close
虛擬專用網(VirtualPrivateNetwork,VPN)是一種“基於公共數據網,給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低瞭用戶的費用,而且提供瞭比傳統方法更強的安全性和可靠性。VPN可分為三大類:(1)企業各部門與遠程分支之間的Intranet VPN;(2)企業網與遠程(移動)雇員之間的遠程訪問(Remote Access)VPN;(3)企業與合作夥伴、客戶、供應商之間的Extranet VPN。
二、VPN的要求
(1)安全性
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在IntranetVPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可靠的認證機制。
(2)性能
VPN要發展其性能至少不應該低於傳統方法。盡管網絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基於重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能,又不會“餓死”,低優先級的應用。
(3)管理問題
由於網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分佈,並管理大量設備。
(4)互操作
在ExtranetVPN中,企業要與不同的客戶及供應商建立聯系,VPN解決方案也會不同。因此,企業的VPN產品應該能夠同其他廠傢的產品進行互操作。這就要求所選擇的VPN方案應該是基於工業標準和協議的。這些協議有IPSec、點到點隧道協議(PointtoPoint Tunneling Protocol,PPTP)、第二層隧道協議(Layer 2 Tunneling Protocol,L2TP)等。
三、台灣商標註冊VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
1.VPN訪問點模型
首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成瞭IP層隧道技術和加密技術。
2.隧道技術
隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地後把封裝去掉還原成原始報文,這樣就形成瞭一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(GenericRoutingEncapsulation,GRE)L2TP和PPTP。
(1)GRE
GRE主要用於源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然後帶著隧道終點地址放入隧道中。當報文到達隧道終點時,GRE報文頭被剝掉,繼續原始報文的目標地址進行尋址。GRE隧道通常是點到點的,即隧道隻有一個源地址和一個終地址。然而也有一些實註冊商標申請台中現允許點到多點,即一個源地址對多個終地址。這時候就要和下一跳路由協議(Next-HopRoutingProtocol,NHRP)結合使用。NHRP主要是為瞭在路由之間建立捷徑。
GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看,VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在GRE隧道技術中入口地址用的是普通主機網絡的地址空間,而在隧道中流動的原始報文用的是VPN的地址空間,這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來,多個VPN可以重復利用同一個地址空間而沒有沖突,這使得VPN從主機網絡中獨立出來。從而滿足瞭VPN的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族,減少實現VPN功能函數的數量。還有,對許多VPN所支持的體系結構來說,用同一種格式來支持多種協議同時又保留協議的功能,這是非常重要的。IP路由過濾的主機網絡不能提供這種服務,而隻有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基於隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合,VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣,主機網絡用符合網絡要求的路由設計方案,而不必受VPN用戶網絡的路由協議限制。
雖然GRE隧道技術有很多優點,但用其技術作為VPN機制也有缺點,例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的,所以配置和維護隧道所需的費用和隧道的數量是直接相關的——每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進入隧道前的)進行的話,就會影響路由發送速率的能力及服務性能。
GRE隧道技術是用在路由器中的,可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠程訪問VPN中,多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解決。
軟件信息化周刊
比特軟件信息化周刊提供以數據庫、操作系統和管理軟件為重點的全面軟件信息化產業熱點、應用方案推薦、實用技巧分享等。以最新的軟件資訊,最新的軟件技巧,最新的軟件與服務業內動態來為IT用戶找到軟捷徑。
商務辦公周刊
比特商務周刊是一個及行業資訊、深度分析、企業導購等為一體的綜合性周刊。其中,與中國計量科學研究院合力打造的比特實驗室可以為商業用戶提供最權威的采購指南。是企業用戶不可缺少的智選周刊!
網絡周刊服務器周刊
比特網絡周刊向企業網管員以及網絡技術和產品使用者提供關於網絡產業動態、技術熱點、組網、建網、網絡管理、網絡運維等最新技術和實用技巧,幫助網管答疑解惑,成為網管好幫手。
服務器周刊
比特服務器周刊作為比特網的重點頻道之一,主要關註x86服務器,RISC架構服務器以及高性能計算機行業的產品及發展動態。通過最獨到的編輯觀點和業界動態分析,讓您第一時間瞭解服務器行業的趨勢。
存儲周刊安全周刊
比特存儲周刊長期以來,為讀者提供企業存儲領域高質量的原創內容,及時、全面的資訊、技術、方案以及案例文章,力求成為業界領先的存儲媒體。比特存儲周刊始終致力於用戶的企業信息化建設、存儲業務、數據保護與容災構建以及數據管理部署等方面服務。
安全周刊
比特安全周刊通過專業的信息安全內容建設,為企業級用戶打造最具商業價值的信息溝通平臺,並為安全廠商提供多層面、多維度的媒體宣傳手段。與其他同類網站信息安全內容相比,比特安全周刊運作模式更加獨立,對信息安全界的動態新聞更新更快。
新聞中心熱點推薦雲計算周刊
新聞中心熱點推薦
新聞中心以獨特視角精選一周內最具影響力的行業重大事件或圈內精彩故事,為企業級用戶打造重點突出,可讀性強,商業價值高的信息共享平臺;同時為互聯網、IT業界及通信廠商提供一條精準快捷,滲透力強,覆蓋面廣的媒體傳播途徑。
雲計算周刊
比特雲計算周刊關註雲計算產業熱點技術應用與趨勢發展,全方位報道雲計算領域最新動態。為用戶與企業架設起溝通交流平臺。包括IaaS、PaaS、SaaS各種不同的服務類型以及相關的安全與管理內容介紹。
CIO俱樂部周刊IT專傢網
CIO俱樂部周刊
比特CIO俱樂部周刊以大量高端CIO沙龍或專題研討會以及對明星CIO的深入采訪為依托,匯聚中國500強CIO的集體智慧。旨為中國傑出的CIO提供一個良好的互融互通 、促進交流的平臺,並持續提供豐富的資訊和服務,探討信息化建設,推動中國信息化發展引領CIO未來職業發展。
IT專傢網
IT專傢新聞郵件長期以來,以定向、分眾、整合的商業模式,為企業IT專業人士以及IT系統采購決策者提供高質量的原創內容,包括IT新聞、評論、專傢答疑、技巧和白皮書。此外,IT專傢網還為讀者提供包括咨詢、社區、論壇、線下會議、讀者沙龍等多種服務。
X周刊
X周刊是一份IT人的技術娛樂周刊,給用戶實時傳遞I最新T資訊、IT段子、技台中商標申請流程術技巧、暢銷書籍,同時用戶還能參與我們推薦的互動遊戲,給廣大的IT技術人士忙碌工作之餘帶來輕松休閑一刻。
文章標籤
全站熱搜
留言列表