基于广域网运行SMS的VPN方案要点解析.docVIP

基于广域网运行SMS的VPN方案 VPN概述 VPN(Virtual Private Network)即虚拟专用网络，就是两个具有VPN发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全的隧道。在隧道的发起端(即服务端)，用户的私有数据通过封装和加密之后在Internet上传输，到了隧道的接收端(即客户端)，接收到的数据经过拆封和解密之后安全地到达用户端。不言而喻，此种方式能在非安全的互联网上安全地传送私有数据来实现基于internet的联网操作。VPN技术的效果类似于传统的DDN专线联网方式，网络拓扑如下图所示。针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access?VPN）、企业内部虚拟网（Intranet?VPN）和企业扩展虚拟网（Extranet?VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。　　■Access?VPN　　Access?VPN，通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。Access?VPN能使用户随时、随地以其所需的方式访问企业资源。Access?VPN包括模拟、拨号、ISDN、数字用户线路?(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。Access?VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。　　Access?VPN的优点如下：　　减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。　　实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。　　极大的可扩展性，简便地对加入网络的新用户进行调度。　　远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。　　将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。　　■Intranet?VPN　　越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet?VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet?VPN上安全传输。Intranet?VPN?通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量?(QoS)、可管理性和可靠性。Intranet?VPN的优点如下：　　减少WAN带宽的费用。　　能使用灵活的拓扑结构，包括全网孔连接。　　新的站点能更快、更容易地被连接。　　通过设备供应商WAN的连接冗余，可以延长网络的可用时间。　　■Extranet?VPN　　随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。Extranet?VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。Extranet?VPN结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。Access?VPN的构建基础 客户端能够稳定上网，并且下行（电信到客户端）带宽在1M； VPN的服务器端，最好专线上网，随着客户端的增多，服务器端对带宽的要求越大，建议上行（服务器到电信）带宽在10M之上； 客户端必须知道VPN服务器IP或者域名，建议采用固定的互联网IP，如果条件限制不能拥有固定的IP，可以采用动态域名服务（DDNS）系统进行导向来达到连接到服务器的效果。 为了降低系统的构建成本和后期维护成本，在本方案中VPN服务器采用windows server 2003，客户端采用w