方案建議書

VPN技術(shù)方案建議書

虛擬私有網(wǎng)絡(luò)VPN(Virtual Private Network)出現(xiàn)于Internet盛行的今天,它使企業(yè)網(wǎng)絡(luò)幾乎可以無限延伸到地球的每個角落,從而以安全、低廉的網(wǎng)絡(luò)互聯(lián)模式為包羅萬象的應(yīng)用服務(wù)提供了發(fā)展的舞臺。

虛擬專用網(wǎng)(VPN)是利用公眾網(wǎng)資源為客戶構(gòu)成專用網(wǎng)的一種業(yè)務(wù)。我們這里所提的VPN有兩層含義：

一、 它是虛擬的網(wǎng)，即沒有固定的物理連接，網(wǎng)路只有用戶需要時才建立;

二、 它是利用公眾網(wǎng)絡(luò)設(shè)施構(gòu)成的專用網(wǎng)。

VPN實(shí)際上就是一種服務(wù)，用戶感覺好象直接和他們的個人網(wǎng)絡(luò)相連，但實(shí)際上是通過服務(wù)商來實(shí)現(xiàn)連接的。VPN可以為企業(yè)和服務(wù)提供商帶來以下益處：

采用遠(yuǎn)程訪問的公司提前支付了購買和支持整個企業(yè)遠(yuǎn)程訪問基礎(chǔ)結(jié)構(gòu)的全部費(fèi)用;

公司能利用無處不在的Internet通過單一網(wǎng)絡(luò)結(jié)構(gòu)為職員和商業(yè)伙伴提供無縫和安全的連接;

對于企業(yè)，基于撥號VPN的Extranet能加強(qiáng)與用戶、商業(yè)伙伴和供應(yīng)商的聯(lián)系;

電話公司通過開展撥號VPN服務(wù)可以減輕終端阻塞;

通過為公司提供安全的外界遠(yuǎn)程訪問服務(wù)，ISP能增加收入;通過Extranet分層和相關(guān)競爭服務(wù)，ISP也可以提供不同的撥號VPN。

VPN兼?zhèn)淞斯�眾網(wǎng)和專用網(wǎng)的許多特點(diǎn)，將公眾網(wǎng)可靠的性能、豐富的功能與專用網(wǎng)的靈活、高效結(jié)合在一起，是介于公眾網(wǎng)與專用網(wǎng)之間的一種網(wǎng)。

VPN能夠充分利用現(xiàn)有網(wǎng)路資源，提供經(jīng)濟(jì)、靈活的連網(wǎng)方式，為客戶節(jié)省設(shè)備、人員和管理所需的投資，降低用戶的電信費(fèi)用，在近幾年得到了迅速的應(yīng)用。 有專家認(rèn)為，VPN將是本世紀(jì)末發(fā)展速度最快的業(yè)務(wù)之一。

1.1 什么是VPN

通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別，從而利用公網(wǎng)構(gòu)筑Virtal Private Network(即VPN)。如果接入方式為撥號方式，則稱之為VPDN。

VPN通過公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來。減輕了企業(yè)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，并且提供了安全的端到端的數(shù)據(jù)通訊。

VPN的建立有三種方式：一種是企業(yè)自身建設(shè)，對ISP透明;第二種是ISP建設(shè)，對企業(yè)透明;第三種是ISP和企業(yè)共同建設(shè)。

1.2 VPN的工作原理

用戶連接VPN的形式：

常規(guī)的直接撥號連接與虛擬專網(wǎng)連接的異同點(diǎn)在于在前一種情形中，PPP(點(diǎn)對點(diǎn)協(xié)議)數(shù)據(jù)包流是通過專用線路傳輸?shù)�。在VPN中，PPP數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出，通過共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸，再到達(dá)另一個LAN上的路由器。

這兩者的關(guān)鍵不同點(diǎn)是隧道代替了實(shí)實(shí)在在的專用線路。隧道好比是在WAN云海中拉出一根串行通信電纜。那么，如何形成VPN隧道呢?

建立隧道有兩種主要的方式：客戶啟動(Client-Initiated)或客戶透明(Client-Transparent)�？蛻魡�動要求客戶和隧道服務(wù)器(或網(wǎng)關(guān))都安裝隧道軟件。后者通常都安裝在公司中心站上。通過客戶軟件初始化隧道，隧道服務(wù)器中止隧道，ISP可以不必支持隧道�？蛻艉退淼婪�務(wù)器只需建立隧道，并使用用戶ID和口令或用數(shù)字許可證鑒權(quán)。一旦隧道建立，就可以進(jìn)行通信了，如同ISP沒有參與連接一樣。

另一方面，如果希望隧道對客戶透明，ISP的POPs就必須具有允許使用隧道的接入服務(wù)器以及可能需要的路由器。客戶首先撥號進(jìn)入服務(wù)器，服務(wù)器必須能識別這一連接要與某一特定的遠(yuǎn)程點(diǎn)建立隧道，然后服務(wù)器與隧道服務(wù)器建立隧道，通常使用用戶ID和口令進(jìn)行鑒權(quán)。這樣客戶端就通過隧道與隧道服務(wù)器建立了直接對話。盡管這一方針不要求客戶有專門軟件，但客戶只能撥號進(jìn)入正確配置的訪問服務(wù)器。

1.3 VPN涉及的關(guān)鍵技術(shù)

VPN是一個虛擬的網(wǎng)，其重要的意義在于"虛擬"和"專用"。為了實(shí)現(xiàn)在公網(wǎng)之上傳輸私有數(shù)據(jù)，必須滿足其安全性。VPN技術(shù)主要體現(xiàn)在兩個技術(shù)要點(diǎn)上：Tunnel、相關(guān)隧道協(xié)議(包括PPTP，L2F，L2TP)，數(shù)據(jù)安全協(xié)議(IPSEC)。下面針對這幾項(xiàng)技術(shù)做一介紹。加密和用戶授權(quán)為在公司網(wǎng)上進(jìn)行個人通信提供了安全保證。

1.3.1 隧道技術(shù)(Tunneling)

1.3.1.1 隧道技術(shù)介紹

VPN在表面上是一種聯(lián)網(wǎng)的方式，比起專線網(wǎng)絡(luò)來，它具有許多優(yōu)點(diǎn)。在VPN中，通過采用一種所謂"隧道"的技術(shù)，可以通過公共路由網(wǎng)絡(luò)傳送數(shù)據(jù)分組，例如Internet網(wǎng)或其他商業(yè)性網(wǎng)絡(luò)。

這里，專有的"隧道"類似于點(diǎn)到點(diǎn)的連接。這種方式能夠使得來自許多源的網(wǎng)絡(luò)流量從同一個基礎(chǔ)設(shè)施中通過分開的隧道。這種隧道技術(shù)使用點(diǎn)對點(diǎn)通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶在任何時間任何地點(diǎn)訪問企業(yè)網(wǎng)絡(luò)。

通過TUNNEL的建立，可實(shí)現(xiàn)以下功能：

將數(shù)據(jù)流量強(qiáng)制到特定的目的地

隱藏私有的網(wǎng)絡(luò)地址

在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包

提供數(shù)據(jù)安全支持

協(xié)助完成用戶基于AAA的管理。

在安全方面可提供數(shù)據(jù)包認(rèn)證、數(shù)據(jù)加密以及密鑰管理等手段。

撥號VPNs使用隧道技術(shù)遠(yuǎn)程訪問服務(wù)器把用戶數(shù)據(jù)打包進(jìn)IP信息包中，這些信息包通過電信服務(wù)提供商網(wǎng)絡(luò)傳遞，在Internet里，則需要穿過不同的網(wǎng)絡(luò)，最后到達(dá)隧道終點(diǎn) ，然后數(shù)據(jù)拆包，轉(zhuǎn)發(fā)成最初的形式。VPN允許網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)換，還允許對來自許多源的流量進(jìn)行區(qū)別，這樣可以指定特定的目的地，接受指定級別的服務(wù)。公司網(wǎng)進(jìn)行遠(yuǎn)程訪問通信，從電路交換的，長距離的本地電信服務(wù)提供商到ISPs和Internet需要采用隧道技術(shù)。隧道技術(shù)使用點(diǎn)對點(diǎn)通信協(xié)議，代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。這代替了電話交換網(wǎng)絡(luò)使用的電話號碼連接。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶再任何時間任何地點(diǎn)訪問企業(yè)網(wǎng)絡(luò)。應(yīng)用授權(quán)技術(shù)，隧道技術(shù)也禁止未授權(quán)的訪問。

下面是一個隧道包典型設(shè)計(jì)：

要形成隧道，基本的要素有以下幾項(xiàng)：

隧道開通器(TI)

有路由能力的公用網(wǎng)絡(luò)

一個或多個隧道終止器(TT)

必要時增加一個隧道交換機(jī)以增加靈活性

隧道開通器的任務(wù)是在公用網(wǎng)中開出一條隧道。有多種網(wǎng)絡(luò)設(shè)備和軟件可完成此項(xiàng)任務(wù)，例如：(1)配有模擬式調(diào)制解調(diào)器PC卡和VPN型撥號軟件的最終用戶膝上型計(jì)算機(jī);(2)分支機(jī)構(gòu)的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器;(3)網(wǎng)絡(luò)服務(wù)提供商站點(diǎn)中的有VPN能力的訪問集中器。

隧道終止器的任務(wù)是使隧道到此終止，不再繼續(xù)向前延伸。也有多種網(wǎng)絡(luò)設(shè)備和軟件可完成此項(xiàng)任務(wù)，例如：(1)專門的隧道終止器;(2)企業(yè)網(wǎng)絡(luò)中的隧道交換機(jī);(3)NSP網(wǎng)絡(luò)的Extranet路由器上的VPN網(wǎng)關(guān)。

VPN網(wǎng)絡(luò)中通常還有一個或多個安全服務(wù)器。安全服務(wù)器除提供防火墻和地址轉(zhuǎn)換功能之外，還通過與隧道設(shè)備的通信來提供加密、身份查驗(yàn)和授權(quán)功能。它們通常也提供各種信息，如帶寬、隧道端點(diǎn)、網(wǎng)絡(luò)策略和服務(wù)等級。

通過軟件或模塊升級，現(xiàn)有的網(wǎng)絡(luò)設(shè)備就可以增加VPN能力。一個有VPN能力的設(shè)備可以承擔(dān)多項(xiàng)VPN應(yīng)用。

現(xiàn)在已經(jīng)有許多Internet(IETF)的建議，都是關(guān)于隧道技術(shù)如何應(yīng)用的。其中包括點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)、第二層轉(zhuǎn)發(fā)(L2F)、第二層隧道協(xié)議(L2TP)、虛擬隧道協(xié)議(VTP)和移動IP。由于得到了不同網(wǎng)絡(luò)廠商的支持，建議的標(biāo)準(zhǔn)定義了遠(yuǎn)程設(shè)備如何能以簡單安全的方式訪問公司網(wǎng)絡(luò)和Internet。

隧道技術(shù)非常有用：

首先，一個IP隧道可以調(diào)整任何形式的有效負(fù)載，使用桌面或便攜式計(jì)算機(jī)的用戶能夠透明地?fù)芴柹暇W(wǎng)來訪問他們公司的IP、IPX或AppleTalk網(wǎng)絡(luò)。

第二，隧道能夠同時調(diào)整多個用戶或多個不同形式的有效負(fù)載。這可以利用封裝技術(shù)來實(shí)現(xiàn)。例如IETF RFC1701定義的一般路由封裝。

【方案建議書】相關(guān)文章：

方案建議書04-10

方案建議書（優(yōu)秀）07-21

方案建議書15篇06-02

技術(shù)方案合理化建議書范文08-03

關(guān)于學(xué)校的建議書-建議書07-28

文明建議書關(guān)于文明的建議書10-10

給學(xué)校的建議書 寫學(xué)校的建議書09-30

建議書珍惜水資源的建議書10-12

全民保護(hù)動物建議書-建議書08-20

給環(huán)保建議書寫關(guān)于環(huán)保的建議書11-01