VPN就是在公司網(wǎng)中形成企業(yè)專用的鏈路。為了形成這樣的鏈路,采用了所謂的"隧道"技術(shù)。可以模仿點對點連接技術(shù),依靠Internet服務(wù)提供商(ISP)和其它的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的"隧道",讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息來源,可分別給它們開出不同的隧道。于是,兼容性問題、不同的服務(wù)質(zhì)量要求、以及其它的麻煩都迎刃而解。
在公用網(wǎng)中開出一條隧道。有多種網(wǎng)絡(luò)設(shè)備和軟件可完成此項任務(wù),例如:(1)配有模擬式調(diào)制解調(diào)器PC卡和VPN型撥號軟件的最終用戶膝上型計算機(jī);(2)分支機(jī)構(gòu)的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器;(3)網(wǎng)絡(luò)服務(wù)提供商站點中的有VPN能力的訪問集中器。
虛擬專網(wǎng)本質(zhì)上是將多媒體通信網(wǎng)用做"公用數(shù)據(jù)網(wǎng)",通過公共的多媒體通信網(wǎng)加密傳輸專用數(shù)據(jù)流量。虛擬網(wǎng)絡(luò)用戶在安全性可得到完全保證的前提下,均可通過當(dāng)?shù)氐碾娫捇蜃庥镁€路服務(wù)建立聯(lián)系,而不必租用長途線路,大大節(jié)省了通信費(fèi)用。
虛擬專網(wǎng)能夠連接各機(jī)構(gòu)的所有辦公室、遠(yuǎn)程工作人員、移動員工,甚至于全國范圍的客戶和供應(yīng)商。虛擬專網(wǎng)減少了設(shè)備需求及網(wǎng)絡(luò)維護(hù)責(zé)任,能夠為用戶節(jié)省大量的開支。無論是基于撥號接入還是基于專線接入的用戶,虛擬專網(wǎng)均適用。
在VPN中,PPP數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出,通過共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸,再到達(dá)另一個LAN上的路由器。隧道代替了實實在在的專用線路。
IP-VPN的分類:
IP-VPN
撥號 客戶端發(fā)起
NAS(訪問服務(wù)器發(fā)起)
專線 IP隧道 安全驗證設(shè)備
路由器
VC(虛電路) X.25,F(xiàn)R,ATM
VPN Aware Networks
VPN有以下幾方面好處:
降低成本
借助ISP來建立VPN,就可以節(jié)省大量的通信費(fèi)用。此外,VPN還使企業(yè)不必投入大量的人力和物力去安裝和維護(hù)WAN設(shè)備和遠(yuǎn)程訪問設(shè)備。這些工作都由ISP負(fù)責(zé)完成。
容易擴(kuò)展
如果用戶想擴(kuò)大VPN的容量和覆蓋范圍。統(tǒng)計局需做的事情很少,而且能立時實現(xiàn):企業(yè)只需與新的ISP簽約,建立賬戶;或者與原有的ISP重簽合約,擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN能力也很簡單:通過配置命令就可以使Extranet路由器擁有Internet和VPN能力,路由器還能對工作站自動進(jìn)行配置。
可隨意與合作伙伴聯(lián)網(wǎng)
用戶如果想與合作伙伴聯(lián)網(wǎng),如果沒有VPN,雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路,有了VPN之后,這種協(xié)商也毫無必要,真正達(dá)到了要連就連、要斷就斷。
完全控制主動權(quán)
VPN使用戶可以利用ISP的設(shè)施和服務(wù),同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說,用戶可以把撥號訪問交給ISP去做,由自己負(fù)責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
建立在山東省公眾多媒體通信網(wǎng)上的虛擬專網(wǎng),隨著省網(wǎng)二期擴(kuò)容的開展和ATM寬帶業(yè)務(wù)網(wǎng)的建設(shè),其網(wǎng)絡(luò)性能將得到不斷的提高。我公司在VPN的組網(wǎng)方面有著豐富的經(jīng)驗,為廣大用戶提供豐富地、靈活地組網(wǎng)方式。現(xiàn)已完成的虛擬網(wǎng)項目有:
山東省證券公司虛擬專用網(wǎng)
山東省統(tǒng)計局虛擬專用網(wǎng)
微軟的VPN解決方案
微軟虛擬專用網(wǎng)使用點到點通道協(xié)議(PPTP)構(gòu)造跨越因特網(wǎng)的低成本、安全保密的遠(yuǎn)程訪問解決方案。其易于實現(xiàn)且具有下列好處:
支持所有主要的網(wǎng)絡(luò)協(xié)議。
允許繼續(xù)使用現(xiàn)有網(wǎng)絡(luò)。
允許繼續(xù)使用現(xiàn)有的通訊方式。
提供流控制。
支持開放的工業(yè)標(biāo)準(zhǔn)。
支持目前市場占有率最高的Windows NT Server/Workstation、和Windows95。
支持所有主要的網(wǎng)絡(luò)協(xié)議
虛擬專用網(wǎng)支持所有主要的網(wǎng)絡(luò)協(xié)議,包括TCP/IP、IPX/SPX和NetBEUI。多協(xié)議虛擬專用網(wǎng)使得遠(yuǎn)程終端用戶能夠跨越因特網(wǎng)訪問異構(gòu)的網(wǎng)絡(luò)。微軟的虛擬專用網(wǎng)允許用戶使用普通模擬調(diào)制解調(diào)器、X.25設(shè)備和其它連接方式,通過本地?fù)芴柸刖W(wǎng),從而節(jié)省了長途電話連接的費(fèi)用。虛擬專用網(wǎng)可通過任何類型的網(wǎng)絡(luò),包括Windows NT的遠(yuǎn)程訪問服務(wù)器、基于IPX的NetWare服務(wù)器和NetBEUI環(huán)境。因為虛擬專用網(wǎng)多種網(wǎng)絡(luò)協(xié)議,所以用戶能在不同的網(wǎng)絡(luò)上保持PPTP的優(yōu)點。
允許繼續(xù)使用現(xiàn)有的網(wǎng)絡(luò)地址
虛擬專用網(wǎng)不需要改變現(xiàn)有網(wǎng)絡(luò)地址方案,這特別適合那些已經(jīng)實施內(nèi)部網(wǎng)絡(luò)的企業(yè),這樣不必使用標(biāo)準(zhǔn)的因特網(wǎng)編址,無須重編內(nèi)部網(wǎng)絡(luò)地址,只需設(shè)置遠(yuǎn)程訪問服務(wù)就可互聯(lián)企業(yè)網(wǎng)絡(luò),極大地方便了網(wǎng)絡(luò)管理。因為PPTP使用封裝的方式,隱含了非標(biāo)準(zhǔn)的地址,所以虛擬專用網(wǎng)允許企業(yè)使用非標(biāo)準(zhǔn)的IP和IPX地址。
提供流控制
流控制作用在客戶和服務(wù)器之間的數(shù)據(jù)路徑上。如果沒有流控制,當(dāng)傳輸出現(xiàn)問題時,客戶端會持續(xù)發(fā)送數(shù)據(jù)包從而導(dǎo)致服務(wù)器端的負(fù)載,由于數(shù)據(jù)包的重復(fù)發(fā)送會導(dǎo)致性能的降低。流控制允許服務(wù)器端通知客戶端停止工作并在資源可用時重發(fā)數(shù)據(jù)包。流控制同時減少了網(wǎng)絡(luò)擁塞,消除了不必要的數(shù)據(jù)包重發(fā)。使用開放的工業(yè)標(biāo)準(zhǔn)微軟的虛擬專用網(wǎng)基于PPTP,目前是IETF的草案標(biāo)準(zhǔn),不僅可用于基于Windows的系統(tǒng),還可實施于異構(gòu)的環(huán)境中。任何PPP客戶機(jī)(包括UNIX和Macintosh)、服務(wù)器和其它遠(yuǎn)程訪問系統(tǒng)均可使用PPP。
CISCO的VPN解決方案
IP虛擬專用網(wǎng)(IP-VPN)是指因特網(wǎng)服務(wù)提供商(ISP)可以提供的以IP骨干網(wǎng)為基礎(chǔ)的一系列服務(wù)。一個最終用戶采用IP-VPN的服務(wù),就可以在多個地點之間傳送IP數(shù)據(jù)包,同時得到一定程度的服務(wù)質(zhì)量保證和安全保證,就像自己的內(nèi)部網(wǎng)一樣。訪問國際互聯(lián)網(wǎng)也使這種服務(wù)的一部分。CISCO的IP-VPN解決方案擴(kuò)充了INTERNET的能力,同時其提供的增值服務(wù)也可以豐富IP-VPN的應(yīng)用。包括加密服務(wù),不同形式的數(shù)據(jù)優(yōu)先處理以及主機(jī)代管、協(xié)同工作和多媒體服務(wù)等基于服務(wù)器的應(yīng)用。數(shù)據(jù)優(yōu)先處理可以允許最終用戶對網(wǎng)絡(luò)資源得到比傳統(tǒng)的廣域網(wǎng)更好的控制。在資源比較缺乏的時候(低帶寬鏈路),那些重要的和對延遲敏感的數(shù)據(jù)包可以得到特別的對待,而其他低優(yōu)先級的數(shù)據(jù)包則被限制在剩余的帶寬內(nèi)。
從經(jīng)濟(jì)的角度上說,CISCO的IP-VPN解決方案除了給用戶組網(wǎng)節(jié)省了大量的費(fèi)用,同時也帶來其他好處,包括縮短建設(shè)周期以及維護(hù)的時間,并且可以很快的完成在多點之間的移動、增加和改動。CISCO的IP-VPN解決方案十分靈活多樣,包括兩種基于撥號的,兩種基于專線的,和一種基于標(biāo)記交換的,可以滿足不同的用戶需求。
解決方案1
由用戶端建立的撥號IP-VPN
首先,遠(yuǎn)程客戶撥號進(jìn)入一個本地接入點(POP)。然后運(yùn)行一個支持IPSec的客戶端軟件,與公司內(nèi)聯(lián)網(wǎng)中的一臺PIX防火墻建立一條加密的隧道,這樣就可以安全地訪問防火墻內(nèi)的主機(jī)了。
優(yōu)勢:訪問服務(wù)器不參與IP-VPN,客戶可以同時訪問互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)。
限制:客戶端軟件必須是指定的支持IPSec的產(chǎn)品
隧道對于ISP是完全透明的,用戶無法得到ISP的增值服務(wù)。
IP地址由ISP分配,不能采用內(nèi)部地址。
解決方案2
由訪問服務(wù)器建立的撥號IP-VPN
采用AS5X00訪問服務(wù)器(NAS),通過L2F或L2TP協(xié)議,由NAS建立一條安全隧道到的內(nèi)聯(lián)網(wǎng)網(wǎng)關(guān),該網(wǎng)關(guān)負(fù)責(zé)身份認(rèn)證和IP地址分配,遠(yuǎn)程客戶就像直接聯(lián)到內(nèi)聯(lián)網(wǎng)一樣。
優(yōu)勢:遠(yuǎn)程用戶端不需要特別的軟件。
ISP可以提供高檔次的撥號IP-VPN服務(wù)。
IP地址可以采用的內(nèi)聯(lián)網(wǎng)的內(nèi)部地址,不占用ISP的地址空間。
限制:該方式不適合在國際互聯(lián)網(wǎng)上采用
解決方案3
IPSec IP 隧道的專線IP-VPN
任何聯(lián)臺支持IPSec的設(shè)備之間都可以建立一條加密隧道,支持IPSec的設(shè)備包括運(yùn)行IPSec軟件的客戶機(jī)、路由器、防火墻和服務(wù)器。
優(yōu)勢:方便、快捷,無需改變ISP的網(wǎng)絡(luò)
安全、可靠、性能高
ISP可以對隧道提供高級的IP服務(wù)
解決方案4(推薦)
GRE IP 隧道的專線IP-VPN
GRE 隧道是基于RFC1701和RFC1702的標(biāo)準(zhǔn)IP-VPN方案。它的做法是將IP數(shù)據(jù)包加上GRE頭,封裝在IP數(shù)據(jù)包內(nèi)。在路由器看來GRE隧道是一個點到點端口,它可以被加密。ISP可以對GRE隧道提供QoS服務(wù),但這個隧道的兩端必須在同一個ISP的網(wǎng)絡(luò)內(nèi)。推薦用戶采用此方式。
優(yōu)勢:用戶自己定義內(nèi)部的IP地址
ISP可以提供針對應(yīng)用層的IP QoS服務(wù)。
與媒體無關(guān),CISCO IOS都支持
限制:只能在一個ISP網(wǎng)絡(luò)內(nèi)
解決方案5
基于MPLS的內(nèi)嵌VPN網(wǎng)絡(luò)
在整個網(wǎng)絡(luò)上運(yùn)行MPLS,每一個IP-VPN都有一個VPN-ID,通過TDP將不同的VPN-ID映射到不同的TAG上,這樣VPN的信息就內(nèi)嵌在MPLS網(wǎng)絡(luò)中。
優(yōu)勢:TAG-VPN是無連接的,無需定義隧道。
與MPLS一樣具有良好的網(wǎng)絡(luò)擴(kuò)展性和增值服務(wù)擴(kuò)展性。
在ISP網(wǎng)絡(luò)中可以"看見"VPN,可以為每個VPN提供增值服務(wù)
容易增加VPN和簡化管理
IP QoS和流量管理隨MPLS與生具有
