求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
  
 
 
     
   
分享到
虚拟专用网VPN在企业中应用
 

作者 wangpengqi,火龙果软件 发布于2013-12-17

 

随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。

一、概述

随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。在北美和欧洲,VPN已成为一项相当普及的网络业务。目前国内的VPN应用主要集中在大型企业和行业用户。随着宽带网的普及,Internet接入的性价比提高,中小企业也能利用VPN技术来扩展自己的网络。通过宽带网组建的VPN增值潜力大,除了用于数据业务,还可用于语音、视频通信业务,从而实现三网合一的需求。除了租用电信运营商的VPN服务外,还可通过自购VPN产品,在公网上建立更加安全的专用通道,来连接自己的分支机构和移动用户。

二、VPN概念

VPN的基本思想就是在公共网络上建立安全的专用网络,来传输内部信息而形成逻辑网络,从而为企业用户提供比专线价格更低廉,安全性更高的资源共享和互联服务。VPN是企业内部网的扩展。

虚拟专用网指的是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。

顾名思义,所谓“虚拟”(Virtual),说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用”(Private,或译为“私用”),说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。

VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。

三、VPN的类型

VPN既是一种组网技术,又是一种网络安全技术。VPN涉及的技术和概念比较多,应用的形式也很丰富,其分类方式也很多,令人眼花缭乱。在技术篇中我们介绍了按实现技术将VPN分成基于隧道的VPN、基于虚电路的VPN和MPLS VPN等,这里再介绍几种主要的划分方式。

1、按应用范围划分

这是最常用的分类方法,大致可以划分为远程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3种应用模式。远程接入VPN用于实现移动用户或远程办公室安全访问企业网络;Intranet VPN用于组建跨地区的企业内部互联网络;Extranet VPN用于企业与客户、合作伙伴之间建立互联网络。

2、按VPN网络结构划分

VPN可分为以下3种类型。

① 基于VPN的远程访问

即单机连接到网络,又称点到站点,桌面到网络。用于提供远程移动用户对公司内部网的安全访问。

② 基于VPN的网络互联

即网络连接到网络,又称站点到站点,网关(路由器)到网关(路由器)或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信时,还可用于企业的内部网与企业合作伙伴网络之间的信息交流,并提供一定程度的安全保护,防止对内部信息的非法访问。

③ 基于VPN的点对点通信

即单机到单机,又称端对端,用于企业内部网的两台主机之间的安全通信。

3、按接入方式划分

在Internet上组建VPN,用户计算机或网络需要建立到ISP的连接。与用户上网接入方式相似,根据连接方式,可分为两种类型。

① 专线VPN通过固定的线路连接到ISP,如DDN、帧中继等都是专线连接。

② 拨号接入VPN简称VPDN,使用拨号连接(如模拟电话、ISDN和ADSL等)连接到ISP,是典型的按需连接方式。这是—种非固定线路的VPN。

4、按隧道协议划分

按隧道协议的网络分层,VPN可划分为第2层隧道协议和第3层隧道协议。PPTP、L2P和L2TP都属于第2层隧道协议,IPSec属于第3层隧道协议,MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec。当然,还可根据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。

第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议,如IP、IPX和AppleTalk,也可以支持多种广域网技术,如帧中继、ATM、X.25或SDH/SONET,还可以支持任意局域网技术,如以太网、令牌环网和FDDI网等。 另外,还有第4层隧道协议,如SSL VPN。

5、按隧道建立方式划分

根据VPN隧道建立方式,可分为两种类型。

① 自愿隧道(Voluntary tunnel)

指客户计算机或路由器可以通过发送VPN请求配置和创建的隧道。这种方式也称为基于用户设备的VPN。VPN的技术实现集中在VPN用户端,VPN隧道的起始点和终止点都位于VPN用户端,隧道的建立、管理和维护都由用户负责。ISP只提供通信线路,不承担建立隧道的业务。这种方式技术实现容易,不过对用户的要求较高。不管怎样,这仍然是目前最普遍使用的VPN组网类型。

② 强制隧道(Compulsory tunnel)

指由VPN服务提供商配置和创建的隧道。这种方式也称为基于网络的VPN。VPN的技术实现集中在ISP,VPN隧道的起始点和终止点都位于ISP,隧道的建立、管理和维护都由ISP负责。VPN用户不承担隧道业务,客户端无需安装VPN软件。这种方式便于用户使用,增加了灵活性和扩展性,不过技术实现比较复杂,一般由电信运营商提供,或由用户委托电信运营商实现。

6、按路由管理方式划分

按路由管理方式划分,VPN分为两种模式。

① 叠加模式(Overlay Model)

也译为“覆盖模式”。目前大多数VPN技术,如IPSec、GRE都基于叠加模式。采用叠加模式,各站点都有一个路由器通过点到点连接(IPSec、GRE等)到其他站点的路由器上,不妨将这个由点到点的连接以及相关的路由器组成的网络称为“虚拟骨干网”。叠加模式难以支持大规模的VPN,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其他所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。

② 对等模式(Peer Model)

对等模式是针对叠加模式固有的缺点推出的。它通过限制路由信息的传播来实现VPN。这种模式能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN。采用这种模式,相关的路由设备很复杂,但实际配置却非常简单;容易实现QoS服务;扩展更加方便,因为新增一个站点,不需与其他站点建立连接。这对于网状结构的大型复杂网络非常有用。MPLS技术是当前主流的对等模式VPN技术。

7、按照实现方式划分

VPN按照实现的方式可以分为基于用户端CPE设备的VPN和基于运营商网络的VPN。当一个企业用户要建立一个虚拟专用网络时,既可以由用户端来实现,也可以由网络运营商来实现,甚至可以由网络运营商和用户共同来实现,这就是所谓的VPN实现的分类。

① 基于用户端CPE设备的VPN

基于用户端CPE的VPN是指用户自己设置并维护VPN网关设备,在各个分支机构和公司总部之间建立VPN连接,并且可以采用加密技术以保障数据传输的安全性。连接的建立与用户的管理完全由用户自己负责,网络运营商不必调整或改变网络的结构与性能就可以提供对这种VPN功能的基本支持。这种实现方式的特点是,VPN的实现对网络运营商透明,网络运营商不需要任何设备投资。同时,网络运营商由于没有提供增值服务,除了可以获得更多的专线接入或拨号接入用户以外,无法得到额外的收入。

② 基于运营商网络的VPN

基于网络运营商网络的VPN方式是指网络运营商的公共数据网络上设置VPN网关设备,用于接入企业的专线用户或远程拨号接入用户。利用该网关设备,可以在全网范围内,根据具体的VPN网络需求,通过隧道封装或虚拟路由以及MPLS等技术,建立完全的或不完全的VPN网络结构,并且也可以采用加密技术以保障数据传输的安全性。VPN连接的建立完全由网络运营商负责,对用户透明。用户的管理可以灵活地由用户和网络运营商共同管理。运营商要根据具体的需要调整或改变网络结构与设备性能来支持这种VPN的实现。网络运营商提供VPN增值服务,可以得到额外的收入,例如用户管理和增加的专线或拨号接入租费等。另外,由于网关设备由网络运营商提供并管理,可以同时为多个企业用户提供VPN服务。

③ 网络运营商同用户共同实现的VPN

对于网络运营商同用户共同实现VPN的方式是指在网络运营商的公共网络上以及用户端可以根据需要灵活地设置VPN网关设备。VPN连接的建立可以是分别从用户端或网络运营商的VPN网关设备开始,并且可以分别终结到用户端或网络运营商的VPN网关设备。用户的管理也可以灵活地由用户和网络运营商联合管理。用户和网络运营商要根据具体的需要调整或改变网络结构与设备性能。这种实现方式的特点是,VPN的实现根据具体情况而定,灵活方便。由于网络运营商提供VPN服务需要较大的设备与管理投资,可以首先在VPN业务需求较多的地市配置VPN网关设备,对于个别的VPN用户,可以采用用户端实现的方式或采用配置较低的网关设备。目前还有一种经济可行的方法就是利用宽带接入服务器。宽带接入服务器是典型的运营商网络和用户端设备综合的VPN模式。它由于采用标准的隧道技术,所以既可以从网络端发起隧道,也可以终结由用户端设备发起的隧道,从而实现这种网络和用户端设备综合的VPN模式。

四、VPN的应用模式

VPN技术用于组建企业网络,大致可以划分为远程接入、网络互联和内部安全等3种应用模式。

1、远程访问

目前VPN比较广泛的应用是提供廉价可靠的远程用户接入,这是一种替代传统远程访问的解决方案。

过去,在外出差的用户,或在家办公的用户需要访问公司网络,就得使用拨号线路,本地用户通过本地网线路接入,而外地用户则需要长途线路接入。如果远程用户位于其他城市,就需要支付昂贵的长途费。即使位于同一城市,支付的市话费相对便宜,在需要同时支持多个用户接入时,也需要一组拨入设备,通常是调制解调器池,还需要拥有多条电话线路。购置调制解调器池的开支很大,而且升级成本也不低,在非高峰期容易造成设备闲置。

图1

为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连(通常通过ISP来连接)的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet 的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。

这种模式具有以下优点:

(1)简化网络配置,在配置远程访问服务器时省去调制解调器和电话线路,远程访问客户端可灵活选择通信线路,如模拟拨号、ISDN、ADSL和移动IP等ISP支持的任何接入方式。

(2)通过本地接入来代替长途接入,节省通信费用。

(3)便于扩展,同时接入的用户不受线路限制。

这种模式能够安全地连接移动用户、远程工作者或分支机构。如果企业的内部人员移动办公或有远程办公的需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程接入VPN。特别是近年来迅速发展的宽带网接入业务,为基于VPN的远程访问提供了廉价、高速的解决方案。VPN客户和VPN服务器都可通过本地宽带网接入Internet。

2、远程网络互联

网络互联是最主要的VPN应用模式。企业总部与分支机构之间、分支机构与分支机构的网络互联需求一直在增长,这是一种典型的WAN(广域网)应用。企业在外地有分支机构,就得租用专用线路进行远程通信,租用线路的两端还需配备专门硬件设备,多个分支机构就需要多条专线。采用这种专线连接方式实现网络远程互联,连接可靠,速度有保障,但是租用线路费用和管理开销比较大,而且专线多为包租方式,在非办公期间基本闲置不用。对于网络互联业务不够频繁的企业,可采用拨号连接来实现,但长途连接仍然是一笔不小的开销,而且速度不能得到保证。

图2

基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。

这种模式具有以下优点:节省WAN带宽的费用;通过本地连接来代替长途连接,节省通信费用;便于扩展,同时接入的用户不受线路限制。

3、网络内部安全

随着网络规模的扩大,网络应用业务的增长,企业内部网的安全越来越受重视,机构之间、部门之间需要在一些关键的应用系统之间进行隔离,实现访问控制。用于Internet的VPN技术也同样适用于Intranet,VPN可用于任何广域网或局域网环境中,在内部网中实现安全保密通信,建立内部专用隧道从而组建更为专用的保密网络或者秘密网络。

为了实现业务网络隔离,通常在企业局域网中使用VLAN技术,防止无关人员对特定信息的访问。然而VLAN并不是完善的安全解决方案,不能实现数据加密,如果再使用VPN加以改造,就可实现更安全的网络隔离。比如,企业内部两个承担关键业务的部门,如财务部门和总经理办公室之间,可设置自己的逻辑专用网,通过VPN方式来连接,他们之间穿过企业网的通信是加密的,其他部门的人员无法获取。

许多行业用户,如银行、政府等,都建立了自己的专用广域网,随着网络业务种类越来越多,需要解决内部网本身的安全问题,在一些关键的应用系统之间实现隔离,进行访问控制。使用VPN技术即可达到此目的,在同一个物理广域网上实现不同业务的逻辑网络隔离,不必为每一个业务网建设独立的物理网络,从而简化了总体成本和维护工作。

图3

与Internet上的应用类似,内部网VPN也有两种应用模式,一种是基于VPN的“远程访问”,另一种是基于VPN的“网络互联”,如图3所示。 此外,VPN也被用于两个主机之间的安全连接,如服务器之间的连接。

五、VPN应用范围

VPN主要用作远程访问和网络互联的廉价、安全、可靠的解决方案;帮助远程用户、公司分支机构、商业伙伴及供应商同企业内部网建立可信的安全连接,并保证数据的安全传输。VPN既是一种组网技术,又是一种网络安全技术。遇到以下几种情况,可考虑选择VPN。

(1) 已经通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务需要,需要经济可靠的升级方案。

(2) 企业的用户和分支机构分布范围广,距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业。

(3)分支机构、远程用户、合作伙伴多的企业,需要扩展企业网,实现远程访问和局域网互联。

(4)关键业务多且对通信线路保密和可用性要求高的用户,如银行、证券公司、保险公司等。

目前,像金融证券、保险业和政府机关等一类的行业用户,还有一些跨国企业、跨地区企业和分支机构分散的企业或机构,采用VPN技术的比较多。随着业务信息化程度的提高,中小企业应用VPN的要求也更加强烈。

六、如何选择VPN产品

如果单位自建VPN需要选购相关的产品。 一套完整的VPN产品一般包括3个部分即① VPN网关:用于实现LAN到LAN。② VPN客户端:与VPN网关一起可实现客户到LAN的VPN方案。③ VPN管理中心:对VPN网关和VPN客户端的安全策略进行配置和远程管理。 在选择VPN产品时,我们可从以下几个方面来考虑:

1、产品定位

首先应考察产品定位问题。像其他网络产品一样,不同的VPN产品有不同的定位,按从高端到低端的顺序,依次为电信级、企业级、中小企业、办公室或SOHO。当然,中小企业只能选择中小企业及以下级别的产品。

2、支持的应用类型

VPN有3种应用类型:LAN到LAN、客户到LAN、客户到客户。这里的客户指的是VPN网络中的移动用户和远程办公用户。目前多数VPN产品都支持LAN到LAN和客户到LAN,而支持客户到客户的产品不多。这一点在有些应用场合很重要,例如企业的远程办公用户之间需要交流保密信息,客户到客户的VPN方案是一种很好的解决手段。

3、支持的协议

自建VPN应根据需要选择隧道协议,目前PPTP、L2TP和IPSec是比较常用的协议。一般远程访问VPN(即客户到LAN)多选择L2TP协议,为安全起见,还需选择IPSec来提供加密。网络互联(LAN到LAN)和端到端连接多选择IPSec协议。PPTP由于简单易用,而且支持NAT路由,因此在有些场合下也使用。总之,IPSec是最安全的隧道协议,多数VPN产品都支持该协议。当然越来越多的VPN产品开始支持PPTP和L2TP协议。

除隧道协议之外,还要考察VPN可承载协议、NAT(网络地址转换)以及路由协议的支持情况。许多VPN产品的可承载协议除IP协议之外,还支持IPX、NetBIOS等网络协议。对NAT的支持对于一些网络共享的应用非常重要,IPSec本身并不支持NAT,但可在VPN产品中加进这一功能。与IPSec产生直接冲突的是网络地址端口转换(NAPT)和网络地址转换(NAT)。

NAT和NAPT在宽带网络中应用很广,许多网络服务供应商都使用这种技术。IPSec VPN方案如果不支持NAPT,在这些场合就没有意义了。

4、是否集成防火墙功能

VPN将IP数据包加密封装,往往会影响防火墙的性能,甚至影响安全策略的定义。一般来说,独立的VPN产品与防火墙难以协同工作,特别是来自不同厂家的产品。最好选择集成防火墙功能的VPN产品。

5、产品的基本配置

VPN的基本配置参数如下:

① 可支持的最大连接数。即使是小型网络,最少应不低于100,高端产品能支持数万个连接。

② VPN实现机制。有纯软件、纯硬件、软硬结合以及专用设备等方式。

③ 可提供的网络接口。常见的是以太网口,还有E1、T1等接口。

④ 操作系统平台,指VPN产品本身所采用的操作系统,许多产品都采用专有的操作系统。

6、VPN的管理性

提供专用的VPN管理软件或平台对于一个复杂的VPN网络很重要,可简化管理,减轻了系统管理员的负担。

7、VPN的开放性和扩展性

VPN产品应提供与第三方安全产品协同工作的能力,应适应多种平台。便于扩展,以适应VPN网络的扩展和升级。

8、产品的其他功能

其他功能包括硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密、认证、日志、审核等)、认证机制(RADIUS、数字证书)和密钥管理等。

另外,在选择VPN方案和产品的时候,不要单纯从组网和安全的技术角度考虑,还要考虑VPN的具体用途和所需成本。对于中小型VPN网络来说,经济实用才是最重要的。

七、宽带无线接入组建企业的VPN

宽带无线接入的最大特点是组网迅速、灵活,能以最快的速度为用户提供服务。它可提供诸如无线Internet接入、无线VPN、IP电话、VOD视频点播、局域网互联等多种业务种类。其中,企业用户更关心的是如何利用宽带无线接入组建自己的VPN。

对于企业用户来说,可能更关心利用宽带无线接入组建自己的VPN。安全性和实用性对用户来说是至关重要的。随着科技的发展,商务活动与互联网的关系日趋紧密,越来越多的商务活动需要以高质量、高速度的数据传输为技术依托。通过科学的方案设计、缜密的实地勘察、严格的施工与安装程序,无线接入技术与光纤技术可以竟相媲美。使用无线接入技术:用户将享受光纤般的服务,但价格可大大降低,得到服务的过程是非常快速的。因此,使用无线接入建立自己的VPN是企业用户的明智选择。无线VPN就是使用无线接入技术接入到共网上的VPN。

如果企业自己组建VPN,首先会造成资金的浪费,VPN设备需要进行复杂的加密处理,需要功能强大的处理器,才能获得较高的性能,因此VPN设备大都比较昂贵。其次,需要对VPN进行复杂的管理,企业需要人员对VPN设备在各地进行安装、调试和维护。

因此,大多数企业希望把VPN业务外包给能够提供可管理业务的运营商。所谓可管理的业务是指,不仅运营商能够对业务进行管理,客户本身也能对业务进行监视和进行一定程度的控制。企业希望不仅能够对自己的VPN进行全视角的监视,察看系统的配置和性能统计,而且能够对系统进行配置更新和改变。

 
分享到
 
 
     


中国移动 网络规划与管理
医院安防系统远程探视方案解析
基于RFID技术的物联网研究
基于物联网、云计算架构...
基于RFID技术物联网研究与应用
物联网的发展瓶颈和关键技术