vpn原理(2)

----缺点：其性能比低层次协议差，必须制定更复杂的安全管理策略。

----适用场合：最适合用于客户机到服务器的连接模式，适用于獠客鳹PN和远程访问VPN。

二、安全技术

----VPN 是在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。

1．认证技术

----认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途：验证数据的完整性、用户认证。

2．加密技术

----IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES 、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。

3．密钥交换和管理

-----VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于

密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE （互联网密钥交换）、SKIP （互联网简单密钥管理）和Oakley。

三. VPN组网方式

----VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。 1.客户端到客户端

2． Access VPN （远程访问VPN）：客户端到网关

----远程用户拨号接入到本地的ISP，它适用于流动人员远程办公，可大大降低电话费。SOCKS v5协议适合这类连接。

3． Intranet VPN （企业内部VPN）：网关到网关

----它适用于公司两个异地机构的局域网互连，在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性，而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接，因此，在这类组网方式中用得最多。

4．Extranet VPN （扩展的企业内部VPN）：与合作伙伴企业网构成Extranet

----由于不同公司的网络相互通信，所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接，选择IPSec协议是明智之举

不同应用方式的VPN工作原理

VPN的应用有两种基本类型：拨号式VPN与专用式VPN。

1. 常规的直接拨号连接与虚拟专网连接的异同点。

图1比较了常规的直接拨号连接与虚拟专网连接的异同点。在前一种情形可，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN可，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。这两者的关键不同点是隧道代替了实在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。

基于IP的VPN基本上归结为两类：拨号VPN（一般称为VDPN，即虚拟拨号

专网）和专线VPN（Dedicated VPN,即专线的VPN），完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。

拨号VPN（即VDPN）为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式，主要是基于L2TP协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。

拨号VPN（即VDPN）为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式，主要是基于L2TP协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。

户组织。访问者可以用拨号网络进入访问服务器，访问服务器通过PPP用户名来区别访问者。PPP用户名用于建立一个到企业网关的连接，当企业网关鉴别了用户之后，访问集成器建立一个通过网络提供商的骨干网、到企业风部网关的安全隧道。

PPP协议同时也被传输到内部网关，在内部网关的本地完全策略和本地认证授权决定了用户通过内部网关之后对内部网络的访问级别。

拨号VPN的原理如下图2所示。服务提供商管理MODEM池和确保可靠的连通性，而商业公司管理某企业内部网的用户认证。

专线VPN以多个用户和比拨号VPN高速的连接为特片。有许多类型的专线VPN业务，但最常见的是在IP网上建立的IP VPN业务，如图3所示。专线VPN提供了公司总部与公司分部、远程分支办事处以及Extranet用户的虚拟点对点连接。

虚拟专用网的体系结构有多种形式，分类示意图如图4。

模拟目前国内公众多媒体通信网的状况；在国内采用VPN组网一般分为三类

（1）ATM PVC组建方式，即利用电信部分提供的ATM PVC来组建用户的专用网。这种专用网的通信速率快，安全性高，支持多媒体通信。

（2）IP Tunneling组建方式。即在多媒体通信网的IP层组建专用网。其传输速率不能完全保证，不支持多媒体通信；使用国际通行的加密算法，安全性好；这种组网方式的业务在公众通信网遍及的地方均可提供。

（3）Dial-up Access组网方式（VDPN）。这是一种拨号方式的专用网组建方