虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的�����、安全的連接����,是一條穿過混亂的公用網(wǎng)絡的安全���、穩(wěn)定的隧道����。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展���。
虛擬專用網(wǎng)可以幫助遠程用戶����、公司分支機構(gòu)����、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸����。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡上���,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。同時���,這將簡化網(wǎng)絡的設計和管理����,加速連接新的用戶和網(wǎng)站�����。另外��,虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡投資�。隨著用戶的商業(yè)服務不斷發(fā)展�����,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上,而不是網(wǎng)絡上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入���,以實現(xiàn)安全連接�;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路���,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)���。
虛擬專用網(wǎng)至少應能提供如下功能:
·加密數(shù)據(jù),以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露�。
·信息認證和身份認證,保證信息的完整性���、合法性�,并能鑒別用戶的身份���。
·提供訪問控制��,不同的用戶有不同的訪問權(quán)限�����。
虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立一個臨時的�、安全的連接����,是一條穿過混亂的公用網(wǎng)絡的安全�����、穩(wěn)定的隧道�����。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展����。
虛擬專用網(wǎng)可以幫助遠程用戶��、公司分支機構(gòu)��、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接�,并保證數(shù)據(jù)的安全傳輸�。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡上,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用�。同時,這將簡化網(wǎng)絡的設計和管理����,加速連接新的用戶和網(wǎng)站。另外,虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡投資����。隨著用戶的商業(yè)服務不斷發(fā)展,企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上�,而不是網(wǎng)絡上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入��,以實現(xiàn)安全連接�;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)��。
虛擬專用網(wǎng)至少應能提供如下功能:
·加密數(shù)據(jù)��,以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露����。
·信息認證和身份認證,保證信息的完整性����、合法性,并能鑒別用戶的身份�。
·提供訪問控制,不同的用戶有不同的訪問權(quán)限�。
VPN的分類
根據(jù)VPN所起的作用�,可以將VPN分為三類:VPDN�、Intranet VPN和Extranet VPN。
1. VPDN(Virtual Private Dial Network)
在遠程用戶或移動雇員和公司內(nèi)部網(wǎng)之間的VPN�,稱為VPDN。實現(xiàn)過程如下:用戶撥號NSP(網(wǎng)絡服務 提供商)的網(wǎng)絡訪問服務器NAS(Network Access Server)�����,發(fā)出PPP連接請求�����,NAS收到呼叫后����,在用戶和NAS之間建立PPP鏈路,然后��,NAS對用戶進行身份驗證��,確定是合法用戶���,就啟動VPDN功能,與公司總部內(nèi)部連接�,訪問其內(nèi)部資源。
2. Intranet VPN
在公司遠程分支機構(gòu)的LAN和公司總部LAN之間的VPN。通過Internet這一公共網(wǎng)絡將公司在各地分支機構(gòu)的LAN連到公司總部的LAN��,以便公司內(nèi)部的資源共享���、文件傳遞等��,可節(jié)省DDN等專線所帶來的高額費用�。
3. Extranet VPN
在供應商�����、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN�����。由于不同公司網(wǎng)絡環(huán)境的差異性���,該產(chǎn)品必須能兼容不同的操作平臺和協(xié)議�����。由于用戶的多樣性����,公司的網(wǎng)絡管理員還應該設置特定的訪問控制表ACL(Access Control List),根據(jù)訪問者的身份��、網(wǎng)絡地址等參數(shù)來確定他所相應的訪問權(quán)限���,開放部分資源而非全部資源給外聯(lián)網(wǎng)的用戶���。
VPN的隧道協(xié)議
VPN區(qū)別于一般網(wǎng)絡互聯(lián)的關(guān)鍵于隧道的建立,然后數(shù)據(jù)包經(jīng)過加密后�����,按隧道協(xié)議進行封裝�����、傳送以保安全性�����。一般��,在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議�����,常用的有PPTP�����、L2TP等�;在網(wǎng)絡層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議,如IPSec���;另外��,SOCKS v5協(xié)議則在TCP層實現(xiàn)數(shù)據(jù)安全��。
1. PPTP(Point-to-Point Tunneling Protocol)/ L2TP(Layer 2 Tunneling Protocol)
1996年���,Microsoft和Ascend等在PPP協(xié)議的基礎上開發(fā)了PPTP,它集成于Windows NT Server4.0中���,Windows NT Workstation和Windows 9.X也提供相應的客戶端軟件�����。PPP支持多種網(wǎng)絡協(xié)議���,可把IP、IPX�����、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中��,再將整個報文封裝在PPTP隧道協(xié)議包中,最后�����,再嵌入IP報文或幀中繼或ATM中進行傳輸��。PPTP提供流量控制�,減少擁塞的可能性���,避免由包丟棄而引發(fā)包重傳的數(shù)量�����。PPTP的加密方法采用Microsoft點對點加密(MPPE:Microsoft Point-to-Point Encryption)算法���,可以選用較弱的40位密鑰或強度較大的128位密鑰��。
1996年,Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議�����,它也支持多協(xié)議�����,但其主要用于Cisco的路由器和撥號訪問服務器���。1997年底��,Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起�����,形成了L2TP協(xié)議����。L2TP支持多協(xié)議�,利用公共網(wǎng)絡封裝PPP幀�����,可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容����。還繼承了PPTP的流量控制�,支持MP(Multilink Protocol),把多個物理通道捆綁為單一邏輯信道�。L2TP使用PPP可靠性發(fā)送(RFC1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務器之間采用口令握手協(xié)議CHAP來驗證對方的身份�����。L2TP受到了許多大公司的支持�。
●優(yōu)點:PPTP/L2TP對用微軟操作系統(tǒng)的用戶來說很方便,因為微軟已把它作為路由軟件的一部分�����。PPTP/L2TP支持其他網(wǎng)絡協(xié)議���,如Novell的IPX��,NetBEUI和Apple Talk協(xié)議�,還支持流量控制。它通過減少丟棄包來改善網(wǎng)絡性能�,這樣可減少重傳。
●缺點:PPTP和L2TP將不安全的IP包封裝在安全的IP包內(nèi)�,它們用IP幀在兩臺計算機之間創(chuàng)建和打開數(shù)據(jù)通道,一旦通道打開�����,源和目的用戶身份就不再需要���,這樣可能帶來問題。它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制�����。PPTP和L2TP限制同時最多只能連接255個用戶����。端點用戶需要在連接前手工建立加密信道。認證和加密受到限制�,沒有強加密和認證支持。
PPTP和L2TP最適合用于遠程訪問虛擬專用網(wǎng)����。
