| ――随着Internet的商业化,大量的企业(如:银行、证券、公司等)的内部网络与Internet互连,使现代的企业网的概念发生了根本性的变化。
――在政府部门之间、跨地区的企业内部网络之间的互连,以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络,以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些互连方式价格非常昂贵,一般只有大型的企业可以承担。同时造成网络的重复建设和投资。Internet的发展,推动了采用基于公网的虚拟专网的发展,从而使跨地区的企业的不同部门之间,或者政府的不同部门之间通过公共网络实现互连成为可能,可以使企业节省大量的通信费用和资金,也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是,如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络上的不同节点,成为企业非常关注的问题。虚拟专网技术(VPN)采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。
VPN简介
――简单地说 ,VPN(Virtual Private
Network,虚拟专用网络)即是指在公众网络上所建立的企业网络,并且此企业网络拥有与专用网络相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用
INTERNET 公网资源作为企业专网的延续,节省昂贵的长途费用。VPN 乃是原有专线式企业专用广域网络的替代方案,VPN
并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充度,而是在更为符合成本效益的基础上来达到这些特性。
VPN
可以有三大应用,分别为直接远程访问(Remote Access)、 Intranets 及 Extranets 。远程访问(Remote
Access) VPN 乃是连接移动用户(Mobile User)及小型的分公司,通过电话拨号上网来存取企业网络资源。
Intranet VPN 是利用互联网来将固定地点的总公司及分公司加以连接,成为一个企业总体网络。而 Extranet
VPN 则是将 Intranet VPN 的连接再扩展到企业的经营伙伴,如供货商及客户,以达到彼此信息共享的目的。
VPN的特点:
1、成本低 VPN 在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使企业网络的总成本(Total
Cost of Ownership)降低。根据分析,在 LAN-to-LAN 连接时,用 VPN
较使用专线的成本节省 20%~40% 左右;而就远程访问而言,用 VPN 更能比直接拨接至企业内部网络节省
60%~80% 的成本。 2、网络架构弹性大 VPN 较专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时,
VPN 可以轻易地达到目的,VPN 的平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的
VPN 架构中,同时,VPN 的平台亦具有对未来广域网络频宽扩充及连接架构更新的弹性。
3、良好的安全性 VPN 架构中采用了多种安全机制,如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion
Detection)等技术,通过上述的各项网络安全技术,确保资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。
4、管理方便 VPN 较少的网络设备及物理线路,使网络的管理较为轻松;不论分公司或是远程访问用户再多,均只需通过互联网的路径进入企业网络。
认证 VPN Client为分支机构用户提供加密隧道,用户可以创建到公司网络的安全隧道。此外,共享高度机密信息的本地用户也可以通过局域网内计算机之间的加密隧道实现同样目的。
对于认证系统,我们推荐以下两种一级认证系统: 1、 认证中心,可以有效地确认所有用户的身份,这种证书是不可能伪造的,因此可以无缝和透明地增强甚至最严格的公司安全政策。
2、RADIUS服务器,它可以提供集中化的远程访问验证和授权功能,能够给予不同级别的用户不同的操作权限。通过一个应用程序,能够实施最高级别的安全能力。从用户要求的认证系统的严格性和安全性,以及从性价方面考虑,我们推荐使用XROUTER
XR100作RADIUS认证。一般解决方案采用的是硬件式VPN产品。VPN
的资料均需在加密之后才由公众网络传送至接收端,再由接收端设备加以解密。故每一个封包在整个传输过程中均需被加、解密一次,而加密、解密均是相当消耗
VPN 设备运算能力的工作。硬件式的 VPN 产品将加密解密的钥匙储存于内存中,故较不易被损坏,同时加密解密速度亦较快在运作效能,会比软件
VPN 产品有较佳的表现,同时软件式的 VPN 产品通常较难以管理。
通过以上方案分析,我们不难发现,无论采用那种VPN网络拓扑结构,均能实现分布网络之间的互联,作到信息共享。重要的是无须再租用昂贵的专用数字线路。因此,作为一种安全可靠、费用低廉的组网方案值得每个需要广域联网的单位所采用。
VPN的实现
――VPN的适用范围
――A.地点分散,在各地有分支机构,移动人员特别多的用户,例如企业用户、远程教育用户。
――B.人员分散,需通过长途电信,甚至国际长途手段联系的用户。
――C.对线路的保密性和可用性有一定要求的用户。
NAS
――NAS(NetworkAccessSwitch)由公共网络运营商提供,作用是VPN的接入服务器。功能:
――*提供WAN接口。
――*负责与PSTN的接口。
――*支持多种LAN协议。
――*支持安全管理和认证。
――*支持隧道及相关技术
CPE
――CPE(CustomerPremisesEquipment)是VPN的用户端设备。位于用户总部,根据网络功能的不同,可以由NAS、路由器或接入服务器等能提供相关功能的设备担任。它是VPN呼叫发起和结束的地方,也是用户方需要设置的唯一VPN硬件设备。
VPN管理工具
――管理工具对VPN设备和用户进行管理。其中,属于ISP的设备及其统计工作由ISP管理,属于用户的设备及用户管理功能由用户方进行管理。管理工具包括设备的网管系统、用户管理软件等。
――VPN管理平台包括:
――*支持SNMP的网管系统
――*对网络设备进行管理的应用网管软件,如CISCOWORKS、ASCENDNetclarity等。
――*tunnel软件
――*用户认证,授权和计费(Authentication,Auhtorization,Accounting)软件。
本地广域网接入服务
――例如,PSTN、专线、ISDN线路。
|
