第7章VPN技术重点.ppt

第7章 VPN技术 本章要点： VPN的概念和类型 VPN技术概述 隧道技术的基本概念 第二层隧道协议——L2F，PPTP和L2TP 第三层隧道协议——GRE和IPSec 7.1 VPN概述 VPN是将物理上分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。VPN是Virtual Private Network的缩写,中文译为虚拟专用网。 Virtual Network的含义有两个，一是VPN是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是VPN用户使用VPN时看到的是一个可预先设定义的动态的网络。 Private Network的含义也有两个，一是表明VPN建立在所有用户能到达的公共网络上，特别是 7.1 VPN概述 Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建VPN时，相对VPN这也是一个“公网”；二是VPN将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。 V是Virtual，是针对传统的企业“专用网络”而言的。传统的专用网络需要建立自己的物理专用线路，使用昂贵的长途拨号以及长途专线服务；而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道，尽管没有自己的专用线路，但是这个 逻辑上的专用通道却可以提供和专用网络同样的功能。 7.1 VPN概述 P即Private，表示VPN是特定企业或用户私有的，并不是任何公共网络上的用户都能使用已经建立的VPN通道，而是只有经过授权的用户才能使用。在该通道内传输的数据经过了加密和认证，使得通信内容既不能被第三者修改，又无法被第三者破解，从而保证了传输内容的完整性和机密性。 N即Network，表示这是一种专门的组网技术和服务，企业为了建立和使用VPN必须购买和配置相应的网络设备。 7.1 VPN概述 1. VPN分类 根据服务类型，VPN业务大致分为三类：远程访问VPN（Access VPN）、企业内部VPN(Intranet VPN)和企业扩展VPN（ Extranet VPN）。分别对应于传统的远程访问网络、企业内部的Intranet以及企业和合作伙伴之间的网络所构成的Extranet。通常情况下内联网VPN是专线VPN。 （1）远程访问VPN：这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。 7.1 VPN概述 　需要指出的是接入VPN不同于前面的拨号VPN，这是一个容易发生混淆的地方，因为远程接入可以是专线方式接入的，也可以是拨号方式接入的。　（2）企业内部VPN：这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的VPN。　（3）企业扩展VPN：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。 7.1 VPN概述 2.VPN的优点 1)降低成本。 通过公用网来建立VPN 与建立DDN 、PSTN 等专线方式相比，可以节省大量的费用开支。VPN的最大吸引力是价格。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向 7.1 VPN概述 企业所在地的ISP支付一定的上网费用，也节省了长途电话费，故VPN价格更低廉。 2) 易于扩展如果用户想扩大VPN 的容量和覆盖范围，只需改变一些配置，或增加几台设备、扩大服务范围；在远程办公室增加VPN 更简单，只需通过作适当的设备配置即可；欲增加单机客户端用户，只需在客户端机器上进行简单配置。 3)保证安全VPN 不仅能在网络与网络之间建立专用通道，保护网关与网关之间信息传输的安全，而且能在企业 7.1 VPN概述 内部的用户与网关之间、移动办公用户和网关之间、用户与用户之间建立安全通道，建立全方位的安全保护，保证网络的安全。 还具有以下优点： 伸缩性强用户如果想与合作伙伴联网，如果没有VPN，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了VPN 之后，只需双方配置安全连接信息即可；当不再需要联网时，也很方便拆除连接。 7.1 VPN概述 完全控制主动