【网络工程】虚拟专用网_vpn_简介

作者willccie转帖希望能对大家有所帮助！我感觉这个论坛非常不错，希望各位兄弟姐妹们有钱的出钱，有力的出力！如果有重复请斑竹随意处理，vpn简介[转载]虚拟专用网(VPN)简介虚拟专用网(VPN)简介1VPN的概念在经济全球化的今天，越来越多的公司、企业开始在各地建立分支机构，开展业务，移动办公人员也随之剧增。在这样的背景下，这些在家办公或下班后继续工作的人员和移动办公人员，远程办公室，公司各分支机构,公司与合作伙伴、供应商,公司与客户之间都可能建立连接通道以进行信息传送。传统的企业网组网方案中，要进行远地LAN到LAN互连，除了租用DDN专线或帧中继之外，并无更好的解决方法。对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。随着全球化的步伐加快，移动办公人员越来越多，公司客户关系越来越庞大，这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网VPN（VirtualPrivateNetwork）的概念与市场随之出现。其实虚拟专用网VPN技术并不是什么新鲜事物，早在1993年，欧洲虚拟专用网联盟（EVUA）就成立了，力图在全欧洲范围内推广VPN。然而却是由于Internet的迅猛发展为VPN提供了技术基础，全球化的企业为VPN提供了市场，使得VPN开始遍布全世界。虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户，公司分支机构，公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。之所以采用虚拟专用网是因为VPN有以下几方面好处：·降低成本通过公用网来建立VPN，就可以节省大量的通信费用。此外，VPN还可使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些工作都可以由ISP负责完成。·容易扩展如果用户想扩大VPN的容量和覆盖范围，企业可以与新的ISP签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单，只需通过作适当的设备配置就可。·可随意与合作伙伴联网用户如果想与合作伙伴联网，如果没有VPN,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了VPN之后，只需双方配置安全连接信息即可。当不再需联网时，也很容易拆除连接。·完全控制主动权PDF文件使用FinePrintpdfFactoryPro试用版本创建堐盈止止止置均差期难注尝差期身置足已克置足期VPN使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，用户可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。企业也可以自己组建管理VPN。原来企业所以采用专用网是因为其对通信服务有特殊的要求。（一）是要求有服务质量的保证，如带宽，传输延时等。（二）是要求保证传输数据的安全性。虚拟专用网要取代专用网则也应该满足用户这样的要求。对于服务质量，在现在的VPN实现中较难得到保证。这是因为现在大多VPN实现均是在采用TCP/IP协议的因特网上实现，而IP协议对服务质量的支持是很差的，但是随着因特网带宽的加大和新的协议如RSCP、MPLS等的开发，这个问题将被克服。关于数据的安全性问题，其实在互联网早期，人们就已经注意到了。在开发VPN技术的过程中，人们作了许多不同的尝试，例如用户身份的验证以防止数据欺骗、维持数据的隐密性以防止被偷看、保证数据的完整性以防止被非法篡改等。在以下的章节中将描述其中的重要方法。虚拟专用网还有一特殊性即虚拟性，要求系统使得用户，应用程序觉察不到公用网络的存在，也就是要求VPN支持数据分组的透明传输。VPN上传输的分组可以与支持VPN的公用网络上传输的分组没有任何关系，它们可以使用不同的协议，使用不同的寻址结构；如果使用相同的寻址结构，它们的地址空间可以重叠，特别的，对于Internet上的VPN可以使用非唯一的私用IP地址；另外，同一公用网络可以同时支持多个VPN，它们之间也要是透明的。2VPN的类型与标准2．1VPN的类型虚拟专用网的概念涵概十分广泛,不同的公司针对不同的市场要求,采用了不同的技术来实现虚拟专用网。本章限于篇幅在讨论VPN技术时作如下的限制。1.本文将只讨论在狭义上的VPN技术，它应该满足虚拟性(透明性)，安全性。所以本章并不把如虚拟网VLAN(virtualLAN)，虚拟租用线路VLL(virtualleasedline)等技术作为讨论内容。2.在VPN中使用的公网，将主要讨论以Internet公网作为传输媒介的方式。以Internet公网通过添加辅助协议后组建的VPN就称之为Internet-VPN，或IP-VPN。IP-VPN具有其它VPN所不能比拟的优势。Internet网是全球第一大开放性的互连网络，利用Internet公网资源作为企业专网的延续，可以节省昂贵的长途租费。IP-VPN同时还具有很强的扩展能力和灵活性，支持多种接入方式，包括拨号接入、Cablemodem，xDSL以及ISDN等。在采用了先进的加密技术后，其安全性甚至超过了专用网。正是由于IP-VPN的诸多优点，使得IP-VPN成为VPN的未来的趋势。在以上的限制下，可以根据网络连接方式的不同把VPN分为以下几种类型：（1）AccessVPN（远程访问虚拟专网）与传统的远程访问网络相对应。在该方式下远端用户不再是如传统的远程网络访问那样，通过长途电话拨号到公司远程接入端口，而是拨号接入到用户本地的ISP，采用VPN技术在公众网上建立一个虚拟的通道。示例如图1：图1（2）IntranetVPN（企业内部虚拟专网）与企业内部的Intranet相对应。在VPN技术出现以前，公司两个异地机构的局网想要互连一般会采用租用专线的方式，虽然该方式也采用如隧道等技术，在一端将数据封装后通过专线传输到目的方解封装，PDF文件使用FinePrintpdfFactoryPro试用版本创建www.fineprint.com.cn然后发往最终目的地。该方式也能提供传输的透明性，但是它与VPN技术在安全性上有根本的差异。示例如图2：图2（3）ExtranetVPN（扩展的企业内部虚拟专网）与企业网和相关合作伙伴的企业网所构成的Extranet相对应。此种类型与类型2没有本质的区别，但由于是不同公司的网络相互通信，所以要更多的考虑设备的互连，地址的协调，安全策略的协商等问题。示例如图3：图32．2VPN的标准在下表中根据ISO七层模型给出了VPN的主要协议标准。在后续的章节中将结合VPN采用的技术作简要的描述。OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCKSv5/SSL网络层数据链路层物理层包过滤IPSecPPTP/L2F/L2TP表11.SOCKSv5/SSL协议SOCKv5是一个需要认证的放火墙协议。当SOCKS同SSL协议配合使用时，可作为建立高度安全的VPN的基础。SOCKS协议的优势在访问控制，因此适用于安全性较高的VPN。SOCKS现在被IETF建议作为建立VPN的标准，尽管还有一些其他协议，但SOCKS协议得到了一些著名的公司如MICROSOFT、NETSCAPE、IBM的支持。优点：SOCKSV5在OSI模型的会话层控制数据流，它定义了非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段要更多一些。SOXKSV5在客户机和主机之间建立了一条虚电路，可根据对用户的认证进行监视和访问控制。SOCKSV5和SSL工作在会话层，因此能同低层协议如IPV4、IPSEC、PPTP、L2TP一起使用。它能提供非常复杂的方法来保证信息安全传输。用SOCKSV5的代理服务器可隐藏网络地址结构。如果SOCKSV5同放火墙结合起来使用，数据包经唯一的放火墙端口（缺省的是1080）到代理服务器，由代理服务器过滤发往目的计算机的数据，这样可以防止防火墙上存在的漏洞。SOCKSV5能为认证、加密和密钥管理提供插件模块，可让用户很自由地采用他们所需要的技术。SOXKSV5可根据规则过滤数据流，包括JAVAAPPLET和ACTIVEX控制。缺点：因为SOCKSV5通过代理服务器来增加一层安全性，所以其性能往往比低层次协议差。尽管比网络层和传输层的方案要更安全，但要比低层次协议需要制定更为复杂的安全管理策略。2.IPSec协议IPSec协议是一个范围广泛，开放的VPN安全协议。IPSec适应向Ipv6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术提供以下安全服务：接入控制，无连接完整性，数据源认证，防重放，加密，防传输流分析。IPSec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种PDF文件使用FinePrintpdfFactoryPro试用版本创建www.fineprint.com.cn是传输(transport)模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。在1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议，其中还包括密钥分配协议IKE、Oakley。ISAKMP/IKE/Oakley支持自动建立加密、认证信道，以及密钥的自动安全分发和更新。优点：它定义了一套用于保护私有性和完整性的标准协议。IPSec支持一系列加密算法如DES、3DES、IDEA。它检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。IPSec可确保运行在TCP/IP协议上的VPN之间的互操作性。缺点：IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配地址时不太适合于IPSec。除了TCP/IP协议以外，IPSec不支持其它协议。除了包过滤外，它没有指定其它访问控制方法。对于采用NAT方式访问公共网络的情况难以处理。33PPTP/L2F、L2TP协议PPTP(PointToPointTunnelingProtocol)协议是微软公司提出来的,PPTP已被嵌入到NT4操作系统中，并被用于Microsoft的路由和远程访问服务,它是数据链路层上的协议。PPTP用IP包来封装PPP协议，用简单的包过滤和微软域网络控制来实现访问控制。L2TP(Layer2TunnelingProtocol)协议是PPTP协议和Cisco公司的L2F(Layer2Forwarding)组合而成，可用于基于Internet的远程拨号方式访问。它有能力为使用PPP协议的客户端建立拨号方式的VPN连接。L2TP也可用于传输多种协议数据，如NetBIOS。优点：PPTP/L2TP对用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其它网络协议，如Novell的IPX，NetBEUI和AppleTalk协议，还支持流量控制。它通过减少丢弃包来改善网络性能，这样可减少重传。缺点：将不安全的IP包封装在安全的IP包内，它们用IP包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的地身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。根据在七层模型中的位置不同，可以将VPN协议分为3类，第二层协议，第三层协议和上层协议。本章将主要讨论第二、三层协议。这些协议标准一般都是一个协议族，由多个协议组成如IPSec协