项目9VPN技术选编.pptVIP

项目9 VPN技术 项目1 双机互连对等网络的组建 9.1 项目提出 随着公司规模的快速扩张，张先生在全国各地开办了上百家分公司。由于总公司的财务系统、OA、ERP、CRM等软件系统需要将各地分公司的数据实时汇总、集中管理、统一存储和统一安全防护，需要将总公司与各地分公司进行联网。 虽然可以租用电信运营商的专线进行联网，但专线费用昂贵，况且同一运营商的网络覆盖范围有限，不能提供跨运营商的专线租赁服务，导致只能租用一家运营商的专线(如中国电信)。而“南电信，北网通”导致北方有的分公司不在中国电信的网络覆盖范围之内。 如果直接使用因特网进行网络简单互联，则会带来很多安全性问题，如ERP服务器被因特网上的黑客发现和攻击，口令被破解，传输的数据被截获，…… 另外，张先生经常要到外地出差，出差期间可能需要访问公司局域网内部的资料，访问过程中的数据传输安全也是不可避免的问题。 为此，张先生需要找到一个切实可行的解决方案。 9.2 项目分析 在经济全球化的今天，越来越多的公司、企业开始在各地建立分支机构，开展业务，移动办公人员也随之剧增。 在这样的背景下，这些在家办公或下班后继续工作的人员和移动办公人员，远程办公室，公司各分支机构，公司与合作伙伴、供应商，公司与客户之间都可能需要建立连接通道以进行信息传送。 传统的企业组网方案中，要进行远地LAN到本地LAN互连，除了租用DDN专线或帧中继之外，并无更好的解决方法。 对于移动用户与远端用户而言，只能通过拨号线路进入企业各自独立的局域网。 这样的方案必然导致高昂的长途线路租用费及长途电话费。于是，虚拟专用网的概念与市场随之出现。 虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。 虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。 在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于同一个网络之中，公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用网。 虚拟专用网具有成本低廉、可扩展性好、自主控制的主动权、全方位的安全保护、性价比高、使用和管理方便、原有投资得到保护等优点。 为此，张先生决定采用虚拟专用网技术实现总公司与各地分公司的安全联网，并使出差员工能安全访问公司局域网。 9.3 相关知识点 9.3.1 VPN概述 虚拟专用网络(Virtual Private Network，VPN)是指通过一个公用网络(通常是因特网)建立的一个临时的安全连接，是一条穿过公用网络的安全、稳定的隧道 VPN是企业网在因特网等公共网络上的延伸，它通过安全的数据通道，帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输，构成一个扩展的公司企业网。 VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接，可用于实现企业网络之间安全通信的虚拟专用线路。 通俗地讲，VPN实际上是“线路中的线路”，类型于城市道路上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即是“虚拟”的。 不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密性和不受干扰性，使双方能进行自由而安全的点对点连接，因此得到网络管理员们的广泛关注。 9.3.2 VPN的特点 VPN是平衡Internet的实用性和价格优势的最有前途的通信手段之一。利用共享的IP网络建立VPN连接，可以使企业减少对昂贵的租用专线和复杂的远程访问方案的依赖性。它具有以下特点。 (1) 安全性。用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。 (2) 专用性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称为建立一个隧道。 (3) 经济性。它可以使移动用户和一些小型的分支机构的网络开销减少，不仅可以大幅度削减传输数据的开销，同时可以削减传输话音的开销。 (4) 扩展性和灵活性。能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 9.3.3 VPN的处理过程 一条VPN连接一般由客户机、隧道和服务器三部分组成。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体如下，如图9-2所示。 (1) 要保护的主机发送明文信息到连接公共网络的VPN设备。 (2) VPN设备根据网管设