进行保护。
图 2-4 典型 VPDN 网络
2、覆盖型 VPN 和对等 VPN 模型
覆盖型 VPN 和对等型 VPN 模型在实际案例实施中都得到了广泛的应用,其中,覆盖模型由服务提供商向客户提供虚拟的租用线路而对等型是服务提供商与客户交换第3层由信息,并且服务提供商负责以最优路径传递客户各个站点之间的数据,而不需要客户的参与。 (1)覆盖型 VPN
图 2-5 覆盖型 VPN 模型
客户通过服务提供商提供的仿真租用线路 VC 在客户的前端设备(CPE)之间建立路由器到路由器的通信,服务提供商并不知道客户网络的内部组成结构。因此覆盖型VPN 的
10
实施和维护都有很强的可操作性。
尽管覆盖型具有很强的操作性,但是覆盖型 VPN 也存在着不可避免的弊端: d) 该模型只适合于少量中间节点或网络拓扑简单的网络,对于复杂的网络拓扑结构,使用管理起来将会变得非常困难。
e) 网络设计者需要知道具体的站点间流量信息,才能准确地预计 VC 的容量。 f) 当覆盖型VPN与X.25 、ATM或帧中继等 2 层技术同时实施时,与现时服务 提供商新一代基于IP的网络服务存在兼容的问题,增加了网络的运行成本。[6] (2)对等型 VPN
因为覆盖型 VPN 存在着上述的先天不足,为缓解覆盖型 VPN 模型的弊端,,对等型的 VPN 模型在几年前被推出了,并得到了很好的发展。对等型 VPN 是服务提供商与客户交换第 3 层路由信息,并且服务提供商负责以最优路径传递客户各个站点之间的数据,不需要客户的参与。典型的对等型 VPN 模型如下图 2-6 所示。
图 2-6 典型对等型 VPN 模型
对等型 VPN 模型有如下特点:
g) 客户路由器和服务提供商路由器之间交换路由信息。 h) 服务提供商路由器通过核心的网络交换客户的路由信息。
i)服务提供商负责以最优路径传递客户各个站点之间的数据,而不需要客户的参与。[7]
11
(3)分类小结
较为细致的 VPN 分类图如下图 2-7
图 2-7 VPN 分类图
2.4.2 VPN技术实现远程访问的优势
VPN 是在公共的网络上通过隧道加密技术建立虚拟的专用网技术,它不需要另外敷设成本高、扩展性和灵活性都较差的传统物理线路,充分利用公共网络(如Internet)作为接入载体,使各企业分支机构的远程访问接入变得简单、安全、高效。VPN 实现远程访问的优势主要如下:
j) 组网方便。利用已有的 Internet 网络资源,无需另外敷设线路,可以方便地建立起企业的内部网络。
k) 方便灵活,易于扩张。可以根据企业的实际使用需要,在内部网络的各节点进行增加或者删改,改变网络的拓扑结构。
l) 维护方便。可以通过远程排除故障,对系统进行维护,保证网络运行正常。 m) 成本优势。由于无需另外敷设价格高昂的物理线路,因此实现了企业利益的最大化。 2.4.3 VPN技术构建高效的网络平台
VPN 技术让企业的远程访问变得非常的容易,企业只要能够连通 Internet 网,就能轻易的建立起远程访问隧道,使企业能够安全、方便、快捷地建立虚拟专网,为企业建立一个安全高效的远程信息交换平台。
下面举例说明以 VOIP 语音服务的典型网络平台应用,其连通性需求如图 2-8所示。
12
图 2-8 某公司的 VPN 连通需求
某公司通过 VOIP 网关为福建的厦门与广东的广州的语音网络提供 IP 语音服(VOIP)。VOIP 网关被部署在单独的 VPN 中,以增强服务的安全性,具体的网络拓扑如图 2-9 所示。
图 2-9 网络拓扑
13
2.4.4 VPN技术实现数据安全管理
VPN 集隧道技术、认证技术以及数字加密技术于一身,是一种有着高安全性能保护的通信技术,其通信过程通常可以分为以下的几个步骤: n) 客户终端向 VPN 服务器发出通信请求。
o) VPN 服务器响应请求并向客户机发出身份质询,客户终端将加密的用户身份验证响应信息发送到 VPN 服务器。
p) VPN 服务器根据用户数据库检查该响应合法性,如帐号有效,VPN 服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问权限,VPN 服务器将接受此连接;如无访问权限,则拒绝相关请求。
q) 最后VPN服务器将在身份验证过程中产生的客户终端和服务器共有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装,加密,传输到目的地址。[8] 因此 VPN 的安全性能区别于传统的安全模式。
传统的专线网络主要采用物理隔离的方式,与外界完全隔离开,虽然安全性能高,但是由于建设成本太高,难以得到大规模的应用。另外,VPN 具有很好的灵活性,可以根据不同行业、不同规模的企业提供量身的安全服务。既可以为一般的企业提供针对防止商业机密泄露、数据丢失篡改及病毒侵害等保护,也可以通过在 VPN 设备中嵌入加密芯片和提高加密算法级别等手段来为军工企业或安全机关等提供合适的服务。 2.4.5 VPN技术网络集中管理
传统的专线接入网络只能够提供基础的网络服务,并没有任何的管理功能,客户如果需要对专用网络进行管理、配置,需要依赖另外的企业管理软件进行实施。而 VPN不仅能提供基础的网络服务,还能够通过中心管理平台对整个网络进行集中管控和调配,包括带宽管理(QOS)和流量监控等服务,对于部分规模较小的企业内部网,更是可以起到路由器、交换机以及网关等功能,非常易于维护及调整。
2.5 本章小结
本章分析了企业信息化网络建设的现状及需求,探讨了用 VPN 技术去构建企业内部专用网与传统技术相比的全方位优势。华南理工大学硕士学位论文
14