M000 008 VPN概论(中文版 V1.0)定稿.docVIP

VPN概述 VPN的定义 虚拟私有网（Virtual Private Network）简称为VPN，是近年来随着Internet的发展而迅速发展起来的一种技术。利用公共网络来构建的私人专用网络称为虚拟私有网络VPN（Virtual Private Network），用于构建VPN的公共网络包括Internet，帧中继，ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性，可靠性和可管理性等。利用基于IP协议族的Internet实现VPN的核心技术是各种隧道技术，通过该隧道企业私有数据可以安全的传递 。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接传统的组网方式是通过专线连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。 在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN的应用具有很大灵活性。支持驻外VPN用户在任何时间、任何地点的移动接入，这将满足不断增长的移动业务需求。构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证。 利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP（Internet Service Provider，Internet服务提供商）的收益。 VPN的分类 IP VPN是指利用IP设施（包括公用的Internet或专用的IP骨干网）实现WAN设备专线业务（如远程拨号、DDN等）的仿真。IP VPN可有以下几种分类方法： 按业务用途划分： Access VPN（远程访问虚拟专网） Access VPN向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的Intranet和Extranet建立私有的网络连接。Access VPN的结构有两种类型，一种是用户发起（Client-initiated）的VPN连接，另一种是接入服务器发起（NAS-initiated）的VPN连接。 Intranet VPN（企业内部虚拟专网） Intranet VPN通过公用网络进行企业内部各个分布点互联，是传统的专线网或其它企业网的扩展或替代形式。 Extranet VPN（扩展的企业内部虚拟专网） Extranet VPN是指利用VPN将企业网延伸至供应商、合作伙伴与客户处，使不同企业间通过公网来构筑VPN。 根据在OSI模型中实现隧道的层次： 第二层隧道协议：是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有：PPTP（Point-to-Point Tunneling Protocol）点到点隧道协议，L2F（Layer 2 Forwarding）二层转发协议，L2TP（Layer 2 Tunneling Protocol）二层隧道协议。 第三层隧道协议：隧道内只携带第三层报文。现有的第三层隧道协议主要有GRE（Generic Routing Encapsulation）通用路由封装协议， IPSec（IP Security）协议：IPSec协议不是一个单独的协议，包括AH（Authentication Header）头验证协议，ESP（Encapsulating Security Payload）。 Access VPN （VPDN） 远程接入VPN（Remote Access VPN）又称VPDN（Virtual Private Dial Network ）。这种方式的VPN解决了出差员工在异地访问企业内部私有网的问题，提供身份验证、授权和计费的功能。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。在Access VPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。企业开设VPN服务所需的设备很少，只需在资源共享处放置一台支持VPN的路由器就可以了。资源享用者通过PSTN连入所在地POP服务器后，直接呼叫企业的VPN路由器。呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的，只需按当地的电话收费标准交付费用。 ISP提供VPDN服务，由ISP通过隧道协议与企业的网关之间建立隧道，用户端不必维护配置信息，不用安装VPDN的拨号软件。如果由用户直接发起连接，首先需要通过PSTN或ISDN拨入ISP，接入Internet，再通过本机配备的VPDN拨号软件发起拨号连接，用户在配置拨号软件前，需要从LNS侧协商好配置参数。在会话建立完毕后，由LNS 对用户进行验证、授权和记费。 I