您所在的位置:首页 > 解决方案 > VPN解决方案
一、 VPN概念
在企业信息化的今天,各种ERP、OA、CRM等软件的运行都需要一个网络平台。而通过DDN/F.R/SDH等网络专线,不仅线路成本高,带宽低,而且传输过程没有加密措施,安全性没有保障,并且建立网络专线需要向运营商协调申请,需要在运营商网络覆盖的范围内铺设,更加大了网络专线的普及难度。
与此相反的,Internet的发展却非常迅速,它是对整个社会开放的公众基础网络,能够普及到全球任何一个角落,具有覆盖范围广、速度快、费用低、使用方便等特点。越来越多的人都喜欢和习惯使用internet作为交流和工作的必备工具。
那么,有没有什么技术把这两种情况连接在一起呢?VPN的出现,就能够决这个问题。
VPN解决方案
二、什么是VPN
VPN技术是指采用隧道技术以及加密、身份认证等方法,在公众网络上构建专用网络的技术,数据通过安全的"加密通道"在公众网络中传播。VPN(Virtual Private Network)是利用公用网络构建私有网络的一种技术。
V :Virtual虚拟的——不用真正的铺设线路
P :Private私有的——非常安全
N :Network 网络的——互联互通
VPN技术实现了内部网信息在公众信息网中的传输,就如同在茫茫的广域网中为用户拉出一条专线。对于用户来讲,公众网络起到了"虚拟专用"的效果。通过VPN,网络对每个使用者也是专用的。也就是说,VPN根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以VPN对于每个用户,也是"专用"的,这一点应该是VPN给用户带来的最明显的变化。
三、 VPN的优点
利用公用网络构建VPN是个新型的网络概念,它给服务提供商(ISP)和VPN用户(企业)都将带来不少的益处。 对于服务提供商来说,在通过向企业提供VPN这种增值服务,ISP可以与企业建立更加紧密的长期合作关系,同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加,将给ISP带来新的商业机会。
而对于企业而言,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道,局域网互联费用可降低20~40%,而远程接入费用更可减少60~80%,这无疑是非常有吸引力的;VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN提高了整个企业网的互联性,良好的扩展性使得企业更好、更快地适应Internet经济的发展,把握商机;另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
四、VPN解决方案
1. VPN设计原则
VPN的设计包含以下原则:
安全性
VPN的安全性包含以下特征: 隧道协议、密钥协议、数据验证、用户验证。
隧道协议:隧道能实现多协议封装,增加VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
密钥协议:在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。一般来说,密钥加密的方法有三种类型:对称加密、非对称加密和Hash加密
数据验证:在不安全的网络上,特别是构建VPN的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。
用户验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。
网络优化
构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
VPN管理
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。
VPN管理主要包括安全管理、设备管理、配置管理、ACL管理、QoS管理等内容。
2. VPN分类解决方案
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
Access VPN
Access VPN,通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
Access VPN的优点如下:
减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。
实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。
极大的可扩展性,简便地对加入网络的新用户进行调度。
拨号网络的工作人员转到公司的核心业务上来。
Intranet VPN
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量 (QoS)、可管理性和可靠性。
Intranet VPN的优点如下:
减少WAN带宽的费用。
能使用灵活的拓扑结构,包括全网孔连接。新的站点能更快、更容易地被连接。
通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
Extranet VPN
随着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
Extranet VPN结构的主要好处是,能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。
展开