介紹
VPN即虛擬專用網路(Virtual Private Network ,簡稱VPN)指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網,主要是因為整個VPN網路的任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網路服務商所提供的網路平台,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網路,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網路或公共網路的封裝、加密和身份驗證連結的專用網路的擴展。VPN主要採用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。技術特徵
VPN三類之一的MPLS在IP路由和控制協定的基礎上提供面向連線(基於標記)的交換。MPLS如同一個“墊層(shim)”,它用於向IP提供連線服務,而它自己又從第二層(如PPP、ATM、Ethernet等)得到鏈路層服務。MPLS實際上就是一種隧道技術,所以使用它來建立VPN隧道是十分容易的。MPLS VPN需要公共IP網內部的所有相關路由器都能夠支持MPLS,所以這種技術對網路有較為特殊的要求。MPLS技術目前還處於標準化的過程中,特別需要強調的是MPLS VPN的實施必須由運營商進行。MPLS VPN適用於對於網路資源的利用率、網路的可靠性有較高要求的VPN業務。 VPN三類之一的VPDN是指有遠程辦公(包括群體遠程辦公和個人遠程辦公)需求的用戶採用專門的賬號和企業自定義的IP位址,通過ADSLPPPOE撥號聯入企業內部網路的一種技術,它實際上也是一種隧道技術,在用戶ADSL接入伺服器端與企業內部網接口間建立一個L2TP隧道。VPDN的實施必須運營商進行。既適用於地點固定的公司內部各支點連入總部,也適用於個人遠程訪問公司內部信息。 VPN三類之一的IPsec是一組開放的網路安全協定的總稱,提供訪問控制、無連線的完整性保護、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPsec在IP層提供這些安全服務,它包括兩個安全協定:認證頭(AH)和封裝安全載荷(ESP)。AH主要提供的功能有數據來源驗證、數據完整性驗證和防報文重放功能。ESP在AH協定的功能之外再提供對IP報文的加密功能。IPsec支持的組網方式包括:主機之間、主機與網關之間、網關之間的組網,支持對遠程用戶訪問。IPsec可以和L2TP、GRE等隧道協定一起使用,給用戶提供更大的靈活性和可靠性。另外,IPsec通常使用網際網路密鑰交換(IKE)協定進行安全參數的自動協商。適用範圍
MPLS VPN更適用於以下用戶:各VPN端點均能連線到當地電信運營商的MPLS VPN網路; – 各端點位置固定不變; – 對於網路的QoS、實時性和可管理性有較高要求的用戶。 VPDN有兩類業務,對應兩類業務賬號: – A類業務帳號:用戶端賬號與ADSL PVC綁定。適用於固定地點的公司內部分支點(超市、連鎖類遠程辦公點) ,以包月資費形式綁定在各業務分支點上。 – B類業務帳號:VPDN賬號與ADSL PVC不綁定,適用於個人遠程訪問公司內部信息(SOHO),採用有限包月、逾時計費的資費方式。 IPsec VPN業務主要適用於三類用戶: – 位置眾多,例如各駐地辦事處、連鎖店等; – 用戶/站點分布範圍廣,且有一定數量的移動用戶; – 對線路保密和可用性有一定要求,但對實時性要求不高的用戶。使用案例
某教育行業類A用戶,通過光纖、雙絞線等多種形式,將其分支機構接入IP城域網,實現基於IP-MAN的VPN組網。IP-Sec VPN 在公共網路構架上(通常是Internet)利用安全、認證、加密等技術建立企業的專用線路,也就是一個安全的網路隧(TUNNEL),在降低聯網費用的同時確保信息的安全性、完整性和真實性。VPN虛擬專網,是一個通過Internet將個人和系統安全相連的技術,即利用公用基礎設施為企業各部門提供安全的網際網路服務,它可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優先權別,可構築於IP網路,幀中繼網路和ATM網路上。 IP-Sec VPN網路技術特徵 -屬於端到端服務,不需要骨幹網路承擔業務相關功能。 -回響市場變化的速度快捷,可以在現有的任何IP網路上部署。用戶可在任意位置使用。 -IPsec協定不解決網路的可靠性或者QOS機制等方面的問題,服務質量主要依賴承載網路。
IP-Sec VPN的適用範圍:連鎖業態的超市便利店、大賣場、連鎖快餐點及大型企業物流、跨地區大型企業、政府、公用事業總部和分支機構。