VPN网络建设方案

VPN网络建设方案武汉新动力网络有限公司电话：027-59706366，13036110471二零零五年前言VPN(虚拟专用网，VirtualPrivateNetwork)在国外已经快速的得到发展，2001年全球VPN市场将达到120亿美元，它能够吸引许多公司、机构采用的最重要的原因就是能够节约成本。现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。用户现在在电信部门租用的帧中继（FrameRelay）与ATM等数据网络提供固定虚拟线路（PVC-PermanentVirtualCircuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是FrameRelay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。VPN的实现有三种。一种是打电话给Internet服务商(ISP)，将任务完全传送给服务商。另一种相反的选择是IT管理人员只购买拨入服务连接并在公司的范围内提供VPN的所有元素。第三种选择是外购部分作业并维持其余的作业。在第一种情况下，IT管理人员和企业人员完全依赖于ISP，将VPN的各个方面都移交给了ISP。另一方面，在内部维持所有VPN操作使企业具有一定的控制权。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。VPN的特点在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点：1．安全保障虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。2．服务质量保证（QoS）VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。3．可扩充性和灵活性VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4．可管理性从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。对于安全保障，相对企业级用户就显得十分重要，要保证公司内部的重要数据在VPN上传输而不被其他的用户所获得，就需要在VPN的虚拟信道中对IP数据包进行加密，目前最先进的IP加密方法就是使用IPSec,IPSec可有效地保护IP数据包的安全。它采取的具体保护形式包括：数据起源地验证；无连接数据的完整性验证；数据内容的机密性（是否被别人看过）；抗重播保护；以及有限的数据流机密性保证。IPSec提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议（如UDP和TCP）提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施方案相互间可以共通。而且假若想增加新的算法，其过程也是非常直接的，不会对共通性造成破坏。VOIPVoIP是建立在IP技术上的分组化、数字化传输技术，其基本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按IP等相关协议进行打包，经过ＩＰ网络把数据包传输到接收地，再把这些语音数据包串起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由IP网络传送语音的目的。IP电话系统把普通电话的模拟信号转换成计算机可联入因特网传送的IP数据包，同时也将收到的IP数据包转换成声音的模拟电信号。经过IP电话系统的转换及压缩处理，每个普通电话传输速率约占用８～11kbit/s带宽，因此在与普通电信网同样使用传输速率为64kbit/s的带宽时，IP电话数是原来的５～８倍。VoIP的核心与关键设备是ＩＰ电话网关。ＩＰ电话网关具有路由管理功能，它把各地区电话区号映射为相应的地区网关ＩＰ地址。这些信息存放在一个数据库中，有关处理软件完成呼叫处理、数字语音打包、路由管理等功能。在用户拨打ＩＰ电话时，ＩＰ电话网关根据电话区号数据库资料，确定相应网关的ＩＰ地址，并将此ＩＰ地址加入ＩＰ数据包中，同时选择最佳路由，以减少传输时延，ＩＰ数据包经因特网到达目的地ＩＰ电话网关。对于因特网未延伸到或暂时未设立网关的地区，可设置路由，由最近的网关通过长途电话网转接，实现通信业务。在实现方式上，VoIP有电话机到电话机、电话机到ＰＣ、ＰＣ到电话机和ＰＣ到ＰＣ等４种方式。VoIP的关键技术包括信令技术、编码技术、实时传输技术、服务质量（ＱｏＳ）保证技术、以及网络传输技术等。随着VOIP话音数据服务的流行，许多企业也都参与进来建设自己的VOIP服务。VoIP在企业专用网VPN中是非常有效的。因为采用虚信道的方式进行数据传输，在保证IP数据包传输正常的情况下，同时也支持了话音数据的传输，避免了普通IP电话在公网上出现的失真，话音质量得到良好的保证。产品介绍采用系列Vigor宽带VPN产品：Vigor现在有以下系列产品：Vigor2200系列：Vigor2200，Vigor2200E，Vigor2200XVigor2300系列Vigor2600系列Vigor无线系列Vigor2200系列路由器介绍：功能简介支持ADSL/Cable/FTTx共享上网内置拔号程序，可自动拔号，自动断线，节省费用提供远程访问、局域网互拔支持VPNServer、VPNClient支持PPTP、L2TP、L2TP、IPSec支持静态或动态路由具有NAT、DHCP、DNS、DDN、DDNS、DMZ中文WEB页面设置，便于管理内置防火墙和PAP/CHAP认证功能可通过拔入或Internet远程维护能即时监测使用状态设置使用权限及使用时间WAN接口：一个10Base-T的RJ45口PPPOEDHCPClientPPTPClientVPNClientVPNServerARP,IP,ICMP,TCP,UDPLAN接口及提供的服务：四个10/100Base-Tx交换口支持协议：APP,IP,ICMP,TCPUDP支持DHCP服务：动态分配IP地址，子网掩码，网关，域名服务（DNS）等支持NAT网络地址解析服务支持DNS代理服务支持DMZ中立服务IP路由协议：RIPVersionII内置防火墙可设置IP数据包过滤内置防黑客侵入程序设置和管理基于WEB图形界面（WUI）利用浏览器可以进行系统的设置系统的状态监控系统的密码设置基于Telnet通讯用户接口（TUI）利用文本命令进行操作提供诊断工具可随时地实现升级兼容的操作系统Windows95/98/ME/NT/2000/XPMacOSLinux或其它Unix内置软件升级协议:TFTP外形尺寸：长：21.8cm宽：15.8cm高：3.6cm长：21.8cm宽：15.8cm高：3.6cm重量：399克最大功率：10W硬件信息：CPU:50MHZFlash:1MRAM:4M其它各系列产品详情，请浏览网页：即动态域名解析服务器。在浩如烟海的因特网中，如何能找到需要的机器呢？即我们要找VPNServer的IP地址呢？如果VPNserver有固定的IP，那么VPNClient端就会通过IP地址直接找到VPNServer。如果没有固定IP呢？例如ADSL拨号上网，每次从ISP那里得到的IP都不一样。这时就可以通过我们在因特网上放置了一台DDNS服务器。为VPNClient申请一个主机名。当VPN的Client在登录到因特网时，自动到距离最近（指的是网络距离而非物理距离）的Server上去登记，并寻找与自己匹配的域。我们称这个域为vdomain。如果发现该域内已经有与自己匹配的vhost，就会自动去连接已登记的VPNServer并与之建立连接。从而建立了VPN通道。DDNS有以下功能：在VPNServer的IP地址更新后，自动在DDNS上通过验证，从而更新自己的IP地址；无需申请固定IP地址。Vigor系列路由器实现企业VPN企业用户可以用Vigor系列路由器自己建立VPN，将VPN设备安装在其总部和分支机构中，将各个机构低成本且安全地连接在一起。企业建立自己的VPN，最大的优势在于高控制性，尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。企业在每个分公司放置一台路由器作为VHOST，然后整个公司的VHOST组成一个VDOMAIN，这样有VDOMAIN、VHOST及其对应用的PASSWORD项组成。企业还可以确保得到业内最好的技术以满足