虛擬專用網絡可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其它公共互聯網絡的基礎設施爲用戶創建隧道,並提供與專用網絡一樣的安全和功能保障。
虛擬專用網絡允許遠程通訊方,銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設施以安全的方式與位於企業局域網端的企業服務器建立連接。虛擬專用網絡對用戶端透明,用戶好象使用一條專用線路在客戶計算機和企業服務器之間建立點對點連接,進行數據的傳輸。
虛擬專用網絡技術同樣支持企業通過Internet等公共互聯網絡與分支機構或其它公司建立連接,進行安全的通訊。這種跨越Internet建立的×××連接邏輯上等同於兩地之間使用廣域網建立的連接。
雖然×××通訊建立在公共互聯網絡的基礎上,但是用戶在使用×××時感覺如同在使用專用網絡進行通訊,所以得名虛擬專用網絡。
使用×××技術可以解決在當今遠程通訊量日益增大,企業全球運作廣泛分佈的情況下,員工需要訪問中央資源,企業相互之間必須進行及時和有效的通訊的問題。
如果希望企業員工無論身處何地都能夠與企業計算資源建立連接,企業必須採用一個可靠性高、擴展性強的遠程訪問解決方案。一般的,企業有如下選擇:
1.管理信息系統(MIS)部門驅動方案。建立一個內部的MIS部門專門負責購買,安裝和維護企業modem池和專用網絡基礎設施。
2.增值網絡(VAN)方案。企業僱傭一個外部公司負責購買,安裝和維護modem池和遠程通訊網絡基礎設施。
從費用,可靠性,管理和便於連接等幾方面來看,這兩種方案都不能最大程度的滿足企業對網絡安全性或擴展性的要求。因此,選擇一種基於Internet技術的廉價方案取代企業花費在modem池和專用網絡基礎設施上的投資就顯得極爲重要。
2.增值網絡(VAN)方案。企業僱傭一個外部公司負責購買,安裝和維護modem池和遠程通訊網絡基礎設施。
從費用,可靠性,管理和便於連接等幾方面來看,這兩種方案都不能最大程度的滿足企業對網絡安全性或擴展性的要求。因此,選擇一種基於Internet技術的廉價方案取代企業花費在modem池和專用網絡基礎設施上的投資就顯得極爲重要。
二、虛擬專用網絡的基本用途
通過Internet實現遠程用戶訪問
虛擬專用網絡支持以安全的方式通過公共互聯網絡遠程訪問企業資源。
與使用專線撥打長途或(1-800)電話連接企業的網絡接入服務器(NAS)不同,虛擬專用網絡用戶首先撥通本地ISP的NAS,然後×××軟件利用與本地ISP建立的連接在撥號用戶和企業×××服務器之間創建一個跨越Internet或其它公共互聯網絡的虛擬專用網絡。
通過Internet實現網絡互連
![]()
![]()
![]()
可以採用以下兩種方式使用×××連接遠程局域網絡。
1.使用專線連接分支機構和企業局域網。
不需要使用價格昂貴的長距離專用電路,分支機構和企業端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。×××軟件使用與當本地ISP建立的連接和Internet網絡在分支機構和企業端路由器之間創建一個虛擬專用網絡。
2.使用撥號線路連接分支機構和企業局域網。
不同於傳統的使用連接分支機構路由器的專線撥打長途或(1-800)電話連接企業NAS的方式,分支機構端的路由器可以通過撥號方式連接本地ISP。×××軟件使用與本地ISP建立起的連接在分支機構和企業端路由器之間創建一個跨越Internet的虛擬專用網絡。
不需要使用價格昂貴的長距離專用電路,分支機構和企業端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。×××軟件使用與當本地ISP建立的連接和Internet網絡在分支機構和企業端路由器之間創建一個虛擬專用網絡。
2.使用撥號線路連接分支機構和企業局域網。
不同於傳統的使用連接分支機構路由器的專線撥打長途或(1-800)電話連接企業NAS的方式,分支機構端的路由器可以通過撥號方式連接本地ISP。×××軟件使用與本地ISP建立起的連接在分支機構和企業端路由器之間創建一個跨越Internet的虛擬專用網絡。
應當注意在以上兩種方式中,是通過使用本地設備在分支機構和企業部門與Internet之間建立連接。無論是在客戶端還是服務器端都是通過撥打本地接入電話建立連接,因此×××可以大大節省連接的費用。建議作爲×××服務器的企業端路由器使用專線連接本地ISP。×××服務器必須一天24小時對×××數據流進行監聽。
連接企業內部網絡計算機
在企業的內部網絡中,考慮到一些部門可能存儲有重要數據,爲確保數據的安全性,傳統的方式只能是把這些部門同整個企業網絡斷開形成孤立的小網絡。這樣做雖然保護了部門的重要信息,但是由於物理上的中斷,使其他部門的用戶無法,造成通訊上的困難。
採用×××方案,通過使用一臺×××服務器既能夠實現與整個企業網絡的連接,又可以保證保密數據的安全性。路由器雖然也能夠實現網絡之間的互聯,但是並不能對流向敏感網絡的數據進行限制。使用×××服務器,但是企業網絡管理人員通過使用×××服務器,指定只有符合特定身份要求的用戶才能連接×××服務器獲得訪問敏感信息的權利。此外,可以對所有×××數據進行加密,從而確保數據的安全性。沒有訪問權利的用戶無法看到部門的局域網絡。
三、×××的基本要求
一般來說,企業在選用一種遠程網絡互聯方案時都希望能夠對訪問企業資源和信息的要求加以控制,所選用的方案應當既能夠實現授權用戶與企業局域網資源的自由連接,不同分支機構之間的資源共享;又能夠確保企業數據在公共互聯網絡或企業內部網絡上傳輸時安全性不受破壞.因此,最低限度,一個成功的×××方案應當能夠滿足以下所有方面的要求:
1.用戶驗證
×××方案必須能夠驗證用戶身份並嚴格控制只有授權用戶才能訪問×××。另外,方案還必須能夠提供審計和記費功能,顯示何人在何時訪問了何種信息。
2.地址管理
×××方案必須能夠爲用戶分配專用網絡上的地址並確保地址的安全性。
3.數據加密
對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息。
4.密鑰管理
×××方案必須能夠生成並更新客戶端和服務器的加密密鑰。
5.多協議支持
×××方案必須支持公共互聯網絡上普遍使用的基本協議,包括IP,IPX等。以點對點隧道協議(PPTP)或第2層隧道協議(L2TP)爲基礎的×××方案既能夠滿足以上所有的基本要求,又能夠充分利用遍及世界各地的Internet互聯網絡的優勢。其它方案,包括安全IP協議(IPSec),雖然不能滿足上述全部要求,但是仍然適用於在特定的環境。本文以下部分將主要集中討論有關×××的概念,協議,和部件(component)。
四、隧道技術基礎
×××方案必須能夠驗證用戶身份並嚴格控制只有授權用戶才能訪問×××。另外,方案還必須能夠提供審計和記費功能,顯示何人在何時訪問了何種信息。
2.地址管理
×××方案必須能夠爲用戶分配專用網絡上的地址並確保地址的安全性。
3.數據加密
對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息。
4.密鑰管理
×××方案必須能夠生成並更新客戶端和服務器的加密密鑰。
5.多協議支持
×××方案必須支持公共互聯網絡上普遍使用的基本協議,包括IP,IPX等。以點對點隧道協議(PPTP)或第2層隧道協議(L2TP)爲基礎的×××方案既能夠滿足以上所有的基本要求,又能夠充分利用遍及世界各地的Internet互聯網絡的優勢。其它方案,包括安全IP協議(IPSec),雖然不能滿足上述全部要求,但是仍然適用於在特定的環境。本文以下部分將主要集中討論有關×××的概念,協議,和部件(component)。
四、隧道技術基礎
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據楨(此字不正確)或包。隧道協議將這些其它協議的數據楨或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱爲隧道。一旦到達網絡終點,數據將被解包並轉發到最終目的地。注意隧道技術是指包括數據封裝,傳輸和解包在內的全過程。
隧道所使用的傳輸網絡可以是任何類型的公共互聯網絡,本文主要以目前普遍使用Internet爲例進行說明。此外,在企業網絡同樣可以創建隧道。隧道技術在經過一段時間的發展和完善之後,目前較爲成熟的技術包括:
1.IP網絡上的SNA隧道技術
當系統網絡結構(SystemNetworkArchitecture)的數據流通過企業IP網絡傳送時,SNA數據楨將被封裝在UDP和IP協議包頭中。
2.IP網絡上的NovellNetWareIPX隧道技術
當一個IPX數據包被髮送到NetWare服務器或IPX路由器時,服務器或路由器用UDP和IP包頭封裝IPX數據包後通過IP網絡發送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之後,把數據包轉發到IPX目的地。
近幾年不斷出現了一些新的隧道技術,本文將主要介紹這些新技術。具體包括:
當系統網絡結構(SystemNetworkArchitecture)的數據流通過企業IP網絡傳送時,SNA數據楨將被封裝在UDP和IP協議包頭中。
2.IP網絡上的NovellNetWareIPX隧道技術
當一個IPX數據包被髮送到NetWare服務器或IPX路由器時,服務器或路由器用UDP和IP包頭封裝IPX數據包後通過IP網絡發送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之後,把數據包轉發到IPX目的地。
近幾年不斷出現了一些新的隧道技術,本文將主要介紹這些新技術。具體包括:
1.點對點隧道協議(PPTP)
PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然後封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送。
2.第2層隧道協議(L2TP)
L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然後通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,楨中繼或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允許對IP負載數據進行加密,然後封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
五、隧道協議
PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然後封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送。
2.第2層隧道協議(L2TP)
L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然後通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,楨中繼或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允許對IP負載數據進行加密,然後封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
五、隧道協議
爲創建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協議。
隧道技術可以分別以第2層或第3層隧道協議爲基礎。上述分層按照開放系統互聯(OSI)的參考模型劃分。第2層隧道協議對應OSI模型中的數據鏈路層,使用楨作爲數據交換單位。PPTP,L2TP和L2F(第2層轉發)都屬於第2層隧道協議,都是將數據封裝在點對點協議(PPP)楨中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層,使用包作爲數據交換單位。IP overIP以及IPSec隧道模式都屬於第3層隧道協議,都是將IP包封裝在附加的IP包頭中通過IP網絡傳送。