海之美文新闻资讯
VPN网路
VPN使企业能在价格低廉的共享基础设施上以与专用网路提供的相同策略建立一种安全的 WAN (广域网) 业务。
VPN实现与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连线,提高与分公司、客户、供应商和合作伙伴开展业务的能力。
基本介绍
- 中文名:VPN网路
- 外文名:Virtual Private Network
- 类别:一种安全的 WAN (广域网) 业务
- 别称:虚拟专用网路
vpn定义
VPN使企业能在价格低廉的共享基础设施上以与专用网路提供的相同策略建立一种安全的 WAN (广域网) 业务。VPN实现与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连线,提高与分公司、客户、供应商和合作伙伴开展业务的能力。
简单地说 ,VPN(Virtual Private Network,虚拟专用网路)即是指在公众网路上所建立的企业网路,并且此企业网路拥有与专用网路相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用 INTERNET 公网资源作为企业专网的延续,节省昂贵的长途费用。
VPN 乃是原有专线式企业专用广域网路的替代方案,VPN 并非改变原有广域网路的一些特性,如多重协定的支持、高可靠性及高扩充度,而是在更为符合成本效益的基础上来达到这些特性。 VPN——无论在哪种情况下,VPN 都使企业客户可享有与专用网路同样卓越的安全性、优先权、可靠性和易管理性。VPN 业务的真正优点在于它能够使服务供应商提供一系列捆绑的VPN 解决方案。
VPN即虚拟专用网,是通过一个公用网路(通常是网际网路)建立一个临时的、安全的连线,是一条穿过混乱的公用网路的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连线,并保证数据的安全传输。
VPN可用于不断增长的移动用户的全球网际网路接入,以实现安全连线;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连线到商业伙伴和用户的安全外联网虚拟专用网。
vpn网路协定
IPSec : IPsec(缩写IP Security)是保护IP协定安全通信的标準,它主要对IP协定分组进行加密和认证。
IPsec作为一个协定族(即一系列相互关联的协定)由以下部分组成:(1)保护分组流的协定;(2)用来建立这些安全分组流的密钥交换协定。前者又分成两个部分:
加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH),认证头提供了对分组流的认证并保证其讯息完整性,但提供保密性。目前为止,IKE协定是唯一已经制定的密钥交换协定。
PPTP: Point to Point Tunneling Protocol --点到点隧道协定。
在网际网路上建立IP虚拟专用网隧道的协定,主要内容是在网际网路上建立多协定安全虚拟专用网的通信方式。
L2F: Layer 2 Forwarding -- 第二层转发协定
L2TP: Layer 2 Tunneling Protocol --第二层隧道协定
第二层隧道协定:
建立在点对点协定PPP的基础上
先把各种网路协定(IP、IPX等)封装到PPP帧中,再把整个数据帧装入隧道协定
适用于通过公共电话交换网或者ISDN线路连线
三层:
GRE : General Routing Encapsulation
IPSEC : IP Security Protocol
三层协定:
把各种网路协定直接装入隧道协定
在可扩充性、安全性、可靠性方面优于第二层隧道协定
IPSec 提供两个安全协定
AH (Authentication Header) 认证头协定
ESP (Encapsulation Security Payload)封装安全载荷协定
密钥管理协定
IKE(Internet Key Exchange)网际网路密钥交换协定
VPN的部署模式
VPN的部署模式从本质上描述了VPN通道的起始点和终止点,不同的VPN模式适用于不同的套用环境,满足不同的用户需求,总的来说有3种VPN部署模式:
端到端(End-to-End)模式;
该模式是自建VPN的客户所採用的典型模式,也是最为彻底的VPN网路。在这种模式中企业具有完全的自主控制权,但是要建立这种模式的VPN网路需要企业自身具备足够的资金和人才实力,这种模式在总体投金上是最多的。最常见的隧道协定是IPSec和PPTP。
这种模式一般只有大型企业才有条件採用,这种模式最大的好处,也是最大的不足之处就是整个VPN网路的维护权都是由企业自身完成,需花巨资购买成套昂贵的VPN设备,配备专业技术人员,同时整个网路都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企业到NSP之间的透明段。
供应商―企业(Provider-Enterprise)模式;
这是一种外包方式,也是目前一种主流的VPN部署方式,适合广大的中、小型企业组建VPN网路。在该模式中,客户不需要购买专门的隧道设备、软体,由VPN服务提供商(NSP)提供设备来建立通道并验证。然而,客户仍然可以通过加密数据实现端到端的全面安全性。在该模式中,最常见的隧道协定有L2TP、L2F和PPTP。
内部供应商(Intra-Provider)模式。
这也是一种外包方式,与上一种方式最大的不同就在于用户对NSP的授权级别不同,这种模式非常适合小型企业用户,因为这类企业一般没有这方面的专业人员,自身维护起来比较困难,可以全权交给NSP来维护。这是很受电信公司欢迎的模式,因为在该模式中,VPN服务提供商保持了对整个VPN设施的控制。在该模式实现中,通道的建立和终止都是在NSP的网路设施中实现的。
对客户来说,该模式的最大优点是他们不需要做任何实现VPN的工作,客户不需要增加任何设备或软体投资,整个网路都由VPN服务提供商维护。最大的不足也就是用户自身自主权不足,存在一定的不安全因素。