在國外,vpn已經迅速發展起來,2023年全球vpn市場將達到120億美元。在中國,雖然人們對vpn的定義還有些模糊不清,對vpn的安全性、服務質量(qos)等方面存有疑慮,但網際網路和電子商務的快速發展使我們有理由相信,中國的vpn市場將逐漸熱起來。
對國內的使用者來說,vpn(虛擬專用網,virtual private ***work)最大的吸引力在**?是**。據估算,如果企業放棄租用專線而採用vpn,其整個網路的成本可節約21%-45%,至於那些以**撥號方式連網訪問資料的公司,採用vpn則可以節約通訊成本50%-80%。
為什麼vpn可以節約這麼多的成本?這就先要從vpn的概念談起。
認識vpn
現在有很多連線都被稱作vpn,使用者經常分不清楚,那麼一般所說的vpn到底是什麼呢?顧名思義,虛擬專用網不是真的專用網路,但卻能夠實現專用網路的功能。虛擬專用網指的是依靠isp(inter***服務提供商)和其它nsp(網路服務提供商),在公用網路中建立專用的資料通訊網路的技術。
在虛擬專用網中,任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。ietf草案理解基於ip的vpn為:"使用ip機制**出乙個私有的廣域網"是通過私有的隧道技術在公共資料網路上**一條點到點的專線技術。
所謂虛擬,是指使用者不再需要擁有實際的長途資料線路,而是使用inter***公眾資料網路的長途資料線路。所謂專用網路,是指使用者可以為自己制定乙個最符合自己需求的網路。
使用者現在在電信部門租用的幀中繼(frame relay)與atm等資料網路提供固定虛擬線路(pvc-permanent virtual circuit)來連線需要通訊的單位,所有的許可權掌握在別人的手中。如果使用者需要一些別的服務,需要填寫許多的單據,再等上相當一段時間,才能享受到新的服務。更為重要的是兩端的終端裝置不但**昂貴,而且管理也需要一定的專業技術人員,無疑增加了成本,而且幀中繼、atm資料網路也不會像inter***那樣,可立即與世界上任何乙個使用inter***網路的單位連線。
而在inter***上,vpn使用者可以控制自己與其他使用者的聯絡,同時支援撥號的使用者。
所以我們說的虛擬專用網一般指的是建築在inter***上能夠自我管理的專用網路,而不是frame relay或atm等提供虛擬固定線路(pvc)服務的網路。以ip為主要通訊協議的vpn,也可稱之為ip-vpn。
由於vpn是在inter***上臨時建立的安全專用虛擬網路,使用者就節省了租用專線的費用,在執行的資金支出上,除了購買vpn裝置,企業所付出的僅僅是向企業所在地的isp支付一定的上網費用,也節省了長途**費。這就是vpn**低廉的原因。
越來越多的使用者認識到,隨著inter***和電子商務的蓬勃發展,經濟全球化的最佳途徑是發展基於inter***的商務應用。隨著商務活動的日益頻繁,各企業開始允許其生意夥伴、**商也能夠訪問本企業的區域網,從而大大簡化資訊交流的途徑,增加資訊交換速度。這些合作和聯絡是動態的,並依靠網路來維持和加強,於是各企業發現,這樣的資訊交流不但帶來了網路的複雜性,還帶來了管理和安全性的問題,因為inter***是乙個全球性和開放性的、基於tcp/ip 技術的、不可管理的國際網際網路絡,因此,基於inter***的商務活動就面臨非善意的資訊威脅和安全隱患。
還有一類使用者,隨著自身的的發展壯大與跨國化,企業的分支機構不僅越來越多,而且相互間的網路基礎設施互不相容也更為普遍。因此,使用者的資訊科技部門在連線分支機構方面也感到日益棘手。
使用者的需求正是虛擬專用網技術誕生的直接原因。
使用者需要的vpn
一.vpn的特點
在實際應用中,使用者需要的是什麼樣的vpn呢?一般情況下,乙個高效、成功的vpn應具備以下幾個特點:
1.安全保障
雖然實現vpn的技術和方式很多,但所有的vpn均應保證通過公用網路平台傳輸資料的專用性和安全性。在非面向連線的公用ip網路上建立乙個邏輯的、點對點的連線,稱之為建立乙個隧道,可以利用加密技術對經過隧道傳輸的資料進行加密,以保證資料僅被指定的傳送者和接收者了解,從而保證了資料的私有性和安全性。在安全性方面,由於vpn直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。
企業必須確保其vpn上傳送的資料不被攻擊者窺視和篡改,並且要防止非法使用者對網路資源或私有資訊的訪問。extra***vpn將企業網擴充套件到合作夥伴和客戶,對安全性提出了更高的要求。
2.服務質量保證(qos)
虛擬專用網路的基本用途
通過inter***實現遠端使用者訪問
虛擬專用網路支援以安全的方式通過公共網際網路絡遠端訪問企業資源。
與使用專線撥打長途或(1-800)**連線企業的網路接入伺服器(nas)不同,虛擬專用網路使用者首先撥通本地isp的nas,。
通過inter***實現網路互連
可以採用以下兩種方式使用vpn連線遠端區域網路。
1.使用專線連線分支機構和企業區域網。
不需要使用**昂貴的長距離專用電路,分支機構和企業端路由器可以使用各自本地的專用線路通過本地的isp連通inter***。。
2.使用撥號線路連線分支機構和企業區域網。
不同於傳統的使用連線分支機構路由器的專線撥打長途或(1-800)**連線企業nas的方式,分支機構端的路由器可以通過撥號方式連線本地isp。。
此主題相關**如下:
應當注意在以上兩種方式中,是通過使用本地裝置在分支機構和企業部門與inter***之間建立連線。無論是在客戶端還是伺服器端都是通過撥打本地接入**建立連線,因此vpn可以大大節省連線的費用。建議作為vpn伺服器的企業端路由器使用專線連線本地isp。
vpn伺服器必須一天24小時對vpn資料流進行監聽。
連線企業內部網路計算機
在企業的內部網路中,考慮到一些部門可能儲存有重要資料,為確保資料的安全性,傳統的方式只能是把這些部門同整個企業網路斷開形成孤立的小網路。這樣做雖然保護了部門的重要資訊,但是由於物理上的中斷,使其他部門的使用者無法,造成通訊上的困難。
採用vpn方案,通過使用一台vpn伺服器既能夠實現與整個企業網路的連線,又可以保證保密資料的安全性。路由器雖然也能夠實現網路之間的互聯,但是並不能對流向敏感網路的資料進行限制。使用vpn伺服器,但是企業網路管理人員通過使用vpn伺服器,指定只有符合特定身份要求的使用者才能連線vpn伺服器獲得訪問敏感資訊的權利。
此外,可以對所有vpn資料進行加密,從而確保資料的安全性。沒有訪問權利的使用者無法看到部門的區域網路。
vpn的基本要求
一般來說,企業在選用一種遠端網路互聯方案時都希望能夠對訪問企業資源和資訊的要求加以控制,所選用的方案應當既能夠實現授權使用者與企業區域網資源的自由連線,不同分支機構之間的資源共享;又能夠確保企業資料在公共網際網路絡或企業內部網路上傳輸時安全性不受破壞.因此,最低限度,乙個成功的vpn方案應當能夠滿足以下所有方面的要求:
1.使用者驗證
vpn方案必須能夠驗證使用者身份並嚴格控制只有授權使用者才能訪問vpn。另外,方案還必須能夠提供審計和記費功能,顯示何人在何時訪問了何種資訊。
2.位址管理
vpn方案必須能夠為使用者分配專用網路上的位址並確保位址的安全性。
3.資料加密
對通過公共網際網路絡傳遞的資料必須經過加密,確保網路其他未授權的使用者無法讀取該資訊。
4.金鑰管理
vpn方案必須能夠生成並更新客戶端和伺服器的加密金鑰。
5.多協議支援
vpn方案必須支援公共網際網路絡上普遍使用的基本協議,包括ip,ipx等。以點對點隧道協議(***p)或第2層隧道協議(l2tp)為基礎的vpn方案既能夠滿足以上所有的基本要求,又能夠充分利用遍及世界各地的inter***網際網路絡的優勢。其它方案,包括安全ip協議(ipsec),雖然不能滿足上述全部要求,但是仍然適用於在特定的環境。
本文以下部分將主要集中討論有關vpn的概念,協議,和部件(***ponent)。(c001)
隧道技術基礎
隧道技術是一種通過使用網際網路絡的基礎設施在網路之間傳遞資料的方式。使用隧道傳遞的資料(或負載)可以是不同協議的資料楨(此字不正確)或包。隧道協議將這些其它協議的資料楨或包重新封裝在新的包頭中傳送。
新的包頭提供了路由資訊,從而使封裝的負載資料能夠通過網際網路絡傳遞。
被封裝的資料報在隧道的兩個端點之間通過公共網際網路絡進行路由。被封裝的資料報在公共網際網路絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網路終點,資料將被解包並**到最終目的地。
注意隧道技術是指包括資料封裝,傳輸和解包在內的全過程。 此主題相關**如下:
隧道所使用的傳輸網路可以是任何型別的公共網際網路絡,本文主要以目前普遍使用inter***為例進行說明。此外,在企業網路同樣可以建立隧道。隧道技術在經過一段時間的發展和完善之後,目前較為成熟的技術包括:
1.ip網路上的sna隧道技術
當系統網路結構(system***workarchitecture)的資料流通過企業ip網路傳送時,sna資料楨將被封裝在udp和ip協議包頭中。
2.ip網路上的novell***wareipx隧道技術
當乙個ipx資料報被傳送到***ware伺服器或ipx路由器時,伺服器或路由器用udp和ip包頭封裝ipx資料報後通過ip網路傳送。另一端的ip-to-ipx路由器在去除udp和ip包頭之後,把資料報**到ipx目的地。
近幾年不斷出現了一些新的隧道技術,本文將主要介紹這些新技術。具體包括:
1.點對點隧道協議(***p)
***p協議允許對ip,ipx或***beui資料流進行加密,然後封裝在ip包頭中通過企業ip網路或公共網際網路絡傳送。
2.第2層隧道協議(l2tp)
l2tp協議允許對ip,ipx或***beui資料流進行加密,然後通過支援點對點資料報傳遞的任意網路傳送,如ip,x.25,楨中繼或atm。
3.安全ip(ipsec)隧道模式
網路實用技術
網路實用技術 模擬考核試題及解答 一 填空題 每空2分,共30分 1.所謂計算機網路是指把地理上分散的 多 立工作的計算機,用通訊線路和裝置連線起來,按照進行資料通訊,以實現資源共享的大系統。2.在通道上傳輸的訊號分為兩大類和 3.集線器的主要作用是 4.dte與dce間的物理介面特性是指電氣特性和...
注塑現場實用技術
編寫張漢欽 我們的目標 用技能和觀念去武裝那些活躍的個人 第一章塑膠射出成型的基本 塑膠的優點 輕而堅韌 便宜 塑膠係用石油製造,不過,有人說 使用塑膠反而可節約石油消耗量。從合成 成型 運輸各方面來看,塑膠所耗用的能原量比任何其他材料都少。其最大的優點是成型加工容易。使用塑膠的目的 1 為了降低材...
農村實用技術教案
課題 肥料 教學目標 一 知識目標 1 了解農作物生長所需的營養元素 農家肥料和化學肥料。2 了解常見的化學肥料。3 知道氮肥 磷肥 鉀肥的主要作用。二 能力目標 1 引導學生在觀察中發現問題。2 培養學生表述 交往合作的能力。3 通過氮肥 鉀肥和磷肥的作用比較,培養學生的分析比較能力。二 情感目標...