洛阳师范学院2013届本科生毕业设计
该公司的业务涉及到公司一年业绩的稳定,公司的长治久安,所以该公司面对一切可能的威胁网络安全就显得尤为重要,特别是在远程的数据传输方面,更要保证不被窃听,篡改,伪造等。所以在网络安全上需要良好的设计,尤其在经过公网的数据传输。
4. 维护简单
该信息系统建成后能保证不需要复杂的维护就能保证网络的正常运转,发生故障时能快速恢复。且维护人员也不需要太多的专业性知识。
5. 系统可靠
目前Internet的接入已经非常普及,由于长期的投入建设,整个Internet线路已经达到了很高的水平,不仅带宽有保证,而且提供的接入方式多样。一旦某一条线路出错,可以使用其他备份线路接入Internet。因此单一线路可靠性虽然没有MPLS高,由于随时可以使用的其他线路作备份,因此系统具有很强的容错能力。这一点,是MPLS链路无法达到的。
6. 造价便宜
为了响应国家在十八大会议提到的关于建设节约型社会的号召,也为了减少公司的财务支出,该公司要求造价在保证性价比的基础上尽可能便宜。
本着上述原则,企业网络采用的技术必须先进、成熟、稳定、可靠的网络系统,同时,对于身处异地的分支机构或者分公司,办事处,或者在外出差的企业员工,需要为其提供高效,实时的内网访问,保证相关业务的准确高效,同时,在远距离传输过程中要保证数据不被窃听和篡改公司需要。在最少花费下取得最好的效果,达到公司验收标准。
6
黛蓝公司VPN网络方案设计与分析
第4章 VPN方案比较分析
4.1 VPN综述
4.1.1 VPN的概念
虚拟专用网络(Virtual Private Network ,简称VPN)就是建立在公用网上的,
由某一组织或某一群用户专用的通讯网络,其虚拟性表现在任意一对VPN用户之间没有专用的物理链接,而是通过ISP提供的公用网络来实现通信,其专用性表现在VPN之外的用户无法访问VPN内部的网络资源,VPN内部用户之间可以实现安全通信。这里讲的VPN是指在Internet 上建立的由用户(组织或个人)自行管理的VPN,而不涉及一般电信网中的VPN。后者一般指X.25,帧中继或ATM虚拟路线。 Internet本质上是一个开放的网络,没有任何的安全措施可言。随着Internet应用的扩展,很多要求安全和保密的业务需要Internet实现,这一需求促进了VPN技术的发展。各个国际组织和企业都在研究和开发VPN的理论技术,协议,系统和服务。应用中要根据具体的情况选用适当的VPN技术。实现VPN的关键技术有隧道技术,加解密技术,密钥管理技术,身份认证技术。
4.1.2 VPN的特征
1. 安全保障。VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以
保证数据的私有和安全性。
2. 服务质量保证。VPN可以为不同要求提供不同等级的服务质量保证。 3. 可扩充、灵活性。VPN支持通过Internet和Extranet的任何类型的数据流。 4. 可管理性。VPN可以从用户和运营商角度方便进行管理。
4.1.3 VPN的优势
从客户角度看,VPN和传统的数据专网相比具有如下优势:
1.安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融
7
洛阳师范学院2013届本科生毕业设计
合特别重要。
2.支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
3.服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证。从运营商角度看,VPN具有如下优势:
4.廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
5.灵活:通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。在应用上具有很大灵活性。
6.可运营:提高网络资源利用率,有助于增加ISP的收益。
7.多业务:SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-effort IP服务、VPN、流量工程、差分服务,从而减少运营商的建设、维护和运行费用。 VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到Internet,即可使用VPN。
4.2 VPN分类介绍
VPN可按业务类型和实现技术两个角度进行分类。
4.2.1 按VPN的业务类型划分
根据服务类型,VPN业务大致分为三类:接入VPN(Access VPN)、内联网VPN(Intranet VPN)和外联网VPN(Extranet VPN)。通常情况下内联网VPN是专线VPN。
1.接入VPN:通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。这是企业出差员工通过公网远程访问企业内部网络的
8
黛蓝公司VPN网络方案设计与分析
VPN方式。远程用户一般是一台计算机,而不是网络,因此组成的VPN是一种主机到网络的拓扑模型。
Access VPN的结构有两种类型
用户发起(Client-initiated)的VPN连接, 接入服务器发起(NAS-initiated)的VPN连接。
图4-1 接入VPN拓扑类型
Access VPN的优点
(1)减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。 (2)实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用。
(3)极大的可扩展性,简便地对加入网络的新用户进行调度。
(4)远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务 2.内联网VPN:通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的VPN。
9
洛阳师范学院2013届本科生毕业设计
Intranet VPN的优点 (1)减少WAN带宽的费用。
(2)能使用灵活的拓扑结构,包括全网孔连接。 (3)新的站点能更快、更容易地被连接。
(4)通过设备供应商WAN的连接冗余,可以延长网络的可用时间。
图4-2 内联网VPN拓扑类型
3.外联网VPN:这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN(主要在安全策略上有所不同)。
10