企业VPN技术建议书攻略.docVIP

VPN技术方案建议书 拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。 　　 虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义： 　　一、 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立； 　　二、 它是利用公众网络设施构成的专用网。 　　VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处： 　　采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用； 　　公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接； 　　对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系； 　　电话公司通过开展拨号VPN服务可以减轻终端阻塞； 　　通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。 　　VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 　　VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，VPN将是本世纪末发展速度最快的业务之一。 　　1.1 什么是VPN 　　通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑Virtal Private Network（即VPN）。如果接入方式为拨号方式，则称之为VPDN。 　　VPN通过公众IP网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话费用开支，并且提供了安全的端到端的数据通讯。 　　VPN的建立有三种方式：一种是企业自身建设，对ISP透明；第二种是ISP建设，对企业透明；第三种是ISP和企业共同建设。 　　1.2 VPN的工作原理 　　用户连接VPN的形式： 　　常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。 　　 这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？ 　　建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。 　　另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。 　　1.3 VPN涉及的关键技术 　　VPN是一个虚拟的网，其重要的意义在于虚拟和专用。为了实现在公网之上传输私有数据，必须满足其安全性。VPN技术主要体现在两个技术要点上：Tunnel、相关隧道协议（包括PPTP，L2F，L2TP），数据安全协议（IPSEC）。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。 　　1.3.1 隧道技术（Tunneling） 　　 隧道技术介绍 　　VPN在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在VPN中，通过采用一种所谓隧道的技术，可以通过公共路由网络传送数据分组，例如Internet网或其他商业性网络。 　　这里，专有的隧道类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技