一、 VPN 技术说明:
VPN 是虚拟专用网(Virtual Private Network)的简称,通过量年的进展已经很成熟。要实现异地平安联网有多种方案,VPN 是其中的上选。
VPN 本质上是点对点的隧道技术,一样的网络结构是:
上图是其在ISO 模型上的原理,通过Internet 连接到效劳器,等效于上图虚线里的虚拟网连接。 自VPN 概念产生以来,很多企业和研究机构接踵推出了不同的能够实现 B
A 互联网(不安全)
VPN 虚拟出来的管道 安全的网络通在本图中,上半部分的网络结构,逻辑上等效于下半部分的网络结构
VPN需求的技术协议,目前市场上主流的VPN协议包括:PPTP/L2TP、MLPS、IPSec、SSL等等,其中PPTP/L2TP、MLPS、IPSec属于应用层平安通信协议,而SSL属于应用层平安通信协议,在VPN的 实现原理和应用范围上,这两种VPN技术有专门大不同,以下对各类经常使用的VPN协议进行简要的对照分析。
另外,还有部份厂家提出了自概念的数据平安传输协议,并用于构建VPN 产品,这种协议大多都是利用TCP协议并集成加密和认证技术,由于这种协议没有通过国际权威组织的测试,在平安性上没有取得充分的证明;同时此类VPN 产品也无法与任何一种利用主流VPN协议的产品实现互联,从而降低了VPN 网络扩展时的产品可选择性;基于这两点,在本方案中,咱们将不考虑利用此类产品。 scr-0351)PPTP/L2TP协议:
PPTP(Point to Point Tunneling Protocol)是点对点的协议,基于拨号利用的PPP协议利用PAP或CHAP之类的加密算法,或利用Microsoft的点对点加密算法MPPE。而L2TP(Layer 2 Tunneling Protocol)是L2TP(Layer 2 Forwarding Protocol)和PPTP的结合,依托PPP协议成立拨号连接,加密的方式也类似于PPTP,但这是一个二层的协议,能够支持非IP协议数据包的传输,如ATM 或。
PPTP/L2TP目前应用普遍。可是它们没有提供内在的平安机制,端点用户需要在连接前手工成立加密信道,没有加密和认证支持,稳固性也很差,而且也无法穿越NAT,因此仅仅少部份微软用户还在利用。
2)MPLS协议:
同传统的VPN不同,MPLS VPN不依托封装和加密技术,MPLS VPN依托转发表和数据包的标记来创建一个平安的VPN,MPLS VPN的所有技术产生于InternetConnect网络。
CPE被称为客户边缘路由器(CE)。在InternetConnect网络中,同CE相连的路由器称为供给商边缘路由器(PE)。一个VPN数据包括一组CE路由器,和同其相连的InternetConnect网中的PE路由器。只有PE路由器明白得VPN。CE 路由器并非睬解潜在的网络。
CE能够感觉到同一个专用网相连。每一个VPN对应一个VPN路由/转发实例(VRF)。一个VRF概念了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding (CEF)表,一
木纹铝扣板
套利用转发表的接口,一套操纵路由表中信息的规那么和路由协议参数。一个站点能够且仅能同一个VRF相联系。客户站点的VRF中的数据包括了其所在的VPN中,所有的可能连到该站点的路由。
MPLS VPN是一种运营商级的VPN,作为用户必需租用电信运营商所提供MPLS VPN效劳,在这一点上,利用MPLS VPN组建企业广域网与利用专线一样,存在运行费用昂贵,网络扩展受电信运营商营业区域的限制。
3)IPSec协议:
基于PKI技术的IPSec协议此刻已经成为架构企业VPN 的基础,它能够为路由器之间、防火墙之间或路由器和防火墙之间提供通过加密和认证的通信。尽管它的实现会复杂一些,但其平安性比其他协议都完善得多。由于IPSec是IP 层上的协议,因此很容易在全世界范围内形成一种标准,具有超级好的通用性,而且IPSec本身就支持面向以后的协议——IPv6。总之,IPSec仍是一个进展中的协议,随着成熟的公钥密码技术愈来愈多地嵌入到IPSec中,此刻,该协议会在VPN世界里扮演愈来愈重要的角。
IPSec除概念了IP传输的加密机制外,还概念了IP OVER IP隧道模式的包的格式,这也确实是通常指的IPSec隧道模式。一个IPSec隧道是由隧道客户和隧道效劳器组成的。它们都利用IPSec隧道和协商加密机制。
IPSec兼容设备在OSI模型的第三层(网络层)提供加密、验证、授权、治理,关于用户来讲是透明的(即在应用层不用作任何情形),用户利历时和平常无区别。密钥互换、查对数字签名、加密等都在后台自动进行。
以下图是一个典型的IPSec数据包的格式。
家庭系统
IPSec可用两种方式对数据流加密/封装:
-隧道方式:对整个IP包加密,并封装成为一个新的IPSec包。
-传输方式:原IP包的地址部份不处置,仅对数据净荷(data payload)进行加密。
IPSec支持的组网方式包括:主机之间、主机与网关、网关之间的组网,同时亦支持用户进行远程接入访问,这关于企业成立支持各类应用的虚拟专网是十分方便的。
4)SSL协议:
SSL VPN是一种应用层VPN技术,其优势在于采纳当前普遍利用的工业级平安套接层协议SSL,不必安装客户端软件,授权用户能够从任何标准的Web 阅读器通过互联网平安地接入内部网络,从而平安靠得住地获取信息。
由于SSL VPN工作在网络应用层,在应用上也存在着诸多局限性,要紧表此刻:
●只能实现远程接入访问,无法是实现网络到网络的平安互联。
●所支持的网络应用的局限性。SSL VPN需要通过HTTP反向代理完成,
关于每一种网络应用必需由SSL VPN产品厂商开发出相应代理程序,因
此SSL VPN无法为远程访问应用提供全面的解决方案,因为它并非支
持企业自己开发的非Web方式的应用效劳,也不能访问要求多个渠道和
动态端口和利用多种协议这种复杂的应用。只是这对公司及远程用户来
讲却是一个关键需求。譬如说,SSL VPN没有架构来支持即时消息传送、多播、数据馈送、视频会议及VoIP。
二、VPN能干什么?
VPN能够实现不同网络的组件和资源之间的彼此连接,能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的平安和功能保障。电镀铜包钢
VPN许诺远程通信方,销售人员或企业分支机构利用Internet等公共互联网络的路由基础设施以平安的方式与位于企业局域网端的企业效劳器成立连接。他对用户端透明,用户好象利用一条专用线路在客户运算机和企业效劳器之间成立点对点连接,进行数据的传输。
VPN技术一样支持企业通过Internet等公共互联网络与分支机构或其它公司成立连接,进行平安的通信。这种跨越Internet成立的VPN连接逻辑上等同于两地之间利用广域网成立的连接。
尽管VPN通信成立在公共互联网络的基础上,可是用户在利用VPN时感觉犹如在利用专用网络进行通信,因此得名虚拟专用网络。
三、做VPN需要些什么?
1.效劳器、客户机全数都要能上网。大体的xDSL、FTTH、网卡等上
智能小车网设备。
2.效劳器的带宽(网速)应该大于所有客户端所需要的网速的和。
例如:有20个客户端,每一个客户端需要的带宽,估量同时有8个客户端需要连接效劳器,那么效劳器的网络速度至少要*8=4M。
3.效劳器端有一个IP地址。也能够用动态域名,可是稳固性差一些。
4.效劳器需要装一台VPN效劳器。这是网络的核心。
流感香囊
5.客户端需要拨号连接到VPN效劳器,能够用硬件或软件连。
四、VPN效劳器:网络的核心。
大部份本钱集中在VPN效劳器上,这是网络的核心,所有客户端都第一拨号到他那个地址。
VPN效劳器一样是一台高集成度的电脑,里边嵌入一个LINUX系统,例如一个VCD机大小的盒子,里边装Linux。也能够用靠得住性强的电脑装。
VPN效劳器也能够用Win2003系统实现,稳固性很差,常常掉线,效劳重视启一遍又好了。
五、VPN需要花多少钱?
硬件的VPN效劳器,都是按通道(客户端)数卖的(通道多消耗的效劳器资源多),比如好的两通道的价钱在1000左右,而20客户端的价钱在万左右。
用电脑装上linux系统做的VPN路由器,不适合客户端少的网络。若是客户端超过10个,就有明显的价钱优势。对电脑的速度要求很低,只要稳固就行,装好后能够撤掉显示器、键盘、鼠标等。
六、还有什么别的?
1.若是客户端需要上网,一样是通过效劳器上网,其网速大约减半。
给客户端添加静态路由能够解决那个问题,可是平安性就打了折扣。
2.若是客户端不想通过效劳器上网,最好客户端用硬件VPN客户端,
平安性较好。
七、报价:
报价为同行拿货价,非最终客户价。
软件VPN:用Linux自己组装VPN,价钱面议。以下无正文。
