企业网络的构建技术12章重点.ppt

12.1 虚拟专用网(VPN)概述 12.1.1 虚拟专用网 虚拟专用网络(Virtual Private Network，VPN)是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。 VPN实际上是“线路中的线路”，类似于城市大道上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即“虚拟”的。不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们广泛关注。 虚拟专用网络为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道，一个网络连接通常由3个部分组成：客户机、传输介质和服务器。VPN同样也由这3部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，例如Internet或Intranet。 12.1.2 虚拟专用网络(VPN)的特点 在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点。 1. 安全保障 2. 服务质量保证 3. 可扩充性和灵活性 4. 可管理性 12.2 虚拟专用网(VPN)的解决方案 * 第12章 虚拟专用网VPN 12.1 虚拟专用网(VPN)概述 12.2 虚拟专用网(VPN)的解决方案 12.3 通过Internet远程访问的部署 12.1.3 虚拟专用网络(VPN)适用对象 在满足基本应用要求后，有以下几大类用户比较适合采用VPN。 (1) 位置众多，特别是单个用户和远程办公室站点多。例如，企业用户、远程教育用户。 (2) 用户与站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户。 (3) 带宽和延时要求相对适中。 (4) 对线路保密性和可用性有一定要求的用户。 12.1.4 虚拟专用网络(VPN)安全技术 由于传输的是私有信息，VPN用户对数据的安全性都比较关心。目前VPN主要采用多项技术来保证安全，这些技术分别是隧道技术(Tunneling)、加解密技术(Encryption Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。 1. 隧道技术 隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP协议中，再把整个数据包装入隧道协议中。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有VTP、IPSec等。IPSec(IPSecurity)是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 2. 加解密技术 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 3. 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传输密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要利用Diffie Hellman的演算法则在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用和私用。 4. 使用者与设备身份认证技术 最常用的安全技术是使用者名称与密码或卡片式认证等方式。 12.2.1 远程访问虚拟专用网 远程访问虚拟专用网(VPN)通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。远程访问虚拟专用网(VPN)能使用户随时随地以其所需的方式访问企业资源。远程访问虚拟专用网(VPN)包括模拟、拨号、ISDN、数字用户线路(ADSL)、移动IP和电缆技术，能够安全地连接到移动用户、远程工作者或分支机构。如图12-1所示。 图12-1 VPN连接示意图 远程访问虚拟专用网最适用于公司内部经常要流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS(远端验证拨入用户服务)服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。 远程访问虚拟专用网对用户的吸引力在于： (1) 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。 (2) 实现本地拨号接入的功能来取代远距离接入或电话接入，这样能显著降低远距离通