的缺点是:
不能灵活选择路由;比IPTunnelWffl对费用髙;缺少IP的多业务能力(如VoiceOverIPVideoOverIP等)。
3VPN技术的应用领域汝典型应用
3.1VPN应用的呱个领域
企业内部网Itranets远程诉间、企业外部网Extranet、企业内VPN。
另外,在很多涉及公司重要信息的传输汝对数据完整性安全性要求比较髙的场合,也大多选择VPN技术。
3.2VPN广域网建设新的解决方案(即典型应用)
目前各行业网、专用网的应用主要有两个方面:
一是作为Internet或其他公用网络的一部分,组tUll业是信息资源上网;二是作为一个内部网,为本行业、本系貌的内部亦公自动化和业务处理系统服务。
两者部是采用Internet或其他公用网络技术的IP数据通信。
对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资温的服务对象,各地就近接人当地的中国公用廿算机互联网(简称163网)或中国公众务媒体通信网(简称169网),完全省去了用于连接聘省的DDN专线,只需在域塔规划和信息主页设廿中貌一规划,统一形象,把有眼的人力和物力用于专业的信息资源开发和深JUIo
对地第三种应用或两者部有的应用,则各地就近接人当地的169网或163网,采用VPN技术,实现跨地区的数稠通信,充分利用169网髙
«(155MATM)的跨省通信主干道,建设自己的内部网。
其网络结构如图5所示。
图中的VPN表示内部专用网段。
由于内部网的敏感数据在公网传输进是加密传,因此可以实现安全廉价的跨地域数据通信。
同样,本解决方案也适用于企业的開地域数据通信,实现集数掘、语音和图像于一体的广域网解决方案。
实际上在国外率先采用VPN技术的就是聘国、聘地区的大公司和一些行业的网络。
4VPN技术的市场前景分析
InternetW飞速发展、用户数的迅奋增长以吸Web通信量和个人域名注册都加速了其发展势头。
美国商业部预测到2010年加入互联网的企业將会超过500尤。
这清楚地描述了下世纪Intenet产生以及將会产生的影响。
一些研究表明在下世纪將会有70%-80%的商务使用
VPN设备。
它们还指出,仅拥有200个远程用户美国某聘国公司弃专线而选用VPN后,仅仅4~5的时间就节省了150多JT美金。
公司希望花费不髙的代价来传輪商务信息。
VPN在这方面起了很重要的作用,它提供了减少开支、提高服务、维护客户基础的方法。
许多公司选用VPN传输商务信息的原因是:
(1)VPN以Internet1支撐;
(2)无论对商业客户来说还是对私人客户来说,使用InternetHi是一种经济可行的方式。
(3)Internet覆盖全球;
(4)规在Internet传输效率极髙,大务ISP能承受进行连接所带来的负荷;
(5)VPN是灵活的、动态的、可升级的;
(6)VPN在可以利用公司硕件方面的现有投资。
虽然VPN在理解和应用方面部是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大名数情况下VPN的各种实现方法部可以应用于每个公司。
即使不需要使用加密数掘,也可节省开支。
此外,在未来几年里,客户和「商很可能会使用VPN,从而使电子商务重Q获得生机,毕竟全球化、信息化、电子化是大势所超
升级会员 