开展VPN服务的几种方式
一、VPN 介绍 ................................................................................................. 3 1.1 VPN 的特点 ........................................................................................................... 4 1.安全保障 .............................................................................................................. 4 2.服务质量保证(QoS) ...................................................................................... 4 3.可扩充性和灵活性 .............................................................................................. 4 4.可管理性 .............................................................................................................. 4 1.2 VPN安全技术 ........................................................................................................ 5 1. 隧道技术是VPN的基本技术 ............................................................................. 5 2. 加解密技术 ........................................................................................................... 5 3. 密钥管理技术 ....................................................................................................... 5 4. 身份认证技术 ....................................................................................................... 5 二、VPN的种类及其实现方式 ......................................................................... 6 2.1 Client-LAN(Access)型 ...................................................................................... 6 2.2 Client-LAN(Access)型的实现方式 .................................................................. 7 1. 客户驱动的连接 ................................................................................................... 7 2. 网络接入服务器(NAS)驱动的连接 ............................................................... 7 2.3 LAN-LAN(IntranetVPN和ExtranetVPN)型 ..................................................... 8 1. VLAN方式............................................................................................................ 9 2. MPLS VPN方式 ................................................................................................... 9 3. IPSecVPN方式 ................................................................................................... 10 三、目前能开展的VPN业务及其实现方式 .................................................... 10 3.1 VPDN业务 ........................................................................................................... 10 3.2 VLAN业务 ........................................................................................................... 11 1. 同一个交换机下的VLAN业务 ....................................................................... 11 2. 不同交换机下的VLAN业务 ........................................................................... 11 3.3 LAN-LAN MPLS VPN业务 ............................................................................... 12 1. 主干路由器(P路由器)的设置 ........................................................................... 12 2. 边界路由器(PE路由器)的设置 ........................................................................ 13
开展VPN服务的几种方式
3.4 LAN-LAN IPSec VPN业务 ................................................................................ 17 四、VPN业务展望 ......................................................................................... 17
安徽中科大讯飞信息科技公司 2
开展VPN服务的几种方式
开展VPN服务的几种方式
宽带网络建成后,整个ChinaNET已经可以提供如下几种接入Internet的方式:拨号(模拟、ISDN方式)、专线(DDN、FR等方式)、宽带(ADSL、以太网方式)。接入速度从几十KBPS到1000MBPS,能充分满足各种层次的用户接入Internet的需求。
除了能提供这些基本接入服务外,现有的网络还可以开展多种增值服务,如VPN接入服务。
在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。
对国内的用户来说,VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。
一、VPN 介绍
现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:\使用IP机制仿真出一个私有的广域网\是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。
安徽中科大讯飞信息科技公司 3
开展VPN服务的几种方式
1.1 VPN 的特点
在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。
所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和
安徽中科大讯飞信息科技公司
4
开展VPN服务的几种方式
合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
1.2 VPN安全技术
由于VPN在公网上传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
1. 隧道技术是VPN的基本技术
类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。 第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2. 加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3. 密钥管理技术
它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4. 身份认证技术
最常用的是使用者名称与密码或卡片式认证等方式。
安徽中科大讯飞信息科技公司 5
开展VPN服务的几种方式.doc
