第6章郁金香VPN虚拟专用网络.pptVIP

第6章 VPN虚拟专用网络 6.1 VPN概述 6.2 VPN的优点 6.3 VPN隧道协议 6.4 VPN连接方式 6.5 VPN网络组建 6.1 VPN 概 述 VPN(Virtual Private Network，虚拟专用网络)是专用网络的延伸，它模拟点对点专用链接方式，通过共享Internet或公共网络在两台计算机之间建立连接。通俗地说，VPN实际上就是“线路中的线路”，类似于城市中大道上的“公交专线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来的，即是“虚拟”的。 不过这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，这种通道就是VPN中常说的隧道，如图6-1所示。 图6-1 VPN隧道 在VPN连接中，为了模拟点对点链路，在传输中将数据压缩或打包，并加上一个提供路由信息的报头，该报头使数据能够通过共享或公用网络到达终点。在模拟专用链路时，为了保证数据的安全转发，应对数据进行加密，这样用户在不拥有密钥的情况下，即使从共享或者公共网络中截取了数据包也无法解密。VPN连接所传输的数据是经过封装和加密的专用数据。VPN连接的逻辑图如图6-2所示。 图6-2 VPN连接逻辑图 6.2 VPN 的 优 点 VPN的优点主要表现在如下三个方面。 1．成本低 利用现有的公用网组建的Internet，要比租用专线或铺设专线节省开支，而且当距离越远时节省得越多。 2．便于扩展 如果企业组建自己的专用网，则在扩展网络分支时，要考虑到网络的容量，并要架设新链路、增加互联设备、升级设备等。 3．便于管理 链路中的设备由ISP自行管理，企业网的管理员只需维护与ISP的链接，不需参与这些设备的管理，大大减少了管理工作量。 当然，VPN也有缺点，其缺点主要表现在：速度比较慢，安全性与内部网比较要差一些。 以下三种情况适合于采用VPN： (1) 站点众多，特别是单个用户和远程办公室站点多。 (2) 用户/站点分布范围广，彼此之间的距离远，遍布全球各地。 (3) 带宽和延时要求相对适中。 6.3 VPN隧道协议 实现虚拟专网有两种方式，一种以隧道(Tunneling)协议的方式实现；另一种通过虚拟专用路由(VPR)的方式实现。由于VPR方案面向的是电信运营端，因此下面将主要讨论面向广大客户的隧道方式。 VPN连接的创建、管理和终止都是通过隧道协议的特殊协议来实现的，为了实现虚拟专用网络的连接，VPN客户和服务器之间必须使用相同的隧道协议。在VPN的发展过程中，VPN隧道协议主要有四种，它们是L2F(第二层转发)、PPTP(点到点隧道协议)、L2TP(第二层隧道协议)和IPSec(IP安全协议)。 (1) L2F协议是Cisco公司制订的VPN隧道数据流协议，协议软件通常运行在Cisco路由器以及提供封装服务的远程接入设备上，在VPN网络中不常用。 (2) PPTP协议是由Microsoft制订的，是在Windows NT 4.0中首先支持的工业标准隧道协议。 (3) L2TP是L2F和PPTP二者统一的结果。 (4) IPSec不是一个单独的协议，而是一套协议包，包括三个基本协议：AH协议，为IP包提供信息源验证的完整性保证；ESP协议，提供加密保证；密钥管理协议(ISAKMP)，提供双方交流时的共享安全信息。 6.4 VPN连接方式 6.4.1 通过局域网建立VPN连接 在局域网中建立VPN连接，连接类型主要有两种： (1) 单台客户机通过局域网连接到VPN服务器上。 (2) 部门小型网络通过VPN连接到另一部门网络中。 图6-3 通过局域网建立VPN连接示意图 6.4.2 通过Internet建立VPN连接 使用基于Internet的VPN连接，可以利用全球通用的Internet，将距离较远的计算机或网络(如两个城市)互连起来，双方的计算机首先通过各种方法(如拨号、ADSL等)与当地ISP提供的Inter