VPN[编辑]

VPN - 基本简介

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条vpn

穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充。

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

vpn

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

VPN - 基本要求

一个成功的VPN方案应当能够满足以下所有方面的要求：

　　1.用户验证

　　VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。

　　2.地址管理

　　VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。

　　3.数据加密

　　对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。

　　4.密钥管理

　　VPN方案必须能够生成并更新客户端和服务器的加密密钥。

　　5.多协议支持

　　VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念，协议，和部件（component）。

VPN - 关键技术

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

　　1.隧道技术：

　　隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

　　第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

　　2.加解密技术：

　　加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

　　3.密钥管理技术：

　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

　　4.使用者与设备身份认证技术：

　　使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

VPN - 具备特点

组建VPN网络应具有如下特点：

　　1．安全保障

　　虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

　　2．服务质量保证（QoS）

　　VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

　　3．可扩充性和灵活性

　　VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

　　4．可管理性

　　从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

VPN - 主要分类

按接入类型划分：拨号VPN(VPDN)和专线VPN，VPDN是通过公网远程拨号方式构筑的VPN；专线VPN是通过专线为接入ISP边缘路由器的用户提供的VPN。专线VPN为用户提供安全可靠并具有QoS的虚拟专网，它包括基于虚电路的VPN(VCVPN)和基于IP隧道的专线VPN。

　　按协议类型划分：基于第二层服务的VPN和基于第三层隧道的VPN，第二层服务的VPN是通过公共的帧中继或ATM网组成的VPN，它根据用户数据包的二层地址(例如MAC地址、帧中继的DLCI、ATM的VPI/VCI等)在网络的第二层对数据包进行转发，服务提供商网络负责提供用户间的第二层链路连接。第三层服务的VPN为IPVPN，它利用IP设施在服务提供商网络边缘的路由器之间建立点对点隧道，转发用户数据包是以IP地址为依据的。安全性是IPVPN的关键的要求，IPVPN通过安全的IP隧道来保证网络信息的机密性、完整性、可鉴别性和可用性。

　　按业务类型划分：分为拨号VPN(VPDN)、虚拟专用线(VLL)、虚拟专用路由网(VPRN)和虚拟专用局域网段(VPLS)。VPDN是通过公网远程拨号方式构筑的虚拟网。虚拟专用线(VLL)是服务提供商在IP网上，通过隧道为用户仿真一条虚拟专线，主要用于安全可靠，并具有一定QoS保障的VPN，实现协议有IPSec、GRE、L2TP和MPLS等。VPRN用IP设施仿真出一个专用多站点广域路由网，数据包的转发是在网络层实现的，实现协议有IPSec、GRE、L2TP和MPLS等。VPLS利用Internet仿真一个LAN网段，协议完全透明，用于提供透明LAN服务。

　　按应用分类：分为接入虚拟网、内部网VPN和外联网VPN。

　　按VPN的部署模式：分为端到端模式、供应商企业模式和内部供应商模式。

参考资料：

扩展阅读：个人主页：http://abc.wm23.com/qq834769855