第6讲 虚拟专用网络.pptVIP

第六章 虚拟专用网 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 010目 录 一. VPN概述 二. VPN技术 三. VPN新应用 四. VPN发展趋势 虚拟专用网 在国外，虚拟专用网即VPN (Virtal Private Network)已经迅速发展起来，2001年全球VPN市场将达到120亿美元。在中国，虽然人们对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使有理由相信，中国的VPN市场将逐渐热起来。 6.1 VPN概述 对国内的用户来说，VPN最大的吸引力是价格。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%~45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通信成本50%~80%。为什么VPN可以节约这么多的成本？这就先要从VPN的概念谈起。 6.1.1 VPN的概念 现在有很多连接都被称作为VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 6.1.1 VPN的概念 IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 6.1.1 VPN的概念 用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC，Permanent Virtual Circuit）来连接需要通信的单位，所有的权限掌握在别人的手中。 如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像因特网那样，可立即与世界上任何一个使用因特网的单位连接。而在因特网上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。 6.1.1 VPN的概念 所以虚拟专用网一般指的是建筑在因特网上能够自我管理的专用网络，而不是帧中继或ATM等提供PVC服务的网络。以IP为主要通信协议的VPN，也可称之为IP-VPN。 由于VPN是在因特网上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。 6.1.1 VPN的概念 越来越多的用户认识到，随着因特网和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于因特网的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。 这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为因特网是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于因特网的商务活动就面临非善意的信息威胁和安全隐患。 6.1.1 VPN的概念 VPN是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据，达到私有网络的安全级别。如果接入方式为拨号方式，则称之为VPDN。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 6.1.2 VPN的特点 在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点。 1．安全保障 虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道