I及其相关技术概览.docVIP

VPN及其相关技术概览　 040201SDT-China-SDT-S-CS－RD 2004年02月 上海研发中心 盛唐通讯有限公司 SDT Ltd. 　 ·VPN的出现背景 　　随着全球Internet业务的扩展和基于IP协议的网络应用的大行其道，服务提供商面临着为用户提供激动人心的新服务的压力。新电信设施的性能已经在转变服务商的业务类型上起了巨大作用，情况已经从面向网络传输的只提供最基本带宽的业务转向以商务为中心的捆绑大量网络增值服务的业务模型。 　　而另一方面，为了维护自身的长期利益，服务商将面临扩展传输数据、语音、视频的公网的挑战。这种挑战在商务用户的网络变更中尤为明显。原因是商务应用日益复杂而企业又总是试图降低运作成本，而越来越大型化的企业网和与业务上有协作关系的其他企业连接的协作网（Extranet）使得企业每年在租用专线和为出差人员结算的远程拨入费用支付大笔金钱，以至令人咋舌的地步。而同时，网络服务商们都在为与电信争夺用户而绞尽脑汁，而在所争夺的用户中，企业级用户占据了很大的比例，接纳一个大型企业用户相当于接纳几千名单独用户。所以无论是企业的网络主管还是网络服务商都在寻求新的解决之道以求突破，而VPN正是他们所要找的解决方法。 · VPN的概述 　　VPN的基本思想就是利用Internet来传输私有信息而形成逻辑网络,`从而为企业级用户提供比专线价格低廉和高安全性的资源共享和互连服务。 　　VPN是一种在基于共享体系结构的企业级的连接业务，它有着与私有网相同的策略。你可以在IP、帧中继、ATM或INTERNET上建立VPN。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足客户对原企业网与Remote Office、移动用户、远程用户间无缝连接的要求，即将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量（包括速度、简便性和保密性上的提升）。 　　对服务商来说VPN的好处在于：VPN的用户是企业用户，其巨大的数据流量是不平均分配。流量只在上班时间有。而一般企业用户的使用时间正和大量的Internet家庭用户的使用时间错开，所以提高了原来网络设备在通信低谷时间的利用率，而服务商正好借此加快收回投资的周期。 　　对VPN的使用者来说，VPN可以将他们付出的专线租用费转变成少量的市话费和Internet服务费，这惊人地减少他们了在租用专线上花费的金钱，甚至对某些小型企业可以省去自己建网的步骤。 ·VPN建立的企业网 　　图：使用VPN建立的企业网的结构 　　 　　图中可以看到，企业内部资源享用者通过PSTN网连入本地ISP的POP（Point of Presence，指服务商通常在很大的地理范围放置多个网络设备，而这种地理位置就）服务器，即可相互通信，而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源。这对于流动性很大的出差人员和分布广泛的客户来说是很有意义的。 　　企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN的服务器（如一台Windows NT或支持VPN的路由器）就可以了。资源享用者通过PSTN连入本地POP服务器后，直接呼叫企业的远程服务器（VPN服务器）。呼叫的方式和建立PSTN连接的呼叫方式完全是一样的，剩下的工作就完全由ISP的接入服务器（Access Server）来完成。 　　图：用户到VPN Server的连接图 　　 　　NAS（Network Access Server，网络接入服务器）主要使用了一种称之为tunneling的技术。这种技术的主要思想是要将一种类型网络的数据包通过另一种类型网络进行传输。上图中，用户通过PSTN网拨入ISP的NAS服务器，NAS服务器通过用户名或接入号码识别出该用户为VPN用户后，就和用户的目的VPN服务器建立一条连接，称为隧道，然后将用户数据包封装成IP报文后从该隧道传送给VPN服务器，VPN服务器收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧都可以对报文进行加密处理，使Internet上的其他用户无法读取，因而是安全可靠的。对用户来说，隧道是其PSTN链路的逻辑延伸，操作起来和存在物理链路相同。 　　由于传输的是私有信息，VPN用户对数据安全性比较关心，后面将会就这个问题详加说明。在数据传输过程中，用户和他的VPN服务器之间可以协商数据加密传输。加密之后，即便是ISP的NAS，也无法看到数据包的内容。而且即使是用户不对其数据加密，NAS和VPN服