《浅谈虚拟专用网络》由会员分享,可在线阅读,更多相关《浅谈虚拟专用网络(10页珍藏版)》请在金锄头文库上搜索。
1、信息安全结课论文信息安全结课论文题目:题目: 浅谈虚拟专用网络浅谈虚拟专用网络院系:院系: 物理工程学院物理工程学院年级:年级: 20112011专业:专业: 物理学物理学学号:学号: 2011221011420112210114姓名:姓名: 李淑荟李淑荟日期:日期: 20132013 年年 6 6 月月 2 2 日日浅谈虚拟专用网络浅谈虚拟专用网络【摘要摘要】 本文以初学者的角度简单的探讨虚拟专用网络,就什么是虚拟专用网络技术,虚拟专用网络技术的功能是什么,它有那些特点及优缺点,它的分类、实现方式及应用技术等方面进行了介绍。并且给出了多种设备连接虚拟网络的步骤。【关键词关键词】 虚拟专用网络
2、技术虚拟专用网络技术 概念概念 功能特点功能特点 实现方式实现方式(一)(一) 虚拟专用网络技术的概念、原理虚拟专用网络技术的概念、原理虚拟专用网络(Virtual Private Network ,简称 VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个 VPN 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如 Internet、ATM(异步传输模式、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。虚
3、拟专用网络技术属于远程访问技术,简单地说就是利用公网链路架设私有有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN 的解决方法是在内网中架设一台 VPN 服务器,VPN 服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到 VPN 服务器,然后利用 VPN 服务器作为跳板进入企业内网。为了保证数据安全,VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上 VPN 使用的是互
4、联网上的公用链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用 VPN 非常方便地访问内网资源,这就是为什么 VPN 在企业中应用得如此广泛。在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用数字数据网专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户与远端个人用户而言,一般通过易特网进入企业的局域网,而这样必然带来安全上的隐患。( (二二) )功能功能在网络中,服务质量是指所能提供的带宽级别。将服务质量融入一个虚拟专用网络,使得管
5、理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法:信息包分类信息包分类信息包分类按重要性将数据分组。数据越重要,它的级别越高。当然,它的操作也会优先于同网络中相对次要的数据。带宽管理带宽管理通过带宽管理,一个虚拟专用网络管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。其他的带宽控制形式还有:通信量管理通信量管理通信量管理方法的形成是一个服务提供商在因特网通信拥塞中发现的。大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。公平带宽公平带宽公平带宽允许网络中所有用户机会均等地利用带宽访问因特网,通过公平带宽,当应用程序需要用更大的
6、数据流,例如 MP3 时,它将减少所用带宽以便给其他人访问的机会。传输保证传输保证传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IPIP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因此,远程办公还有待发展,虚拟专用网络管理员在维护带宽上还有许多问题。然而,新技术对服务质量的补充将会帮助网络管理员解决这个问题。(三)特点(三)特点安全保障安全保障虚拟专用网络通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。服务质量保证服务质量保证虚拟专用网络可以为不同要求用户提供不同等级的服务
7、质量保证。可扩充、灵活性可扩充、灵活性虚拟专用网络支持通过因特网和外联网的任何类型的数据流。 可管理性可管理性虚拟专用网络可以从用户和运营商角度方便进行管理。对于用户自身而言,虚拟专用网络还存在着以下特点:使用可降低成本通过公用网来建立虚拟专用网络,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备。传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。连接方便灵活用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双
8、方配置安全连接信息即可。完全控制虚拟专用网使用户可以利用因特网服务提供商的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用因特网服务提供商提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。(四)使用优缺点(四)使用优缺点优点优点1、VPN 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如 DSL、有线电视或者 wifi 网络)连接到企业网络。此外,高速宽带网连接提供一种成本效率高的连接远程办公室的方法。2、设计良好的宽带 VPN 是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施,让
9、新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。3、VPN 能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。缺点缺点1、企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依靠提供 VPN 的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商讨价还价签署一个服务级协议非常重要,要签署一个保证各种性能指标的协议。2、企业创建和部署 VPN 线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。因此,选择互联网服务提供商负责运行VPN
10、 的大多数事情是一个好主意。3、不同厂商的 VPN 产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守 VPN 技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。另一方面,使用一家供应商的设备可能会提高成本。4、当使用无线设备时,VPN 有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。幸运的是有一些能够解决这个缺陷的第三方解决方案。(五)分类(五)分类根据不同的划分标准,虚拟专用网络技术可以按几个标准进行分类划分 按虚拟专用网络技术的协议分类虚拟专用网络的隧道协议主要有三种,PPTPPPTP,L2TPL2TP
11、和IPSecIPSec,其中PPTPPPTP和L2TPL2TP协议工作在开放式系统互联模型的第二层,又称为二层隧道协议;IPSecIPSec是第三层隧道协议,也是最常见的协议。L2TPL2TP和IPSecIPSec配合使用是目前性能最好,应用最广泛的一种。 按 VPN 的应用分类: 1)AccessAccess VPNVPN(远程接入虚拟专用网络):客户端到网关使用公网作为骨干网在设备之间传输虚拟专用网络的数据流量;2)IntranetIntranet VPNVPN(内联网 VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;3)ExtranetExtranet VPNVPN(外联网
12、 VPN):与合作伙伴企业网构成外联网,将一个公司与另一个公司的资源进行连接; 按所用的设备类型进行分类:网络设备提供商针对不同客户的需求,开发出不同的虚拟专用网络设备,主要为交换机,路由器和防火墙。 1)路由器式 VPNVPN:路由器式 VPN 部署较容易,只要在路由器上添加虚拟专用网络服务即可; 2)交换机式VPNVPN:主要应用于连接用户较少的 VPN 网络;3)防火墙式VPNVPN:防火墙式虚拟专用网络是最常见的一种虚拟专用网络的实现方式,许多厂商都提供这种配置类型。(六)实现方式(六)实现方式VPN 的实现有很多种方法,常用的有以下四种:1)VPN 服务器,在大型局域网中,可以在网络
13、中心通过搭建 VPN 服务器的方法来实现。2)软件 VPN,可以通过专用的软件来实现 VPN。3)硬件 VPN,可以通过专用的硬件来实现 VPN。4)集成 VPN,很多的硬件设备,如路由器,防火墙等等,都含有 VPN 功能,但是一般拥有 VPN 功能的硬件设备通常都比没有这一功能的要贵。个人建议,如果是大型局域网的话,购买路由器,交换机等设备时就不需要 VPN 这一项了。直接在服务器上安装相应的软件就可以了。(七)技术(七)技术隧道技术隧道技术实现 VPN,最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IPIP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPPPPP连
14、接,如PPTPPPTP,L2TPL2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIPIPinIP,如IPSecIPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现虚拟专用网络功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。加解密技术加解密技术 加解密技术是数据通信中一项较成熟的技术,VPN 可直接利用现有技术实现加解密。密匙管理技术密匙管理技术密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。身份认证技术身份认证技术使用者与设备认证技术最常用的是使用者名称与密码或卡
15、片式认证等方式。此类主要是为以网站论坛形式或改变形式出售,服务器数量较少,主要为国内人士提供国外浏览服务。(八)设置步骤(八)设置步骤WindowsXPWindowsXP 设置步骤设置步骤设置步骤 1:建立一个新连接设置步骤 2:连接到我工作的地方的网络设置步骤 3:虚拟私人网络连接设置步骤 4:设定连接名称(例如:VPN)设置步骤 5:不要拨接起始连线设置步骤 6:输入主机名称设置步骤 7:完成新增连线,勾选“将这个连线的捷径加到我的桌面“()以便日后方便连线设置步骤 8:输入帐号,密码,即可按连线。WindowsWindows 7 7 的设置说明的设置说明 1,在画面右下角,点选网路连线,
16、然后选择“打开网络共享中心”2,在弹出的对话窗口中,选择“设置新的连接或网络”3,选择“连接到工作区”4,然后选择“使用我的 Internet 连接(VPN),通过 Internet 使用虚拟专用网络(VPN)来连接”,然后单击“我将稍后设置 Internet 连接”5,在“Internet 地址”里,填上 VPN 提供的 IP 地址如果你没有现成的 VPN 代理,建议到网上找一个免费 VPN 代理。填好 IP 后,其它东西都不用管它,直接点击下一步。目标名称 VPN 连接6,填 VPN 的用户名和密码,我们先不要填,点“创建”7,到这里就完成的连接设置导向。点击“关闭”。8,回到桌面右键点击“网络”-“属性”,再点击一下左边的“更改适配器设置”。9,找到我们刚才建好的“VP
