虛擬專用網絡VPN“Virtual Private Network”。vpn被定義為通過一個公用網絡(通常是因特網)建立一個臨時的��、安全的連接�����,是一條穿過混亂的公用網絡的安全�、穩(wěn)定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的�����。虛擬專用網是對企業(yè)內部網的擴展��。虛擬專用網可以幫助遠程用戶�����、公司分支機構��、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接����,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯網虛擬專用網�����。VPN主要采用隧道技術、加解密技術�、密鑰管理技術和使用者與設備身份認證技術。
功能
VPN可以提供的功能: 防火墻功能�����、認證�����、加密�、隧道化。
VPN可以通過特殊加密的通訊協(xié)議連接到Internet上�,在位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣��,好比通過安全隧道�,到達目的地,而不用為隧道的建設付費���,但是它并不需要真正的去鋪設光纜之類的物理線路�。這就好比去電信局申請專線�����,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備�。VPN技術原是路由器具有的重要技術之一,在交換機�,防火墻設備或Wind
ows 2000及以上操作系統(tǒng)中都支持VPN功能,一句話�����,VPN的核心就是利用公共網絡建立虛擬私有網��。
常用協(xié)議
常用的虛擬專用網絡協(xié)議有:
IPSec : IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標準����,它主要對IP協(xié)議分組進行加密和認證。
IPsec作為一個協(xié)議族(即一系列相互關聯的協(xié)議)由以下部分組成:(1)保護分組流的協(xié)議;(2)用來建立這些安全分組流的密鑰交換協(xié)議���。前者又分成兩個部分:
加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH)�,認證頭提供了對分組流的認證并保證其消息完整性����,但不提供保密性�。目前為止�����,IKE協(xié)議是唯一已經制定的密鑰交換協(xié)議�。
PPTP: Point to Point Tunneling Protocol -- 點到點隧道協(xié)議
在因特網上建立IP虛擬專用網(VPN)隧道的協(xié)議����,主要內容是在因特網上建立多協(xié)議安全虛擬專用網的通信方式。
L2F: Layer 2 Forwarding -- 第二層轉發(fā)協(xié)議
L2TP: Layer 2 Tunneling Protocol --第二層隧道協(xié)議
GRE:VPN的第三層隧道協(xié)議
OpenVPN:OpenVPN使用OpenSSL庫加密數據與控制信息:它使用了OpenSSL的加密以及驗證功能�,意味著,它能夠使用任何OpenSSL支持的算法�。它提供了可選的數據包HMAC功能以提高連接的安全性。此外��,OpenSSL的硬件加速也能提高它的性能�。
MPLS VPN集隧道技術和路由技術于一身,吸取基于虛電路的VPN的QoS保證的優(yōu)點���,并克服了它們未能解決的缺點��。MPLS組網具有極好的靈活性���、擴展性,用戶只需一條線路接入MPLS網,便可以實現任何節(jié)點之間的直接通信�,可實現用戶節(jié)點之間的星型、全網狀以及其他任何形式的邏輯拓撲
使用方法
一.便攜網帳號申請開通
企業(yè)向運營商申請租用一批便攜網使用帳號(即license���,譯:許可證),由企業(yè)自行管理分配帳號����。企業(yè)管理員可以將需要使用便攜網的各個部門��,成立不同的VPN域�,即不同的工作組,比如可分為財務�����、人事�、市場、外聯部等等���。同一工作組內的成員可以互相通訊��,既加強了成員之間的聯絡�����,又保證了數據的安全����。而各個工作組之間不能互相通訊�����,保證了企業(yè)內部數據的安全����。
二.便攜網客戶端安裝
1.系統(tǒng)需求
表—列出了在裝有Microsoft Windows操作系統(tǒng)的計算機上安裝便
攜網絡客戶端軟件(yPND:your Portable Network Desktop)的最小系統(tǒng)要求。計算機配置必須符合或高于最小系統(tǒng)要求才能成功的安裝和使用便攜網絡客戶端軟件
2.預安裝
為成功安裝 便攜網絡客戶端 軟件必須確保滿足下列情況:
計算機符合“系統(tǒng)需求”表所列的最小系統(tǒng)要求�。
安裝程序會檢查系統(tǒng)是否符合要求,如果不滿足就不能繼續(xù)安裝�,必須使系統(tǒng)符合最低配置要求才能進行安裝。
· 必須擁有計算機的系統(tǒng)管理員權限才能安裝����。
技術特點
1.安全保障
雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性�。在安全性方面,由于VPN直接構建在公用網上�,實現簡單、方便����、靈活���,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數據不被攻擊者窺視和篡改����,并且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業(yè)數據提供不同等級的服務質量保證�。不同的用戶和業(yè)務對服務質量保證的要求差別較大。在網絡優(yōu)化方面�����,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源���,為重要數據提供可靠的帶寬����。廣域網流量的不確定性使其帶寬的利用率很低����,在流量高峰時引起網絡阻塞,使實時性要求高的數據得不到及時發(fā)送;而在流量低谷時又造成大量的網絡帶寬空閑��。
QoS通過流量預測與流量控制策略,可以按照優(yōu)先級實現帶寬管理���,使得各類數據能夠被合理地先后發(fā)送����,并預防阻塞的發(fā)生����。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流�,方便增加新的節(jié)點,支持多種類型的傳輸媒介��,可以滿足同時傳輸語音�、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理�、維護。VPN管理的目標為:減小網絡風險�、具有高擴展性、經濟性����、高可靠性等優(yōu)點。事實上���,VPN管理主要包括安全管理���、設備管理�、配置管理�����、訪問控制列表管理�、QoS管理等內容。
主要優(yōu)勢
1)建網快速方便
用戶只需將各網絡節(jié)點采用專線方式本地接入公用網絡����,并對網絡進行相關配置即可。
2)降低建網投資
由于VPN是利用公用網絡為基礎而建立的虛擬專網��,因而可以避免建設傳統(tǒng)專用網絡所需的高額軟硬件投資����。
3)節(jié)約使用成本
用戶采用VPN組網,可以大大節(jié)約鏈路租用費及網絡維護費用�����,從而減少企業(yè)的運營成本��。
4)網絡安全可靠
實現VPN主要采用國際標準的網絡安全技術,通過在公用網絡上建立邏輯隧道及網絡層的加密�����,避免網絡數據被修改和盜用�,保證了用戶數據的安全性及完整性。
5)簡化用戶對網絡的維護及管理
大量的網絡管理及維護工作由公用網絡服務提供商來完成��。
京公網安備 11010802021500號
