VPN 主要的安全服务有以下 3 种:
保密性服务:防止传输的信息被监听;
完整性服务:防止传输的信息被修改;
认证服务:提供用户和设备的访问认证,防止非法接入;
VPN 介绍
专用网络:专用网就是 在两个网络(两个地区)之间架设一条专用线路,但是它并不需要真正地去铺设光缆之类的物理线路。虽然没有亲自去铺设,但是需要向电信运营商申请租用专线,在这条专用的线路上只传输自己的信息,所以安全稳定,同时也费用高昂。
VPN:Virtual Private Network,虚拟私有网络,或称为虚拟专用网络,常用于在在公用网络上建立专用网络,进行加密]讯。在企业网络中有广泛应用。VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。
分公司连接到总部 有多种方式,其中两种主要方式是 通过专线连接 和 使用 VPN 连接。
专线连接 是通过物理线路(如光纤、以太网等)直接连接分公司和总部的网络。这种连接通常是由专业的网络提供商提供和管理的,提供更高的带宽和稳定性。专线连接通常有固定的费用,并且在网络安全和性能方面提供较好的保障。
VPN(虚拟专用网络)连接是通过公共网络(如互联网)进行加密通信,允许分公司的网络安全地连接到总部的网络。VPN 通过加密数据流,使其在公共网络中传输时变得安全,可以通过互联网以较低的成本建立连接。
VPN 工作逻辑
在外网的用户可以使用 vpn client 连接组织搭建的 vpn server 以建立通信隧道,随后便建立了虚拟的私人网络,处于外网的 worker 和内网中的 server 可以相互通信。
VPN 常见应用模式
点对站点 peer to site
允许单个用户或设备通过 VPN 客户端连接到一个已建立的 VPN 网络,实现远程安全访问。( 建议使用 OpenVPN )
站点对站点 site to site
是两个网络之间的连接,用于连接不同地理位置的局域网,提供安全的远程通信。( 建议使用硬件 VPN )
那么为什么需要VPN呢?
VPN的产生
随着社会的发展,IT技术越来越多地影响现代企业的业务流程,如企业资源规划、基于IP网络的语音、基于IP网络的会议和教学活动等IT技术,为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展,越来越多的企业的分布范围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。
最初,电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路,这种方式的主要缺点是:
-
建设时间长
-
价格昂贵
-
难于管理
此后,随着ATM(Asynchronous Transfer Mode)和帧中继(Frame Relay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。
这种传统专网的不足在于:
-
依赖于专用的介质(如ATM或FR):为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络。网络建设成本高。
-
速率较慢:不能满足当前Internet应用对于速率的要求。
-
部署复杂:向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置。
传统专网的应用,促使了企业效益的日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生------在现有IP网络上模拟传统专网;这种新的解决方案就是虚拟专用网VPN(Virtual Private Network)。
VPN是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络。
VPN的特征
VPN具有以下两个基本特征:
-
专用(Private):对于VPN用户,使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立,即VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
-
虚拟(Virtual):VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)。
利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富:可以用在解决企业内部的互连、相同或不同办事部门的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、QoS保证、以及开展新的增值服务等问题。
VPN的优势
从客户角度看,VPN和传统的数据专网相比具有如下优势:
-
安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
-
廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
-
支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
-
服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证。
从运营商角度看,VPN具有如下优势:
-
可运营:提高网络资源利用率,有助于增加ISP的收益。
-
灵活:通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。在应用上具有很大灵活性。
-
多业务:SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务(Diffserv),从而减少运营商的建设、维护和运行费用。
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到Internet,即可使用VPN。
VPN有哪些分类?
随着网络技术的发展,VPN技术得到了广泛的应用,同时也得到了很大的发展,涌现了许多VPN新技术。按照不同的角度,VPN可以分为多种类型。
按业务用途分类
根据业务用途不同,VPN可以分为:
-
企业内部虚拟专网Intranet VPN
Intranet VPN通过公用网络进行企业内部的互联,是传统专网或其它企业网的扩展或替代形式。
使用Intranet VPN,企事业机构的总部、分支机构、办事处或移动办公人员可以通过公有网络组成企业内部网络。VPN也用来构建银行、政府等机构的Intranet。
典型的Intranet例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。
-
扩展的企业内部虚拟专网Extranet VPN
Extranet利用VPN将企业网延伸至供应商、合作伙伴与客户处,在具有共同利益的不同企业间通过公网构筑VPN,使部分资源能够在不同VPN用户间共享。
在传统的专线构建方式下,Extranet需要维护网络管理与访问控制,甚至还需要在用户侧安装兼容的网络设备。虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,同样降低不了复杂度。因合作伙伴与客户的分布广泛,拨号方式的Extranet需要昂贵的建设与维护费用。因此,企业常常放弃构建Extranet,使得企业间的商业交易程序复杂化,商业效率被迫降低。
Extranet VPN以其易于构建和管理为以上问题提供了有效的解决方案,其实现技术与Intranet VPN相同。目前,企业间通常使用VPN来构建Extranet。为了保证QoS,企业外部通讯一般不直接使用Intranet。并且,企业间的通讯数据通常是敏感的,而Extranet的安全性比Intranet强。各Extranet 用户访问Extranet VPN的权限可以通过防火墙等手段来设置与管理。
-
远程访问虚拟专网Access VPN Access VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器,与企业的Intranet和Extranet建立私有网络连接。Access VPN有两种类型:一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
按组网模型分类
根据组网模型的不同,VPN可以分为:
-
VPDN(Virtual Private Dial Network) VPDN为企业、小型ISP和移动办公人员提供接入服务。
VPDN接入范围可遍及PSTN(Public Switched Telephone Network)、ISDN(Integrated Services Digital Network)的覆盖区域,网络建设投资少、周期短,网络运行费用低。主要采用点到点的连接方式,通过L2TP(Layer 2 Tunneling Protocol)、PPTP(Point-to Point Tunneling Protocol)等协议实现。
VPDN具有比其他类型的VPN更加灵活的身份验证机制和网络计费方式,以及高度的安全性,并支持动态地址分配。
-
VPRN(Virtual Private Routing Network) VPRN是总部、分支机构和远端办公室之间通过网络管理虚拟设备互连。VPRN与其他类型的VPN相比,其主要区别在于VPRN数据包的转发是在网络层实现的。公网的每个VPN节点需要为每个VPN建立专用路由转发表,包含网络层可达性信息。数据流在公网的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。
VPRN的实现方式包括两种:一是使用传统VPN协议,如GRE(Generic Routing Encapsulation)等,另一种是使用MPLS(Multi-Protocol Label Switching)。
-
VPWS(Virtual Private Wire Service) VPWS也称为VLL(Virtual Leased Line),是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的"DDN(Digital Data Network)"业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于传统的租用线。
VPWS也兼容传统专网(如ATM、FR),运营商可以从ATM、FR等传统专网向VPWS平滑升级。
VPWS作为一种虚拟租用线路的实现方法,主要是在接入层和汇聚层使用。VPWS又分为CCC(Circuit Cross-Connect)、SVC(Static Virtual Circuit)、LDP等方式。PWE3也是一种端到端的二层业务承载技术,是对LDP方式VPWS的一种扩展。
-
VPLS(Virtual Private LAN Service) 虚拟专用局域网业务VPLS是局域网之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。
VPLS也称为透明局域网服务TLS(Transparent LAN Service)。不同于普通L2VPN的点到点业务,利用VPLS技术,服务提供商可以通过MPLS骨干网向用户提供基于以太网的多点业务。
以太网技术由于其灵活的VLAN逻辑接口定义,高带宽低成本等优势,越来越广泛地被使用。
VPRN和VPWS也能提供局域网服务,但传统以太网技术的局限性依然存在:
- 无法限制未知MAC的广播泛滥。
- 生成树协议STP(Spanning Tree Protocol)扩展受限。
- VLAN地址空间有限。
突破传统以太网技术的限制,VPLS骨干网不需要运行STP,而是使用全连接和水平分割来消除骨干网的环路。对于单播或多播不可知帧,可采取丢弃、本地处理和广播的处理方式。因此,VPLS将实现VLAN的范围扩展至全国各地,甚至世界各地。
按照运营模式与实现层次分类
按网络结构分类
典型的VPN组网分为三级结构:
-
接入层 接入层的设备为用户提供接入功能,功能要求较低,但要求接入接口较多。对于大城市中的城域网,接入层要求的功能比较高。接入层的设备一般要求在接入节点处进行CE双(多)归属,分为物理双归属和逻辑双归属。物理双归属是指有两条物理链路连接,逻辑双归属是指通过环路来进行双归属。
-
汇聚层 汇聚层根据需要组成网状网,或者环状网。
-
骨干层 骨干层要求全连接,多级备份。骨干层各设备一般使用高速接口互连。