虛擬專用網(wǎng)在企業(yè)的利用探討論文

導(dǎo)語：虛擬專用網(wǎng)在企業(yè)的利用探討論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】隨著企業(yè)規(guī)模逐漸擴大，遠程用戶、遠程辦公人員、分支機構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過公共網(wǎng)絡(luò)(如Internet)來建立自己的專用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專用網(wǎng)(簡稱VPN)。

【關(guān)鍵詞】VPN隧道IPSecQoS

1概述

虛擬專用網(wǎng)(簡稱VPN)是一種利用公共網(wǎng)絡(luò)來構(gòu)建私有數(shù)據(jù)傳輸通道，將遠程的用戶端連接起來，提供端到端的服務(wù)質(zhì)量（QoS）保證以及安全服務(wù)的私有專用網(wǎng)絡(luò)。目前，能夠用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet和服務(wù)提供商(ISP)所提供的DDN專線、幀中繼(FR)、ATM等，構(gòu)建在這些公共網(wǎng)絡(luò)上的VPN將給企業(yè)提供集安全性、可靠性、可管理性、互操作性于一身的私有專用網(wǎng)絡(luò)。

2VPN的要求

2.1安全性

VPN提供用戶一種私人專用的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認證技術(shù)得到解決。在IntranetVPN中，要有高強度的加密技術(shù)來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可靠的認證機制。

2.2性能

VPN要發(fā)展，其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時代，隨著電子商務(wù)活動的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此，VPN解決方案應(yīng)能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理策略來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應(yīng)用的性能，又不會“餓死”低優(yōu)先級的應(yīng)用。

2.3管理問題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)進行管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞至關(guān)緊要的區(qū)分。因此，VPN要有一個固定的管理方案以減輕管理、報告等方面負擔(dān)。管理平臺要有一個定義安全策略的簡單方法，將安全策略進行分布，并管理大量設(shè)備。

2.4互操作

在ExtranetVPN中，企業(yè)要與不同的客戶及合作伙伴建立聯(lián)系，VPN解決方案也會不同。因此，企業(yè)的VPN產(chǎn)品應(yīng)該能夠同其他廠家的產(chǎn)品進行互操作。這就要求所選擇的VPN方案應(yīng)該是基于工業(yè)標準和協(xié)議的。這些協(xié)議有IPSec（Internet安全協(xié)議）、PPTP（點到點隧道協(xié)議）、L2TP（第二層隧道協(xié)議）等。

3VPN的實現(xiàn)技術(shù)

3.1隧道技術(shù)

VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，然后數(shù)據(jù)包經(jīng)過加密，按隧道協(xié)議進行封裝、傳送以保證安全性。

現(xiàn)有兩種類型的隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建遠程訪問VPN；另一種是三層隧道協(xié)議，用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建IntranetVPN和ExtranetVPN。

3.2加密技術(shù)

數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非授權(quán)者不能了解被保護信息的內(nèi)容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經(jīng)足夠了；DES和三次DES強度比較高，可用于保護敏感的商業(yè)信息。

加密技術(shù)可以在協(xié)議棧的任意層進行，可以對數(shù)據(jù)或報文頭進行加密。在網(wǎng)絡(luò)層中的加密標準是IPSec。網(wǎng)絡(luò)層加密實現(xiàn)的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一跳路由之間不加密。這種方法不太安全，因為數(shù)據(jù)從終端系統(tǒng)到第一條路由時可能被截取而危及數(shù)據(jù)安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統(tǒng)的標準；而“隧道模式”方案，VPN安全粒度只達到子網(wǎng)標準。在鏈路層中，目前還沒有統(tǒng)一的加密標準，因此，所有鏈路層加密方案基本上是生產(chǎn)廠家自己設(shè)計的，需要特別的加密硬件。

3.3QoS技術(shù)

通過隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足企業(yè)的要求，這就要加入QoS技術(shù)。實行QoS應(yīng)該在主機網(wǎng)絡(luò)中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。公務(wù)員之家

QoS機制具有通信處理機制以及供應(yīng)和配置機制。網(wǎng)絡(luò)資源是有限的，有時用戶要求的網(wǎng)絡(luò)資源得不到滿足，管理員基于一定的策略進行QoS機制配置，通過QoS機制對用戶的網(wǎng)絡(luò)資源分配進行控制以滿足應(yīng)用的需求，這些QoS機制相互作用使網(wǎng)絡(luò)資源得到最大化利用，同時又向用戶提供了一個性能良好的網(wǎng)絡(luò)服務(wù)。

除了這3種主要技術(shù)以外，還有如備份技術(shù)，流量控制技術(shù)，包過濾技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，抗擊打能力和網(wǎng)絡(luò)監(jiān)控和管理技術(shù)等。

4VPN的應(yīng)用模式

4.1遠程訪問

為克服傳統(tǒng)遠程訪問的問題，推出了基于VPN的遠程訪問解決方案。如圖1所示，這種方案充分利用了公共基礎(chǔ)設(shè)施和ISP，遠程用戶通過ISP接入Internet，再穿過Internet連接與Internet相連的企業(yè)VPN服務(wù)器，來訪問位于VPN服務(wù)器后面的內(nèi)部網(wǎng)絡(luò)。一旦接入VPN服務(wù)器，就在遠程用戶與VPN服務(wù)器之間建立一條穿越Internet的專用隧道連接。這樣，遠程客戶到當(dāng)?shù)豂SP的連接和VPN服務(wù)器到當(dāng)?shù)豂SP的連接都是本地網(wǎng)內(nèi)通信，雖然Internet不夠安全，但是由于采用加密技術(shù)，遠程客戶到VPN服務(wù)器之間的連接是安全的。

4.2遠程網(wǎng)絡(luò)互聯(lián)

基于VPN的網(wǎng)絡(luò)互聯(lián)已成為一種熱門的新型WAN技術(shù)，它利用專用隧道取代長途線路來降低成本，提高效率。兩端的內(nèi)部網(wǎng)絡(luò)通過VPN服務(wù)器接入本地網(wǎng)內(nèi)的ISP，通過Internet建立虛擬的專用連接，如圖2所示。特別是寬帶網(wǎng)業(yè)務(wù)的發(fā)展，為基于VPN的遠程網(wǎng)絡(luò)提供了廉價、高速的解決方案。這種互聯(lián)網(wǎng)絡(luò)擁有與本地互聯(lián)局域網(wǎng)相同的管理性和可靠性。

4.3網(wǎng)絡(luò)內(nèi)部安全

與Internet上的應(yīng)用類似，內(nèi)部網(wǎng)VPN也有兩種應(yīng)用模式，一種是基于VPN的“遠程訪問”，另一種是基于VPN的“網(wǎng)絡(luò)互聯(lián)”，如圖3所示。此外，VPN也被用于兩個主機之間的安全連接，如服務(wù)器之間的連接。