二. VPN的原理
VPN通俗一点说就是使用加密的IP隧道, 实现私有IP包, 和其他网络协议(IPX, NetBEUI等)包在Ineternet上的传输, 从而实现位于WAN上的不同LAN的各种协议虚拟连接, 即虚拟的局域网. VPN拥有成本低、开销少、灵活度高等优点. VPN有以下几大功 能:可以替换现有的专用网网段或子网;通过把特定应用分离出来满足相应需求,为专 用网络提供有益的补充;在不影响现有专用 网的情况下,处理新应用;增加新位置,特别是国际性网站。
VPN有两个基本要求:
一是使用IP和地址;二是要提供严格的安全性。对已经使用IP并具有注册的Internet地址的应用来说,第一个要求很容易满足。对使用专 用或非正式IP地址的企业内部网或企业外部网,可以采用各种隧道协议和地址租赁技 术。点到点隧道协议(PPTP)和通用路由封装 (GRE)都可以在正式的IP分组内部为专用IP分 组提供隧道。PTP和GRE还能够为非IP分组提供 隧道,如使用NetWare的IPX或NetBIOS/NetBEUI的分 组。动态主机配置协议(DHCP)和网络地址转 换协议(NAT)使Internet地址租赁成为可能。DHCP 和NAT只在会话过程中才分配一个Internet地 址,或用一个Internet地址代替专用地址。
第二个基本要求——安全性又分为两个方面:即用户认证和保密性。其实,在使用公共 Internet进行专用通信时,IT经理关心的最主要问题即安全性。幸运的是,这两个方面都 有基于标准的解决方案。远程验证用户拨入 服务(RADIUS)是一个维护用户配置文件的数 据库,包括口令和访问优先权。代理RADIUS功 能允许在Internet服务供应商(ISP)的接入点 (POP)设备上接入客户的RADIUS服务器,获得 必要的用户配置文件信息。IETF的IP安全(IPSec)加密标准解决了安全性 的保密问题。IPSec 的安全有效载荷封装(ESP) 允许选择数据加密标准(DES)或三重DES(3DES),这两种标准都提供了严格的保密 性及强大的验证功能。
在满足基本应用要求后,有三种一般情况特 别合适于采用VPN:
1.位置众多,特别是单个用户和远程办公 室站点多;
2.用户/站点分布范围广,彼此之间的距离 远,遍布全球各地;
3.带宽和时延要求相对适中。
站点的数量是是否采用VPN的关键标准。站点数量越多,站点之间的距离越远,VPN解决方案越有可能成功。为找出最佳应用,应深入了解VPN为用户带来的各项好处。
相对而言,有三种情况可能并不适于采用VPN:
1.不管价格多少,性能都被放在第一位的 情况;
2.采用不常见的协议、不能在IP隧道中传送 应用的情况;
3.大多数通信是实时通信的应用,如语音 和视频。但这种情况可以使用公共交换电话 网(PSTN)解决方案与VPN配合使用。
在这些情况下,帧中继作为公用数据网(PDN) 可以很好地代替Internet。例如,帧中继接入设 备(FRAD)能够把IBM的SNA(系统网络结构)通信与IP或基于LAN的其它协议集成起来。有些厂商甚至声称帧中继可以支持语音通信。帧中 继的主要缺点是,目前只有美国广泛采用帧中继。当然,有些用户不会把帧中继作为公共网。尽管帧中继的公开性低于
Internet,但帧 中继并不象PSTN那样具有固有的安全性。因此,基于帧中继的任何专用网络都应视为 VPN,但其同样也存在着安全要求。在为客户确定最佳VPN方案时,可以按下述的步骤逐一进行。从客户角度看,每个新建的 VPN都要求独一无二的解决方案,而从提供商的角度看,可以利用同一个基础设施,使用同一个实现过程。下面简要列出了实现客户VPN的各个步骤:
1.与客户密切合作,制订VPN规划(通常这一步在销售期间内已经完成);
2.准备实现VPN,包括检查/测试所有现有的CPE(用户前端设备)和订购所有必要的CPE;
3.在试点网站或“第一期”VPN网站实现VPN;
4.对试点或第一期VPN进行测试:
5.使用上面列出的实施和测试试点或第一期VPN的各个步骤,在网络中其余部分实现 VPN:
6.完成以后的管理工作,包括监视、评估及功能微调等。
更多内容请看VPN技术、SSL VPN详细知识介绍专题专题,或进入讨论组讨论。
相关专题
- VPN技术 (1067篇文章)
- SSL VPN详细知识介绍专题 (1067篇文章)
- 层层设防保护VoIP安全 抵御隔墙之耳入侵 (0次浏览)
- 火暴中暗藏危机 2008年提防VoIP漏洞 (0次浏览)
- 2008年VoIP预测:统一通信进入中小企业 (0次浏览)
