第6章 VPN技术.ppt

第6章 VPN技术 6.1 VPN技术概述 6.1.1 VPN技术简介 虚拟专用网VPN可以理解为虚拟出来的企业内部专线。它是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 V即Virtual P即Private N即Network。 6.1.1 VPN技术简介 VPN接入示意图 6.1.2 VPN的工作原理及实现 1．VPN的工作原理 一个网络连接通常由客户机、传输介质和服务器3个部分组成，VPN网络同样也需要这3个部分。不同的是，VPN连接不是采用物理的传输介质，而是使用一种称之为“隧道”的技术来传输的，这个隧道是建立在公共网络或专用网络基础之上的，如Internet或专用Intranet等。 6.1.2 VPN的工作原理及实现 要实现VPN连接，企业内部网络中必须配置一台VPN服务器，VPN服务器一方面要连接企业Intranet，另一方面要连接到Internet或其他专用网络。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由网络服务提供商将所有的数据传送到VPN服务器，然后再由VPN服务器将所有的数据传送到目标计算机。因为在VPN隧道中通信，能确保通信通道的专用性，并且传输的数据是经过压缩、加密的，所以VPN通信同样具有专用网络的通信安全性。 6.1.2 VPN的工作原理及实现 整个VPN通信过程可以简化为以下4个通用步骤： （1）客户机向VPN服务器发出请求。 （2）VPN服务器响应请求并向客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器。 （3）VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限；如果该用户拥有远程访问的权限，VPN服务器接受此连接。 （4）VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。 6.1.2 VPN的工作原理及实现 2．VPN的实现 1）端到端（endtoend）模式 该模式是自建VPN的客户所采用的典型模式，采用这种模式建立的VPN网络也是最为彻底的VPN网络。在这种模式中企业具有完全的自主控制权，但是要建立这种模式的VPN网络需要企业自身具备足够的资金和人才实力，这种模式在总体投资上是最多的。最常见的隧道协议是IPSec和PPTP。 这种模式的不足之处就是整个VPN网络的维护权都是由企业自身完成，需要花费大量资金购买成套昂贵的VPN设备，配备专业技术人员；好处是整个网络都是在加密的隧道中完成通信的，非常安全。 6.1.2 VPN的工作原理及实现 2）供应商—企业（providerenterprise）模式 这是一种外包方式，也是目前一种主流的VPN部署方式，适合广大的中小型企业组建VPN网络。在该模式中，VPN服务提供商提供设备来建立通道并验证，客户仍然可以通过加密数据实现端到端的全面安全性。最常见的隧道协议有L2TP、L2F和PPTP。 3）内部供应商（intraprovider）模式 与供应商—企业模式最大的不同就在于用户对NSP的授权级别不同，这种模式非常适合小型企业用户，因为这类企业一般没有这方面的专业人员，自身维护起来比较困难，可以全权交给NSP来维护。在该模式中，VPN服务提供商保持了对整个VPN设施的控制，所以这种模式很受电信公司的欢迎。 6.1.2 VPN的工作原理及实现 通过上述介绍可知，主要有4类用户适合采用VPN进行网络连接： 网络接入位置众多，特别是单个用户和远程办公室站点多，如多分支机构企业用户、远程教育用户。 用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途进行联系，如一些跨国公司。 带宽和时延要求相对适中，如一些提供IDG服务的ISP。 对线路保密性和可用性有一定要求的用户，如大企业和政府部门。 6.1.3 VPN的类型及优点 VPN分为3种类型：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这3种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应，对应关系如下： 企业网与远程（移动）雇员之间的Access VPN。 企业各部门与远程分支之间的Intranet VPN。 企业与合作伙伴、客户、供应商之间的Extranet VPN。 6.1.3 VPN的类型及优点 1）Access VPN Access VPN利用两层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。它通过公用网络与企业的Intr