VPN網路同樣也需要這三部分,不同的是VPN連接不是採用物理的傳輸介質,而是使用一種稱之為“隧道”的東西來作為傳輸介質的,這個隧道是建立在公共網路或專用網路基礎之上的,如因特網或專用Intranet等。同時要實現VPN連接,企業內部網路中必須配置有一台基於Windows NT或Windows2000 Server(目前Windows系統是最為普及,也是對VPN技術支援最為全面的一種作業系統)的VPN伺服器,VPN伺服器一方面連接企業內部專用網路(LAN),另一方面要連接到因特網或其他專用網路,這就要VPN伺服器必須擁有一個公用的IP地址,也就是說企業必須先擁有一個合法的Internet或專用網域名。當客戶機通過VPN連接與專用網路中的電腦進行通信時,先由NSP(網路服務提供商)將所有的數據傳送到VPN伺服器,然後再由VPN伺服器將所有的數據傳送到目標電腦。因為在VPN隧道中通信能確保通信通道的專用性,並且傳輸的數據是經過壓縮、加密的,所以VPN通信同樣具有專用網路的通信安全性。整個VPN通信過程可以簡化為以下4個通用步驟:
(1)客戶機向VPN伺服器發出請求;
(2) VPN伺服器響應請求並向客戶機發出身份質詢,客戶機將加密的用戶身份驗證響應資訊發送到VPN伺服器;
(3) VPN伺服器根據用戶數據庫檢查該響應,如果賬戶有效,VPN伺服器將檢查該用戶是否具有遠程訪問許可權;如果該用戶擁有遠程訪問的許可權,VPN伺服器接受此連接;
(4)最後VPN伺服器將在身份驗證過程中產生的客戶機和伺服器公有密鑰將用來對數據進行加密,然後通過VPN隧道技術進行封裝、加密、傳輸到目的內部網路。
1. VPN的優勢
VPN網路給用戶所帶來的好處主要表現在以下幾個方面:
(1)節約成本
這是VPN網路技術的最為重要的一個優勢,也是它取勝傳統的專線網路的關鍵所在。據行業調查公司的研究報告顯示擁有VPN的企業相比起採用傳統租用專線的遠程接入伺服器或Modem池和撥號線路的企業能夠節省30%到70%的開銷。開銷的降低發生在4個領域之中:
移動通訊費用的節省:這主要是針對於有許多職工需要移動辦公的企業來說的,因為這樣對於出差在外地的移動用戶來說只需要接入本地的ISP就可以與公司內部的網路進行互連,大大減少了長途通信費。企業可以從他們的移動辦公用戶的電話費用上看到立竿見影的好處。
專線費用的節省:採用VPN的費用比起租用專線來要低40~60%,而無論是在性能、可管理性和可控性方面兩者都沒有太大的差別。通過向虛擬專線中加入語音或多媒體流量,企業還可以進一步獲得成本的節約。這一點對於過去有過租用象DDN之類的專線的企業用戶就會有更深刻的感受了,租用DDN一個小小的64k就得每月花費幾千上萬元費用,採用VPN後不僅這方面的費用會大大減少(但通常不能全免,因為在企業與NSP之間這一段還得租用NSP的專用線路,但這已是相當短的了),而且還可能會在帶寬上有更大的優勢,因為現在的VPN技術可以支援寬帶技術了。
設備投資的節省:VPN允許將一個單一的廣域網介面用作多種用途,從分支機構的互聯到合作夥伴通過外聯網(Extranet)的接入。因此,原先需要流經不同設備的流量可以統一地流經同一設備。由此帶來的好處便是企業不再像原先那樣需要大量的廣域網介面了,也不必再像以前那樣頻繁地進行週期性的硬體升級了,這樣就可大大減少了企業固定設備的投資,這對於是、小型企業來說是非常之重要的。此外,VPN還使企業得以繼續對其關鍵業務型的舊有系統進行有效利用,從而達到保護軟硬體投資的目的。
支援費用的節省:通過減少Modem池的數量,企業自身支援費用可以被降至最低。原先用來對遠程用戶進行支援的、經常超負荷工作的企業支援熱線(通常還需由專人負責)被NSP幫助桌面系統所取代。而且,由於NSP幫助桌面系統可以完全實現從總部中心端進行管理,因此VPN可以極大地降低對遠程網路的安裝和配置成本。在降低費用方面主要表現為:遠程用戶可以只通過向當地的ISP申請賬戶登錄到因特網,以因特網作為隧道與遠程企業內部專用網路相連。這樣採用撥號方式的遠程用戶則不需要採用長途撥號,企業總部也可只支付ISP本地網路使用費,在長途通信費用方面就會大幅度降低,據專業分析機構調查顯示,採用VPN與傳統的撥號方式相比可以節約通訊成本可達50%-80%。與租用專線方式相比更具有明顯的費用優勢,一般VPN每條連接的費用成本只相當於租用專線的40%到60%;VPN還允許一個單一的WAN介面服務多種用途,因此用戶端只需要極少的WAN介面和設備。而且由於VPN是可以完全管理,並且能夠從中央網站進行基於策略的控制,因此可以大幅度地減少在安裝配置遠端網路介面所需的設備上的開銷。另外,由於VPN獨立於初始的協議,這就使得遠端的接入用戶可以繼續使用傳統的設備,保護了用戶在現有硬體和軟體系統上的投資。
(2)增強的安全性
目前VPN主要採用四項技術來保證數據通信安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption &Decryption)、密鑰管理技術(Key Management)、身份認證技術(Authentication)。
在用戶身份驗證安全技術方面,VPN是通過使用點到點協議(PPP)用戶級身份驗證的方法來進行驗證,這些驗證方法包括:密碼身份驗證協議(PAP)、質詢握手身份驗證協議(CHAP)、Shiva密碼身份驗證協議(SPAP)、Microsoft質詢握手身份驗證協議(MS-CHAP)和可選的可擴展身份驗證協議(EAP);
在數據加密和密鑰管理方面VPN採用微軟的點對點加密演算法(MPPE)和網際協議安全(IPSec)機制對數據進行加密,並採用公、私密鑰對的方法對密鑰進行管理。MPPE使Windows 95、98和NT 4.0終端可以從全球任何地方進行安全的通信。MPPE加密確保了數據的安全傳輸,並具有最小的公共密鑰開銷。以上的身份驗證和加密手段由遠程VPN伺服器強制執行。對於採用撥號方式建立VPN連接的情況下,VPN連接可以實現雙重數據加密,使網路數據傳輸更安全。
還有,對於敏感的數據,可以使用VPN連接通過VPN伺服器將高度敏感的數據伺服器物理地進行分隔,只有企業Intranet上擁有適當許可權的用戶才能通過遠程訪問建立與VPN伺服器的VPN連接,並且可以訪問敏感部門網路中受到保護的資源。
(3)網路協議支援
VPN支援最常用的網路協議,這樣基於IP、IPX和NetBEUI協議網路中的客戶機都可以很容易地使用VPN。這意味著通過VPN連接可以遠程運行依賴於特殊網路協議的應用程式。新的VPN技術可以全面支援如AppleTalk、DECNet、SNA等幾乎所有的局域網協議,應用更加全面。
(4)容易擴展
如果企業想擴大VPN的容量和覆蓋範圍,企業需做的事情很少,而且能及時實現,因為這些工作都可以交由專業的NSP來負責,從而可以保證工程的品質,更可以省去一大堆麻煩。企業只需與新的NSP簽約,建立賬戶;或者與原有的NSP重簽合約,擴大服務範圍。VPN路由器還能對工作站自動進行配置。
(5)可隨意與合作夥伴聯網
在過去,企業如果想與合作夥伴連網,雙方的資訊技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。這樣相當麻煩,不便於企業自身的發展,也就是租用的專線在靈活性方面是非常不夠。有了VPN之後,這種協商也毫無必要,真正達到了要連就連,要斷就斷,可以實現靈活自如的擴展和延伸。
(6)完全控制主動權
借助VPN,企業可以利用ISP的設施和服務,同時又完全掌握著自己網路的控制權。比方說,企業可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權、網路地址、安全性和網路變化管理等重要工作。
(7)安全的IP地址
因為VPN是加密的,VPN數據包在因特網中傳輸時,因特網上的用戶只看到公用的IP地址,看不到數據包內包含的專有網路地址。因此遠程專用網路上指定的地址是受到保護的。IP地址的不安全性也是在早期的VPN沒有被充分重視的根本原因之一。
(8)支援新興應用
許多專用網對許多新興應用準備不足,如那些要求高帶寬的多媒體和協作互動式應用。VPN則可以支援各種高級的應用,如IP語音,IP傳真,還有各種協議,如RSIP、IPv6、MPLS、SNMPv3等,而且隨著網路接入技術的發展,新型的VPN技術可以支援諸如ADSL、Cable Modem之類的寬帶技術。
上面介紹了VPN的主要優勢,那麼哪些用戶適合採用VPN網路連接呢?綜合VPN技術的特點,可以得出主要有以下四類用戶適合採用VPN進行網路連接:
a.網路接入位置眾多,特別是單個用戶和遠程辦公室站點多,例如多分支機構企業用戶、遠程教育用戶;
b.用戶/站點分佈範圍廣,彼此之間的距離遠,遍佈全球各地,需通過長途電信,甚至國際長途手段聯繫的用戶,如一些跨國公司;
c.帶寬和時延要求相對適中,如一些提供IDG服務的ISP;
d.對線路保密性和可用性有一定要求的用戶,如大企業用戶和政府網。
根據VPN的應用平臺可分為:軟體平臺、專用硬體平臺及輔助硬體平臺三類。
(1)軟體平臺VPN
當對數據連接速率較低要求不高,對性能和安全性要求不強時,可以利用一些軟體公司所提供的完全基於軟體的VPN產品來實現簡單的VPN的功能,如checkpoint software和Aventail Corp等公司的產品。甚至可以不需要另外購置軟體,僅依靠微軟的Windows作業系統,特別是自Windows 2000版本以後的系統就可實現純軟體平臺的VPN連接。
這類VPN網路一般性能較差,數據傳輸速率較低,同時在安全性方面也比較低,一般僅適用於連接用戶較少的小型企業。
(2)專用硬體平臺VPN
使用專用硬體平臺的VPN設備可以滿足企業和個人用戶對高數據安全及通信性能的需求,尤其是從加密及數據亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬體廠商比較多,比較有名的如國外的:Nortel、Cisco、3Com等,國內的如華為、聯想等。
這類VPN平臺雖然投資了大量的硬體設備,但是它具有先天的不足,就是成本太高,對於中、小型企業很難承受。並且由於全是由硬體來構成的平臺,因此在管理的靈活性方面和可管理性方面就顯得不如人意。通常是對於專業的VPN網路服務提供商來說選擇這一平臺較為合適,因為它們都有這方面的人才和資金優勢。不過現在的主流VPN硬體設備製造商都能提供相應的管理軟體來支援,如Cisco、3COM公司等,這在後面章節中將具體介紹它們的VPN解決方案。
(3)輔助硬體平臺VPN
這類VPN的平臺介於軟體平臺和指定硬體平臺的之間,輔助硬體平臺的VPN主要是指以現有網路設備為基礎,再增添適當的VPN軟體以實現VPN的功能。這是一種最為常見的VPN平臺,性能也是最好的一種。但是通常這種平台中的硬體也不能完全由原來的網路硬體來完成,必要時還得添加專業的VPN設備,如VPN交換機、VPN網關或路由器等,對於一個完善的、高性能的VPN網路這些設備在一定程度上來說是非常必要的。
這種平臺是最為通用的一種方式,它既具備了硬體平臺的高性能、高安全性,同時也具有了軟體平臺的靈活性,並且可以利用絕大多數現有硬體設備,節省了總體投資。目前絕大多數企業VPN方案選用。
2.主要VPN協議
通過前面的介紹知道VPN隧道協議主要有三種:PPTP、L2TP和IPSec,PPTP和L2TP協議是工作在OSI/RM開放模型中的第二層,所以又稱之為第二層隧道協議。其實在第二層隧道協議中還有一種不是很主流的協議,那就是Cisco公司的L2F(Layer 2 Forwarding)協議。在VPN網路中最常見的第三層隧道協議是IPSec,但另一種GRE(Generic Routing Encapsulation,通用路由封裝協議,在RFC 1701中早有描述)也是屬於一個第三隧道協議。
第二層隧道和第三層隧道的本質區別在於用戶的數據包是被封裝在哪一層的數據包隧道裏傳輸的。第二層隧道協議和第三層隧道協議一般來說分別使用,但合理的運用兩層協議,將具有更好的安全性。例如:L2TP與IPSec協議的配合使用,可以分別形成L2TP VPN、IPSec VPN網路,也可混合使用L2TP、IPSec協議形成性能更強的L2TP VPN網路,且這一VPN網路形式是目前性能最好、應用最廣的一種,因為它能提供更加安全的數據通信,解決了用戶的後顧之憂。
3. VPN的部署模式
VPN的部署模式從本質上描述了VPN通道的起始點和終止點,不同的VPN模式適用於不同的應用環境,滿足不同的用戶需求,總的來說有3種VPN部署模式:
(1)端到端(End-to-End)模式;
該模式是自建VPN的客戶所採用的典型模式,也是最為徹底的VPN網路。在這種模式中企業具有完全的自主控制權,但是要建立這種模式的VPN網路需要企業自身具備足夠的資金和人才實力,這種模式在總體投金上是最多的。最常見的隧道協議是IPSec和PPTP。這種模式一般只有大型企業才有條件採用,這種模式最大的好處,也是最大的不足之處就是整個VPN網路的維護權都是由企業自身完成,需花鉅資購買成套昂貴的VPN設備,配備專業技術人員,同時整個網路都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企業到NSP之間的透明段。
(2)供應商─企業(Provider-Enterprise)模式;
這是一種外包方式,也是目前一種主流的VPN部署方式,適合廣大的中、小型企業組建VPN網路。在該模式中,客戶不需要購買專門的隧道設備、軟體,由VPN服務提供商(NSP)提供設備來建立通道並驗證。然而,客戶仍然可以通過加密數據實現端到端的全面安全性。在該模式中,最常見的隧道協議有L2TP、L2F和PPTP。
(3)內部供應商(Intra-Provider)模式。
這也是一種外包方式,與上一種方式最大的不同就在於用戶對NSP的授權級別不同,這種模式非常適合小型企業用戶,因為這類企業一般沒有這方面的專業人員,自身維護起來比較困難,可以全權交給NSP來維護。這是很受電信公司歡迎的模式,因為在該模式中,VPN服務提供商保持了對整個VPN設施的控制。在該模式實現中,通道的建立和終止都是在NSP的網路設施中實現的。對客戶來說,該模式的最大優點是他們不需要做任何實現VPN的工作,客戶不需要增加任何設備或軟體投資,整個網路都由VPN服務提供商維護。最大的足也就是用戶自身自主權不足,存在一定的不安全因素。
4. VPN的服務類型
根據VPN應用的類型來分,VPN的應用業務大致可分為3類:IntranetVPN、Access VPN與Extranet VPN,但更多情況下是需要同時用到這三種VPN網路類型,特別是對於大型企業。
(1)Access VPN
Access VPN又稱為撥號VPN(即VPDN),是指企業員工或企業的小分支機構通過公網遠程撥號的方式構築的虛擬網。如果企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用AccessVPN。
Access VPN通過一個擁有與專用網路相同策略的共用基礎設施,提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。Access VPN包括能隨時使用如模擬撥號Modem、ISDN、數字用戶線路(xDSL)、無線上網和有線電視電纜等撥號技術,安全地連接移動用戶、遠程工作者或分支機構。這種方式相對傳統的撥號訪問具有明顯的費用優勢,對於需要移動辦公的企業來說不失為一种經濟安全、靈活自由的好方式,所以這種方式通常也是許多大、中型企業所必需的。當然它也可以獨自存在,如一些小型商務企業。
(2) Intranet VPN
Intranet VPN即企業的總部與分支機構間通過VPN虛擬網進行網路連接。隨著企業的跨地區、國際化經營,這是絕大多數大、中型企業所必需的。如果要進行企業內部各分支機構的互聯,使用Intranet VPN是很好的方式。這種VPN是通過公用因特網或者第三方專用網進行連接的,有條件的企業可以採用光纖作為傳輸介質。它的特點就是容易建立連接、連接速度快,最大特點就是它為各分支機構提供了整個網路的訪問許可權。
越來越多的企業需要在全國乃至世界範圍內建立各種辦事機構、分公司、研究所等,各個分公司之間傳統的網路連接方式一般是租用專線。顯然,在分公司增多、業務開展越來越廣泛時,網路結構趨於複雜,費用昂貴。利用VPN特性可以在因特網上組建世界範圍內的IntranetVPN。利用因特網的線路保證網路的互聯性,而利用隧道、加密等VPN特性可以保證資訊在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共用基礎設施,連接企業總部、遠程辦事處和分支機構。企業擁有與專用網路的相同政策,包括安全、服務品質(QoS)、可管理性和可靠性。
(3) Extranet VPN
Extranet VPN即企業間發生收購、兼併或企業間建立戰略聯盟後,使不同企業網通過公網來構築的虛擬網。如果是需要提供B2B電子商務之間的安全訪問服務,則可以考慮選用Extranet VPN。
隨著資訊時代的到來,各個企業越來越重視各種資訊的處理。希望可以提供給客戶最快捷方便的資訊服務,通過各種方式了解客戶的需要,同時各個企業之間的合作關係也越來越多,資訊交換日益頻繁。因特網為這樣的一種發展趨勢提供了良好的基礎,而如何利用因特網進行有效的資訊管理,是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet,既可以向客戶、合作夥伴提供有效的資訊服務,又可以保證自身的內部網路的安全。
Extranet VPN通過一個使用專用連接的共用基礎設施,將客戶、供應商、合作夥伴或興趣群體連接到企業內部網。企業擁有與專用網路的相同政策,包括安全、服務品質(QoS)、可管理性和可靠性。
Extranet VPN對用戶的吸引力在於:能容易地對外部網進行部署和管理,外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。主要的不同是接入許可,外部網的用戶被許可只有一次機會連接到其合作人的網路,並且只擁有部分網路資源訪問許可權,這要求企業用戶對各外部用戶進行相應訪問許可權的設定。典型網路結構如圖1.5所示。
以上三種VPN模式,其實在後面將要介紹的Windows 2000系統中的VPN網路中都統歸於兩種模式,即:遠程訪問VPN和路由器到路由器VPN,“遠程訪問VPN”對應于本節所介紹的Access VPN(VPDN)模式,而“Extranet VPN”和“Intranet VPN”則可統歸“路由器到路由器VPN”模式。但是又不能完全這麼劃分,因為不同系統中對VPN模式的分類標準和前提不太一樣,本節所介紹的這三種VPN模式是基於整個VPN網路來劃分的,而在Windows 2000系統中的這種VPN模式劃分的前提是在純軟體方式下進行的。
文章定位:
