通信设备 北京迈拓佳网络信息技术有限公司
Beijing Stride Information Technology Co., Ltd.

科技创新生活
Technology for Innovative Life


首页  
     
 

虚拟专用网(VPN)解决方案

 

 

VPN 就是在公司网中形成企业专用的链路。为了形成这样的链路,采用了所谓的 " 隧道 " 技术。可以模仿点对点连接技术,依靠 Internet 服务提供商 (ISP ) 和其它的网络服务提供商 (NSP) 在公用网中建立自己专用的 " 隧道 " ,让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。于是,兼容性问题、不同的服务质量要求、以及其它的麻烦都迎刃而解。

在公用网中开出一条隧道。有多种网络设备和软件可完成此项任务,例如: (1) 配有模拟式调制解调器 PC 卡和 VPN 型拨号软件的最终用户膝上型计算机; (2) 分支机构的 LAN 或家庭办公室 LAN 中的有 VPN 功能的 Extranet 路由器 ; (3) 网络服务提供商站点中的有 VPN 能力的访问集中器。

虚拟专网本质上是将多媒体通信网用做 " 公用数据网 " ,通过公共的多媒体通信网加密传输专用数据流量。虚拟网络用户在安全性可得到完全保证的前提下,均可通过当地的电话或租用线路服务建立联系,而不必租用长途线路,大大节省了通信费用。

虚拟专网能够连接各机构的所有办公室、远程工作人员、移动员工,甚至于全国范围的客户和供应商。虚拟专网减少了设备需求及网络维护责任,能够为用户节省大量的开支。无论是基于拨号接入还是基于专线接入的用户,虚拟专网均适用。

在 VPN 中, PPP 数据包流是由一个 LAN 上的路由器发出,通过共享 IP 网络上的隧道进行传输,再到达另一个 LAN 上的路由器。隧道代替了实实在在的专用线路。

IP-VPN 的分类:

IP-VPN
拨号 客户端发起
NAS( 访问服务器发起 )
专线 IP 隧道安全验证设备
路由器
VC( 虚电路 ) X.25,FR,ATM
VPN Aware Networks

VPN 有以下几方面好处:

降低成本

借助 ISP 来建立 VPN ,就可以节省大量的通信费用。此外, VPN 还使企业不必投入大量的人力和物力去安装和维护 WAN 设备和远程访问设备。这些工作都由 ISP 负责完成。

容易扩展

如果用户想扩大 VPN 的容量和覆盖范围。统计局需做的事情很少,而且能立时实现:企业只需与新的 ISP 签约,建立账户;或者与原有的 ISP 重签合约,扩大服务范围。在远程办公室增加 VPN 能力也很简单:通过配置命令就可以使 Extranet 路由器拥有 Internet 和 VPN 能力,路由器还能对工作站自动进行配置。

可随意与合作伙伴联网

用户如果想与合作伙伴联网,如果没有 VPN, 双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了 VPN 之后,这种协商也毫无必要,真正达到了要连就连、要断就断。

完全控制主动权

VPN 使用户可以利用 ISP 的设施和服务,同时又完全掌握着自己网络的控制权。比方说,用户可以把拨号访问交给 ISP 去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

建立在山东省公众多媒体通信网上的虚拟专网,随着省网二期扩容的开展和 ATM 宽带业务网的建设,其网络性能将得到不断的提高。我公司在 VPN 的组网方面有着丰富的经验,为广大用户提供丰富地、灵活地组网方式。现已完成的虚拟网项目有:

山东省证券公司虚拟专用网
山东省统计局虚拟专用网

微软的 VPN 解决方案

微软虚拟专用网使用点到点通道协议 (PPTP) 构造跨越因特网的低成本、安全保密的远程访问解决方案。其易于实现且具有下列好处:

支持所有主要的网络协议。
允许继续使用现有网络。
允许继续使用现有的通讯方式。
提供流控制。
支持开放的工业 标准 。
支持目前市场占有率最高的 Windows NT Server/Workstation 、和 Windows95 。
支持所有主要的网络协议

虚拟专用网支持所有主要的网络协议,包括 TCP/IP 、 IPX/SPX 和 NetBEUI 。多协议虚拟专用网使得远程终端用户能够跨越因特网访问异构的网络。微软的虚拟专用网允许用户使用普通模拟调制解调器、 X.25 设备和其它连接方式,通过本地拨号入网,从而节省了长途电话连接的费用。虚拟专用网可通过任何类型的网络,包括 Windows NT 的远程访问服务器、基于 IPX 的 NetWare 服务器和 NetBEUI 环境。因为虚拟专用网多种网络协议,所以用户能在不同的网络上保持 PPTP 的优点。

允许继续使用现有的网络地址

虚拟专用网不需要改变现有网络地址方案,这特别适合那些已经实施内部网络的企业,这样不必使用标准的因特网编址,无须重编内部网络地址,只需设置远程访问服务就可互联企业网络,极大地方便了网络管理。因为 PPTP 使用封装的方式,隐含了非标准的地址,所以虚拟专用网允许企业使用非标准的 IP 和 IPX 地址。

提供流控制

流控制作用在客户和服务器之间的数据路径上。如果没有流控制,当传输出现问题时,客户端会持续发送数据包从而导致服务器端的负载,由于数据包的重复发送会导致性能的降低。流控制允许服务器端通知客户端停止工作并在资源可用时重发数据包。流控制同时减少了网络拥塞,消除了不必要的数据包重发。使用开放的工业标准微软的虚拟专用网基于 PPTP ,目前是 IETF 的草案标准,不仅可用于基于 Windows 的系统,还可实施于异构的环境中。任何 PPP 客户机 ( 包括 UNIX 和 Macintosh) 、服务器和其它远程访问系统均可使用 PPP 。

CISCO 的 VPN 解决方案

IP 虚拟专用网 (IP-VPN) 是指因特网服务提供商 (ISP) 可以提供的以 IP 骨干网为基础的一系列服务。一个最终用户采用 IP-VPN 的服务,就可以在多个地点之间传送 IP 数据包,同时得到一定程度的服务质量保证和安全保证,就像自己的内部网一样。访问国际互联网也是这种服务的一部分。 CISCO 的 IP-VPN 解决方案扩充了 INTERNET 的能力,同时其提供的增值服务也可以丰富 IP-VPN 的应用。包括加密服务,不同形式的数据优先处理以及主机代管、协同工作和多媒体服务等基于服务器的应用。数据优先处理可以允许最终用户对网络资源得到比传统的广域网更好的控制。在资源比较缺乏的时候 ( 低带宽链路 ) ,那些重要的和对延迟敏感的数据包可以得到特别的对待,而其他低优先级的数据包则被限制在剩余的带宽内。

从经济的角度上说, CISCO 的 IP-VPN 解决方案除了给用户组网节省了大量的费用,同时也带来其他好处,包括缩短建设周期以及维护的时间,并且可以很快的完成在多点之间的移动、增加和改动。 CISCO 的 IP-VPN 解决方案十分灵活多样,包括两种基于拨号的,两种基于专线的,和一种基于标记交换的,可以满足不同的用户需求。

解决方案 1

由用户端建立的拨号 IP-VPN

首先,远程客户拨号进入一个本地接入点 (POP) 。然后运行一个支持 IPSec 的客户端软件,与公司内联网中的一台 PIX 防火墙建立一条加密的隧道,这样就可以安全地访问防火墙内的主机了。

优势:访问服务器不参与 IP-VPN ,客户可以同时访问互联网和内联网。

限制:客户端软件必须是指定的支持 IPSec 的产品

隧道对于 ISP 是完全透明的,用户无法得到 ISP 的增值服务。

IP 地址由 ISP 分配,不能采用内部地址。

解决方案 2

由访问服务器建立的拨号 IP-VPN

采用 AS5X00 访问服务器 (NAS), 通过 L2F 或 L2TP 协议,由 NAS 建立一条安全隧道到的内联网网关,该网关负责身份认证和 IP 地址分配,远程客户就像直接联到内联网一样。

优势:远程用户端不需要特别的软件。

ISP 可以提供高档次的拨号 IP-VPN 服务。

IP 地址可以采用的内联网的内部地址,不占用 ISP 的地址空间。

限制:该方式不适合在国际互联网上采用

解决方案 3

IPSec IP 隧道的专线 IP-VPN

任何联台支持 IPSec 的设备之间都可以建立一条加密隧道,支持 IPSec 的设备包括运行 IPSec 软件的客户机、路由器、防火墙和服务器。

优势:方便、快捷,无需改变 ISP 的网络

安全、可靠、性能高

ISP 可以对隧道提供高级的 IP 服务

解决方案 4( 推荐 )

GRE IP 隧道的专线 IP-VPN

GRE 隧道是基于 RFC1701 和 RFC1702 的标准 IP-VPN 方案。它的做法是将 IP 数据包加上 GRE 头,封装在 IP 数据包内。在路由器看来 GRE 隧道是一个点到点端口,它可以被加密。 ISP 可以对 GRE 隧道提供 QoS 服务,但这个隧道的两端必须在同一个 ISP 的网络内。推荐用户采用此方式。

优势:用户自己定义内部的 IP 地址

ISP 可以提供针对应用层的 IP QoS 服务。

与媒体无关, CISCO IOS 都支持

限制:只能在一个 ISP 网络内

解决方案 5

基于 MPLS 的内嵌 VPN 网络

在整个网络上运行 MPLS ,每一个 IP-VPN 都有一个 VPN-ID ,通过 TDP 将不同的 VPN-ID 映射到不同的 TAG 上,这样 VPN 的信息就内嵌在 MPLS 网络中。

优势: TAG-VPN 是无连接的,无需定义隧道。

与 MPLS 一样具有良好的网络扩展性和增值服务扩展性。

在 ISP 网络中可以 " 看见 "VPN, 可以为每个 VPN 提供增值服务

容易增加 VPN 和简化管理

IP QoS 和流量管理随 MPLS 与生具有

限制: 需要 cisco 高端路由器


 
 
 
 
 
 

COPYRIGHT (C) 2003-2005 ALL RIGHT RESERVED, 北京迈拓佳网络信息技术有限公司
通信设备  ::  PDH光端机  ::  SDH光端机  ::  光纤跳线  ::  光纤收发器  ::  小灵通基站电源  ::  网站地图