vpn定義
VPN使企業能在價格低廉的共享基礎設施上以與專用網路提供的相同策略建立一種安全的 WAN (廣域網) 業務。VPN實現與移動工作人員、分公司、合作夥伴、產品供應商、客戶間的連線,提高與分公司、客戶、供應商和合作夥伴開展業務的能力。
簡單地說 ,VPN(Virtual Private Network,虛擬專用網路)即是指在公眾網路上所建立的企業網路,並且此企業網路擁有與專用網路相同的安全、管理及功能等特點,它替代了傳統的撥號訪問,利用 INTERNET 公網資源作為企業專網的延續,節省昂貴的長途費用。
VPN 乃是原有專線式企業專用廣域網路的替代方案,VPN 並非改變原有廣域網路的一些特性,如多重協定的支持、高可靠性及高擴充度,而是在更為符合成本效益的基礎上來達到這些特性。 VPN——無論在哪種情況下,VPN 都使企業客戶可享有與專用網路同樣卓越的安全性、優先權、可靠性和易管理性。VPN 業務的真正優點在於它能夠使服務供應商提供一系列捆綁的VPN 解決方案。
VPN即虛擬專用網,是通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連線,是一條穿過混亂的公用網路的安全、穩定的隧道。通常,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連線,並保證數據的安全傳輸。
VPN可用於不斷增長的移動用戶的全球網際網路接入,以實現安全連線;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連線到商業夥伴和用戶的安全外聯網虛擬專用網。
vpn網路協定
IPSec : IPsec(縮寫IP Security)是保護IP協定安全通信的標準,它主要對IP協定分組進行加密和認證。
IPsec作為一個協定族(即一系列相互關聯的協定)由以下部分組成:(1)保護分組流的協定;(2)用來建立這些安全分組流的密鑰交換協定。前者又分成兩個部分:
加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH),認證頭提供了對分組流的認證並保證其訊息完整性,但提供保密性。目前為止,IKE協定是唯一已經制定的密鑰交換協定。
PPTP: Point to Point Tunneling Protocol --點到點隧道協定。
在網際網路上建立IP虛擬專用網隧道的協定,主要內容是在網際網路上建立多協定安全虛擬專用網的通信方式。
L2F: Layer 2 Forwarding -- 第二層轉發協定
L2TP: Layer 2 Tunneling Protocol --第二層隧道協定
第二層隧道協定:
建立在點對點協定PPP的基礎上
先把各種網路協定(IP、IPX等)封裝到PPP幀中,再把整個數據幀裝入隧道協定
適用於通過公共電話交換網或者ISDN線路連線
三層:
GRE : General Routing Encapsulation
IPSEC : IP Security Protocol
三層協定:
把各種網路協定直接裝入隧道協定
在可擴充性、安全性、可靠性方面優於第二層隧道協定
IPSec 提供兩個安全協定
AH (Authentication Header) 認證頭協定
ESP (Encapsulation Security Payload)封裝安全載荷協定
密鑰管理協定
IKE(Internet Key Exchange)網際網路密鑰交換協定
VPN的部署模式
VPN的部署模式從本質上描述了VPN通道的起始點和終止點,不同的VPN模式適用於不同的套用環境,滿足不同的用戶需求,總的來說有3種VPN部署模式:
端到端(End-to-End)模式;
該模式是自建VPN的客戶所採用的典型模式,也是最為徹底的VPN網路。在這種模式中企業具有完全的自主控制權,但是要建立這種模式的VPN網路需要企業自身具備足夠的資金和人才實力,這種模式在總體投金上是最多的。最常見的隧道協定是IPSec和PPTP。
這種模式一般只有大型企業才有條件採用,這種模式最大的好處,也是最大的不足之處就是整個VPN網路的維護權都是由企業自身完成,需花巨資購買成套昂貴的VPN設備,配備專業技術人員,同時整個網路都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企業到NSP之間的透明段。
供應商―企業(Provider-Enterprise)模式;
這是一種外包方式,也是目前一種主流的VPN部署方式,適合廣大的中、小型企業組建VPN網路。在該模式中,客戶不需要購買專門的隧道設備、軟體,由VPN服務提供商(NSP)提供設備來建立通道並驗證。然而,客戶仍然可以通過加密數據實現端到端的全面安全性。在該模式中,最常見的隧道協定有L2TP、L2F和PPTP。
內部供應商(Intra-Provider)模式。
這也是一種外包方式,與上一種方式最大的不同就在於用戶對NSP的授權級別不同,這種模式非常適合小型企業用戶,因為這類企業一般沒有這方面的專業人員,自身維護起來比較困難,可以全權交給NSP來維護。這是很受電信公司歡迎的模式,因為在該模式中,VPN服務提供商保持了對整個VPN設施的控制。在該模式實現中,通道的建立和終止都是在NSP的網路設施中實現的。
對客戶來說,該模式的最大優點是他們不需要做任何實現VPN的工作,客戶不需要增加任何設備或軟體投資,整個網路都由VPN服務提供商維護。最大的不足也就是用戶自身自主權不足,存在一定的不安全因素。