虚拟专用网在企业中的应用

虚拟专用网在企业中的应用虚拟专用网在企业中的应用

随着企业规模渐渐扩大，远程用户、远程办公人员、分支机构、合作伙伴也在不断增多，关键业务的需求增加，消失了一种通过公共网络(如internet)来建立自己的专用网络的技术，这种技术就是虚拟专用网(简称vpn)。

vpn隧道ipsecqos

1概述

虚拟专用网(简称vpn)是一种利用公共网络来构建私有数据传输通道，将远程的用户端连接起来，供应端到端的服务质量（qos）保证以及平安服务的私有专用网络。目前，能够用于构建vpn的公共网络包括internet和服务供应商(isp)所供应的ddn专线、帧中继(fr)、atm等，构建在这些公共网络上的vpn将给企业供应集平安性、牢靠性、可管理性、互操作性于一身的私有专用网络。

2vpn的要求

2.1平安性

vpn供应用户一种私人专用的感觉，因此建立在担心全、不行相信的公共数据网的首要任务是解决平安性问题。vpn的平安性可通过隧道技术、加密和认证技术得到解决。在intranetvpn中，要有高强度的加密技术来爱护敏感信息；在远程访问vpn中要有对远程用户牢靠的认证机制。

2.2性能

vpn要进展，其性能至少不应当低于传统方法。尽管网络速度不断提高，但在internet时代，随着电子商务活动的激增，网络拥塞常常发生，这给vpn性能的稳定带来极大的影响。因此，vpn解决方案应能够让管理员进行通信掌握来确保其性能。通过vpn平台，管理员定义管理策略来激活基于重要性的出入口带宽安排。loCaLHOsT这样既能确保对数据丢失有严格要求和高优先级应用的性能，又不会“饿死”低优先级的应用。

2.3管理问题

由于网络设施、应用不断增加，网络用户所需的ip地址数量持续增长，对越来越简单的网络进行管理，网络平安处理力量的大小是vpn解决方案好坏至关紧要的区分。因此，vpn要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义平安策略的简洁方法，将平安策略进行分布，并管理大量设备。

2.4互操作

在extranetvpn中，企业要与不同的客户及合作伙伴建立联系，vpn解决方案也会不同。因此，企业的vpn产品应当能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应当是基于工业标准和协议的。这些协议有ipsec（internet平安协议）、pptp（点到点隧道协议）、l2tp（其次层隧道协议）等。

3vpn的实现技术

3.1隧道技术

vpn区分于一般网络互联的关键是隧道的建立，然后数据包经过加密，按隧道协议进行封装、传送以保证平安性。

现有两种类型的隧道协议，一种是二层隧道协议，用于传输其次层网络协议，它主要应用于构建远程访问vpn；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建intranetvpn和extranetvpn。

3.2加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要爱护的敏感信息，使非授权者不能了解被爱护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次des。rc4虽然强度比较弱，但是爱护免于非专业人士的攻击已经足够了；des和三次des强度比较高，可用于爱护敏感的商业信息。

加密技术可以在协议栈的任意层进行，可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最平安方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太平安，由于数据从终端系统到第一条路由时可能被截取而危及数据平安。终端到终端的加密方案中，vpn平安粒度达到个人终端系统的标准；而“隧道模式”方案，vpn平安粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此，全部链路层加密方案基本上是生产厂家自己设计的，需要特殊的加密硬件。

3.3qos技术

通过隧道技术和加密技术，已经能够建立起一个具有平安性、互操作性的vpn。但是该vpn性能上不稳定，管理上不能满意企业的要求，这就要加入qos技术。实行qos应当在主机网络中，即vpn所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。

qos机制具有通信处理机制以及供应和配置机制。网络资源是有限的，有时用户要求的网络资源得不到满意，管理员基于肯定的策略进行qos机制配置，通过qos机制对用户的网络资源安排进行掌握以满意应用的需求，这些qos机制相互作用使网络资源得到最大化利用，同时又向用户供应了一共性能良好的网络服务。

除了这3种主要技术以外，还有如备份技术，流量掌握技术，包过滤技术，网络地址转换技术，抗击打力量和网络监控和管理技术等。

4vpn的应用模式

4.1远程访问

为克服传统远程访问的问题，推出了基于vpn的远程访问解决方案。如图1所示，这种方案充分利用了公共基础设施和isp，远程用户通过isp接入internet，再穿过internet连接与internet相连的企业vpn服务器，来访问位于vpn服务器后面的内部网络。一旦接入vpn服务器，就在远程用户与vpn服务器之间建立一条穿越internet的专用隧道连接。这样，远程客户到当地isp的连接和vpn服务器到当地isp的连接都是本地网内通信，虽然internet不够平安，但是由于采纳加密技术，远程客户到vpn服务器之间的连接是平安的。

4.

虚拟专用网在企业中的应用

2远程网络互联

基于vpn的网络互联已成为一种热门的新型wan技术，它利用专用隧道取代长途线路来降低成本，提高效率。两端的内部网络通过vpn服务器接入本地网内的isp，通过internet建立虚拟的专用连接，如图2所示。特殊是宽带网业务的进展，为基于vpn的远程网络供应了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和牢靠性。