VPN概述1-1
随着计算机网络的发展,企业纷纷利用Internet技术建立企业自己的内联网(Intranet),同时根据商务发展的需要,与供货商、销售商等整合资源,建设外联网(Extranet)。Intranet和Extranet在物理上的分布化,即由简单的本地局域网或局域网连接发展为远地局域网连接,这其中最为突出的就是安全问题。
远程网络连接最直接的方法就是使用专线,但问题很多,最主要的如费用昂贵、维护困难、接入点选择不灵活以及多节点连接困难等。同时,企业已经接入了Internet,却又要使用专线,这无疑是一种资源浪费。
从人类通信的历史来看,因特网是最近才出现的事物,然而它却对人类的通信方式有着非常深远的影响,以至于它被列入通信发展过程中最伟大的标志之一。因特网从根本上改变了社会和商业上的交往。特别对于商业,因特网迅速成为进行商业活动的通信介质。然而,商业活动需要安全的专用通信,而因特网却是一个最不安全的公共传输介质。
通常有两种方法来保证网络上的对话不被公开:一是物理分隔(Physical Separation),指只
有指定的接收者才能访问信号;二是迷惑(Obfuscation),虽然能够检测到信号,但只有指定的接收者才能够理解其中的信息。
当在公共网络传输介质中进行通信的时候,迷惑是唯一的解决方法。
VPN(Virtual Private Network)在公用网络中,按照相同的策略和安全规则, 建立的私有网络连接
VPN运用了各种网络技术来实现在公共的因特网基础设施中提供专用通信。
它提供了信息的机密性、数据的完整性和用户的验证。
VPN原理上由两部分组成:覆盖在普遍存在的因特网之上的虚拟网络(Virtual Network),以及为了秘密通信和独占使用的专用网络(Private Network)。
更加重要的是VPN的“专用”方面。专用网络的真正目的是保持数据的机密性,使之有指定的接收者能够接收它。这种专用性确保了通过使用公共基础设施进行的通信不是以牺牲数据的安全性为代价的。
VPN的目标是使用公共的因特网在全球安全可靠地进行专用网络通信。
VPN具有以下特点:
VPN有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。
VPN只为特定的企业或用户体所专用。VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中的其他VPN或非该VPN用户的网络成员所使用;另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰。
VPN不是一种简单的高层业务。它能够建立专网用户之间的网络互联,包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因此VPN技术就比各种普通的点对点的应用机制要复杂的多。
费用低,不需要租用远程专用线路。
结构灵活,VPN可以灵活方便的组建和扩充分支站点、远程办公室、移动用户等接入的网络,
只需要通过软件配置就可以增加、删除VPN用户,无需改动硬件设施,比传统广域网络有更好的灵活性。
更加简单的网络管理,可以不必过多地管理运营商提供的电信网络,而把管理核心放在企业核心业务的管理方面。
利用虚拟隧道技术提供网络连接使拓扑结构简单明了。
VPN的结构和分类:
1.远程访问的VPN
移动用户或远程小办公室通过Internet访问网络中心
连接单一的网络设备
客户通常需要安装VPN客户端软件
2.站点到站点的VPN
公司总部和其分支机构、办公室之间建立的VPN
替代了传统的专线或分组交换WAN连接
它们形成了一个企业的内部互联网络
VPN的关键技术:
安全隧道技术(Secure Tunneling Technology)
为了在公网上传输私有数据而发展出来的“信息封装”(Encapsulation)方式
在Internet上传输的加密数据包中,只有VPN端口或网关的IP地址暴露在外面
信息加密技术(Encryption Technology)
VPN中的加密技术主要是对用户数据提供安全保护
在实现过程中需要考虑与VPN的隧道技术和用户认证机制相结合
用户认证技术(User Authentication Technology)
在VPN用户访问网络资源之前、以及管理员对VPN系统进行管理之前,都需要首先进行身份的认证
访问控制技术(Access Control Technology)
由于VPN技术可以绕过防火墙提供的安全屏障,因此需要提供细粒度的访问控制功能,以实现对用户信息资源的保护。
隧道协议:
VPN使用网络安全隧道(Tunneling)技术,VPN的具体实现形式多种多样,但同样都是基于隧道技术。
利用隧道技术,可以实现网络到网络、主机到主机或者主机到网络的安全连接。
所谓隧道,实质上是一种封装、加密、传输和拆卸、解封装的过程。
在VPN中,隧道服务用于3个主要的目的:
第一是把一个协议封装在另一个协议中,从而不同的协议能够在同一个IP基础设施上进行传输
第二是通过公共的寻址基础设施传输私有寻址的报文
第三是提供数据的完整性和机密性
网络隧道技术涉及了三种网络协议:
网络隧道协议
支撑隧道协议的承载协议
隧道协议所承载的被承载协议
目前常见的隧道协议分为第二层隧道协议和第三层隧道协议,两者的本质区别在于用户的IP数据包被封装在不同层的数据包中进行传输。
隧道协议的功能特性分为两部分:
客户部分:又被称为访问集中器(Access Concentrator),位于远程计算机附近或者就是在远程计算机内部,它把PPP数据帧封装成能够通过因特网路由的某些格式。
服务器部分:也成为网络服务器(Network Server),它位于专用网络附近,负责去除封装并把PPP数据帧传送到一个PPP终端。
第二层隧道协议建立在点对点协议PPP的基础上,充分利用了PPP支持多协议的特性,先把IP协议封装到PPP帧中,再把整个数据帧装入隧道协议。
这种双层协议封装方法形成的数据包依靠第二层(数据链路层)协议进行传输,所以称为第二层隧道协议。
第二层隧道协议主要有:
PPTP(Point-To-Point Tunneling Protocol)点到点隧道协议,由微软、Ascend和3COM等公司支持,在Windows NT4.0以上版本中支持。该协议支持PPP协议在IP网络上的隧道封装,PPTP作为一个呼叫控制和管理协议,使用一种增强的GRE(Generic Routing Encapsulation,通用路由封装)技术为传输的PPP报文提供流控和拥塞控制的封装服务。
L2F(Layer 2 Forwarding)协议:二层转发协议,由北方电讯等公司支持。L2F协议支持对更高级协议链路层的隧道封装,实现了拨号服务器和拨号协议连接连接在物理位置上的分离
L2TP(Layer 2 Tunneling Protocol):二层隧道协议,由IETF起草,微软等公司参与,
结合了上述两个协议的优点,为众多公司所接受,并且已经成为RFC标准。L2TP即可用于实现拨号VPN业务,也可用于实现专线VPN业务
在3种协议之中,L2TP协议结合了前两个协议的优点,具有更优越的特性,得到了越来越多的组织和公司的支持。它也是使用最广泛的VPN二层隧道协议
二层隧道协议建立在点对点协议PPP的基础上:
先把各种网络协议(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协议
适用于通过公共电话交换网或者ISDN线路连接VPN
其中两个主要的协议三层隧道协议
把各种网络协议直接装入隧道协议
在可扩充性、安全性、可靠性方面优于第二层隧道协议
第三层隧道协议主要有:
GRE(Generic routing encapsulation)协议:这是通用路由封装协议,用于实现任意一种网络层协议在另一种网络层协议上的封装。
IPSec(IP Security)协议:IPSec协议不是一个单独的协议,它给出了IP网络上数据安全的一整套体系结构,包括AH(Authentication Header验证报文头)、ESP(Encapsulating Security PayLoad封装安全负载)、IKE(Internet Key Exchange)等协议。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。