IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

VPN技术白皮书

2007年07月28日
网络/佚名
VPN,网络安全,隧道技术,L2TP,GRE,IPSec,IKE,防火墙,QoS,网络管理
  
  概述
  随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,VPN以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现。华为Quidway系列路由器在安全、网络优化以及管理等方面对VPN给予了强大的支持。
  
  VPN定义
  利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。
  
  “虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图1所示。
  
  
  
  图1 VPN应用示意图
  
  由图可知,企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点),即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源; 如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
  
  VPN的类型
  VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的 VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
  
  Access VPN
  随着当前移动办公的日益增多,远程用户需要及时地访问Intranet和Extranet。对于出差流动员工、远程办公人员和远程小办公室,Access VPN通过公用网络与企业的Intranet和Extranet建立私有的网络连接。在Access VPN的应用中,利用了二层网络隧道技术在公用网络上建立VPN隧道(Tunnel)连接来传输私有网络数据
  
  Access VPN的结构有两种类型,一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
  
  用户发起的VPN连接指的是以下这种情况:首先,远程用户通过服务提供点(POP)拨入Internet,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。
  
  在接入服务器发起的VPN连接应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。
  
  Intranet VPN
  Intranet VPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。
  
  利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。基于ATM或帧中继的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。而另一方面,基于Internet构建VPN是最为经济的方式,但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。
  
  1.2.3Extranet VPN
  
  Extranet VPN是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下,Extranet通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在Extranet的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,而同样降低不了复杂度。 因合作伙伴与客户的分布广泛,这样的Extranet建设与维护是非常昂贵的。 因此,诸多的企业常常是放弃构建Extranet,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。
  
  Extranet VPN以其易于构建与管理为解决以上问题提供了有效的手段,其实现技术与Access VPN和Intranet VPN相同。Extranet用户对于Extranet VPN的访问权限可以通过防火墙等手段来设置与管理。
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点