VPN简介
VPN,Virtual Private Network(虚拟专用网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它可以帮助异地用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
IETF 组织对基于IP 的VPN 解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。早期的专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路(PVC)服务的网络,或通过运营商的DDN 专线网络构建用户自己的专用网。
现在的VPN 是在Internet 上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,同时除了购买VPN 设备或VPN软件产品外,企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用,对于不同地区的客户联系也节省了长途电话费。这就是VPN 价格低廉的原因。
以OSI 模型参照标准,不同的VPN 技术可以在不同的OSI 协议层实现。
如下表:
|
VPN在OSI中的层次
|
VPN实现技术 |
|
应用层
|
SSL VPN |
|
会话层
|
Socks5 VPN |
|
网络层
|
IPSec VPN |
|
数据链路层
|
PPTP及L2TP |
应用层VPN
SSL协议:
安全套接字层(Secure Socket Layer,SSL)属于高层安全机制,广泛应用于Web 浏览程序和Web 服务器程序,提供对等的身份认证和应用数据的加密。在SSL中,身份认证是基于证书的。服务器方向客户方的认证是必须的,而SSL 版本3中客户方向服务方的认证只是可选项,但是并没有得到广泛的应用。SSL 会话中包含一个握手阶段,在这个阶段通信双方交换证书,生成会话密钥,协商以后通信使用的加密算法。完成了握手以后,对于B/S的应用,应用程序就可以安全地传输数据而无需做很大修改,除了在传输数据时要调用SSL API而不是传统的套接字API,但是对于C/S结构的应用软件,其解决方案与会话层的VPN异曲同工。
SSL 是一个端到端协议,因而是在处于通信通路端点的机器上实现(通常是在客户机和服务器上),而不需要在通信通路的中间节点(如路由器或防火墙)上实现。虽然理论上SSL可以用于保护TCP/IP 通信,但事实上SSL的应用几乎只限于HTTP。在SSL通信中,服务器方使用443端口,而客户方的端口是任选的。
会话层VPN
Socks4协议:
Socks 处于OSI 模型的会话层,在Socks协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道,然后代理应用程序的客户端与应用程序服务器进行通讯。在该框架中,协议能安全透明地穿过防火墙,并客户程序对目的主机是不可见的,从而很好地隐藏了目标主机。SOCKS 的关键技术是对客户端应用程序进行Socks化,加入对Socks协议的支持,然后服务器端再解析Socks化的结果。
Socks4协议,它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议(不包括UDP)的客户/服务器程序提供了一个无需认证的防火墙,建立了一个没有加密认证的VPN隧道。
Socks5协议:
Socks5协议扩展了Socks4,以使其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。为了实现这个Socks协议,通常需要重新编译或者重新链接基于TCP的客户端应用程序以使用Socks库中相应的加密函数,并且增加了对数据传输的完整性、数据包的压缩支持。
网络层VPN 技术
IPSec协议:
IPSec 也是IETF 支持的标准之一,它和前两种不同之处在于它是第三层即IP层的加密。 IPSec 不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输(transport)模式。在隧道模式下,IPSec 把IPv4 数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。
链路层VPN 技术
PTP协议:
PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,为使用电话上网的用户提供安全VPN业务,1996 年成为IETF草案。PPTP是PPP 协议的一种扩展,提供了在IP 网上建立多协议的安全VPN 的通信方式,远端用户能够通过任何支持PPTP 的ISP 访问企业的专用网络。
PPTP 提供PPTP 客户机和PPTP服务器之间的保密通信。PPTP 客户机是指运行该协议的PC 机,PPTP 服务器是指运行该协议的服务器。通过PPTP,客户可以采用拨号方式接入公共的IP 网。拨号客户首先按常规方式拨号到ISP的接入服务器,建立PPP 连接;在此基础上,客户进行二次拨号建立到PPTP 服务器的连接,该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接,其中IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。对于直接连接到IP网的客户则不需要第一次的PPP拨号连接,可以直接与PPTP服务器建立虚拟通路。
PPTP 的最大优势是Microsoft 公司的支持,另外一个优势是它支持流量控制,可保证客户机与服务器间不拥塞,改善通信性能,最大限度地减少包丢失和重发现象。PPTP 把建立隧道的主动权交给了客户,但客户需要在其PC 机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。另外,PPTP 仅工作于IP,不具有隧道终点的验证功能,需要依赖用户的验证。
L2F/L2TP 协议:
L2F(Layer 2 Forwarding)是由Cisco 公司提出的,可以在多种介质(如ATM、FR、IP)上建立多协议的安全VPN 的通信方式。它将链路层的协议(如HDLC、PPP、ASYNC等)封装起来传送,因此网络的链路层完全独立于用户的链路层协议。该协议1998 年提交给IETF,成为RFC2341。
L2F远端用户能够通过任何拨号方式接入公共IP网络。首先,按常规方式拨号到ISP 的接入服务器(NAS),建立PPP 连接;NAS 根据用户名等信息发起第二次连接,呼叫用户网络的服务器,这种方式下,隧道的配置和建立对用户是完全透明的。L2F允许拨号服务器发送PPP帧,并通过WAN 连接到L2F 服务器。L2F 服务器将包去封装后,把它们接入到企业自己的网络中。与PPTP 所不同的是,L2F 没有定义客户。
L2F 的主要缺陷是没有把标准加密方法包括在内,因此它基本上已经成为一个过时的隧道协议。
到底VPN是什么
VPN,Virtual Private Network(虚拟专用网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它可以帮助异地用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网络是专用网络的延伸,它包含了类似 Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。这个学名叫"虚拟专用网络"的VPN到底是个什么呢?
比方说:从北京到广州的班机,VPN就如机场在众多的的主干班机上辟出的一条临时专用班机来供贵宾直通到广州。并且,VPN的存在不会影响其它信息照常传递,又能像传统的专网一样保障内部信息在公共信道上传输时的机密性、完整性和可用性。
如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。
公众信息网是对整个社会开放的公众基础网络,具有覆盖范围广、速度快、费用低、使用方便等特点。 VPN 技术就是利用公众信息网中传输 , 就如同在茫茫的广域网中为用户拉出一条专线。对于用户来讲,公众网络起到了 “ 虚拟专用 ” 的效果。通过 VPN ,网络对每个使用者也是专用的。也就是说, VPN 根据使用者的身份和权限,直接将使用者接入他所应该接触的信息中。所以 VPN 对于每个用户,也是 “ 专用 ” 的,这一点应该是 VPN 给用户带来的最明显的变化。
我们一起步入VPN的世界
“VPN”, 对大多数人来说,是一个陌生、晦涩的事物,现在,就让你我一起步入VPN的世界,揭开其神秘的面纱。
为什么需要VPN
在经济全球化的今天,随着网络,尤其是网络经济的发展,客户分布日益广泛,合作伙伴增多,移动办公人员也随之剧增。传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。在这样的背景下,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。
而在传统的企业组网方案中,要进行远程LAN 到 LAN互联,除了租用DDN专线或帧中继之外,并没有更好的解决方法。对于移动用户与远端用户而言,只能通过拨号线路进入企业各自独立的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是,虚拟专用网VPN(Virtual Private Network)的概念与市场随之出现。利用VPN网络能够获得语音、视频方面的服务,如IP电话业务、电视会议、远程教学,甚至证券行业的网上路演、网上交易等等。
VPN应用领域
|
|
◆集团用户网络异地互联
集团用户一般在全国各地发展了众多的分支机构,构建了一个庞大的生产和销售网络,随着规模的扩大和企业的发展,越来越多的信息化建设项目如ERP系统等都将逐步在全公司全面推广与应用,要求能有一个安全的基础网络平台将众多分支机构也纳入公司整体的基础网络之中。
综合考虑投资成本、安全性等多种因素,同时宽带网络的普及具备了较好的应用条件,所以整个集团的基础网络建设采用VPN(虚拟专用网),在Internet基础上构建各分支机构及移动用户与总部的网络互联平台。
同同时由于各集团用户经营方式以及与下属各分支机构关系的不同,集团客户通常有两种或多种组织架构,要求VPN网络能够满足不同的组织机构的需求,并且可以在多种价格间灵活、无缝切换。
|
| |
◆企业应用系统异地联网
企业拥有各种信息系统(ERP、财务、OA等),需要让异地的分支机构和移动用户远程同步使用,采用DDN专线或VPN硬件造价太高,用Modem远程拨号的方式速度又太慢。惠尔顿公司为充分考虑信息化投资效果的企业度身定制的VPN互联解决方案,低成本、高安全性、高可靠性的满足以上需求。
|
| |
| ◆物流(连锁)异地联网
随着经济的发展,物流(连锁)经营模式的企业越来越多。这种企业大多数业务是直接为客户提供服务,服务是否到位、快捷和准确将成为企业的重要竞争力。许多企业为提高自身服务能力,利用信息技术在企业内部搭建了各种信息平台(如配送系统等),但是物流(连锁)经营的模式决定了大量分支机构的存在,这些分支机构迫切需要连接到总部局域网进行信息系统的同步操作,如果采用DDN专线则费用过于昂贵,对于微利时期的物流(连锁)业来说是无法承受的,采用Modem拨号的方式费用同样不低,而且安全性和性能也达不到要求。
随着VPN技术的成熟,使用VPN方式来进行数据传输正成为一种高效、低成本、高安全性的连接方式,正被越来越多的物流(连锁)企业所采用。
|
| |
| ◆DDN专线备份及扩展
部分客户为了确保关键业务的稳定和可靠性,将总部通过专线(DDN、帧中继等)与部分分支机构连接起来,但是其它非关键性分支结构同样需要与公司总部的互联,全部采用DDN专线则费用太高。
采用VPN方式联入总部局域网,同时可通过DDN专线去访问与总部DDN相连的远端分支,并且使用VPN可以作为原有DDN专线的备份线路,增强系统可靠性。
|
| |
| |
| ◆VPN对移动用户的支持
VPN极其方便于移动用户的使用。公司老总或各级主管在外出差时,在任何地点(酒店、机场或是在家)用任意一种方式接入Internet,便可接入公司局域网。查询所有相关的财务等重要信息和收发内部邮件,也可以及时发送信息回公司总部,实现移动办公,保证工作效率。
|
| |
|
使用VPN带来的好处
企业选用VPN可带来如下好处:
◆ 节省总体成本。用VPN替代传统的拨号网络,可节省20%~40%的费用,替代网络互联,可减少60%~80%的费用。另外,VPN还可以保护现有的网络投资。
◆ 大大降低网络复杂度,简化网络设计。
◆ 增强内部网络的互联性和扩展性。
◆ 有助于实现网络安全。VPN以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。
◆ 增强与用户、商业伙伴和供应商的联系。
VPN不仅给中小企业带来新的希望,中小企业不再为远程连接负担高额成本,而且大型企业、政府部门采用VPN可在保证专用网络功能的前提下大大降低总体成本。目前,VPN主要用于以下场合:
◆ 已经通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务需要,需要经济可靠的升级方案;
◆ 企业的内部用户和分支机构分布范围广、距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业;
◆ 分支机构、远程用户、合作伙伴多的企业,需要组建企业专用网
◆ 关键业务多,对通信线路保密和可用性要求高的用户,如银行、证券公司、保险公司等.
|
