《VPN组网方案ppt.ppt》由会员分享,可在线阅读,更多相关《VPN组网方案ppt.ppt(18页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、6.5 VPN 组网方案VPN技术概述nVPN虚拟专用网虚拟专用网n通过一个公用网络(通常是因特网)建立一个通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。业内部网的扩展。VPN技术概述VPN的功能n加密数据加密数据n信息认证和身份认证信息认证和身份认证 n提供访问控制,不同的用户有不同的访问权限提供访问控制,不同的用户有不同的访问权限 n通过通过InternetInternet实现远程用户访问,虚拟专用网实现远程用户访问,虚拟
2、专用网络支持以安全的方式通过公共互联网络远程访络支持以安全的方式通过公共互联网络远程访问企业资源。问企业资源。VPN的功能VPN的分类 nVPDN(Virtual Private Dial Network)n在远程用户或移动雇员和公司内部网之间的在远程用户或移动雇员和公司内部网之间的VPNVPN,称为,称为VPDNVPDNn用户拨号用户拨号NSPNSP(网络服务提供商)的网络访问(网络服务提供商)的网络访问服务器服务器NASNAS(Network Access ServerNetwork Access Server),发出),发出PPPPPP连接请求,连接请求,NASNAS收到呼叫后,在用户和
3、收到呼叫后,在用户和NASNAS之间建立之间建立PPPPPP链路,然后,链路,然后,NASNAS对用户进行身份对用户进行身份验证,确定是合法用户,就启动验证,确定是合法用户,就启动VPDNVPDN功能,与功能,与公司总部内部连接,访问其内部资源。公司总部内部连接,访问其内部资源。VPN的分类nIntranet VPN n在公司远程分支机构的在公司远程分支机构的LANLAN和公司总部和公司总部LANLAN之间之间的的VPN.VPN.通过通过InternetInternet这一公共网络将公司在各这一公共网络将公司在各地分支机构的地分支机构的LANLAN连到公司总部的连到公司总部的LANLAN,以便
4、公,以便公司内部的资源共享、文件传递等,可节省司内部的资源共享、文件传递等,可节省DDNDDN等专线所带来的高额费用。等专线所带来的高额费用。VPN的分类nExtranet VPNn在供应商、商业合作伙伴的在供应商、商业合作伙伴的LANLAN和公司的和公司的LANLAN之之间的间的VPN.VPN.由于不同公司网络环境的差异性,该由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议。由于产品必须能兼容不同的操作平台和协议。由于用户的多样性,公司的网络管理员还应该设置用户的多样性,公司的网络管理员还应该设置特定的访问控制表特定的访问控制表ACLACL(Access Control A
5、ccess Control ListList),根据访问者的身份、网络地址等参数),根据访问者的身份、网络地址等参数来确定他所相应的访问权限,开放部分资源而来确定他所相应的访问权限,开放部分资源而非全部资源给外联网的用户。非全部资源给外联网的用户。VPN的隧道协议n第二层隧道协议第二层隧道协议n数据链路层实现数据封装数据链路层实现数据封装,PPTP、L2TP等等n第三层隧道协议第三层隧道协议n网络层实现数据封装网络层实现数据封装 如如IPSecIPSec nSOCKS v5SOCKS v5协议在协议在TCPTCP层实现数据安全层实现数据安全 VPN的隧道协议VPN解决方案解决方案 n接入范围接
6、入范围:不管是国内或者国外,只要能通过某种方式不管是国内或者国外,只要能通过某种方式接入接入InternetInternet就可以使用就可以使用VPNVPN组网。如组网。如ADSLADSL、ISDNISDN或者或者拨号方式接入拨号方式接入InternetInternet。n接入设备接入设备:对于企业总部或者分部在原有对于企业总部或者分部在原有InternetInternet接入接入的基础上根据需要增加的基础上根据需要增加 VPNVPN设备,对于家庭或者移动设备,对于家庭或者移动办公的个人,可以使用相应的办公的个人,可以使用相应的 VPNVPN设备,也可以使用设备,也可以使用VPNVPN软件。软
7、件。n VPN解决方案拓扑解决方案拓扑VPN方案的特点 n安全保障安全保障 n服务质量保证(服务质量保证(QoSQoS)n可扩充性和灵活性可扩充性和灵活性 n可管理性可管理性 VPN典型案例 n背景背景n某公司是一家大型物流公司,公司在全国各地某公司是一家大型物流公司,公司在全国各地都有分公司和办事处,由于公司业务发展需要,都有分公司和办事处,由于公司业务发展需要,为了提高公司办事效率各公司都实现了电脑化为了提高公司办事效率各公司都实现了电脑化办公,由著名软件公司提供了办公,由著名软件公司提供了ERPERP系统,实现系统,实现各地分公司业务数据的整合。但同时由于总公各地分公司业务数据的整合。但
8、同时由于总公司与各地分公司之间数据传送要通过司与各地分公司之间数据传送要通过InternetInternet传送,所以对数据要求安全且可靠地传送。传送,所以对数据要求安全且可靠地传送。设计方案要点 n网络建造要尽可能低廉,低维护量,安装简单,方便。但网络建造要尽可能低廉,低维护量,安装简单,方便。但同时要数据传送可靠稳定。同时要数据传送可靠稳定。n在实施在实施ERPERP的数据流中,有很多数据是需要保密传输的。的数据流中,有很多数据是需要保密传输的。n使用使用VPNVPN搭建安全系统网络,通过隧道方式实现各地间数据搭建安全系统网络,通过隧道方式实现各地间数据的安全传送。的安全传送。VPN实施方
9、案 n 中心点选用电信提供的中心点选用电信提供的10M10M专线,分点分别使用专线,分点分别使用ADSLADSL、Cable ModemCable Modem、小区宽带、小区宽带、56K Modem56K Modem拨号连接到互联网上,拨号连接到互联网上,并且各分点计算机数量均不同,少则一台,多则并且各分点计算机数量均不同,少则一台,多则 数十台,数十台,按照该特点,我们分别选用按照该特点,我们分别选用SnapGearSnapGear SME530 SME530,SME550 SME550,SME570/575 SME570/575。各分点通过各分点通过VPN IPSEC 3DES VPN I
10、PSEC 3DES 加密连接起来,流动加密连接起来,流动远程的用户则通过远程的用户则通过WINDOWSWINDOWS自带的自带的VPN PPTPVPN PPTP拨号工具连接拨号工具连接到中心点。到中心点。中心点安装一台中心点安装一台RadiusRadius的服务器,用作验证用户的服务器,用作验证用户登陆身份。及一台大型的数据服务器,用作存放数据文件登陆身份。及一台大型的数据服务器,用作存放数据文件及及ERPERP程序。程序。方案特点 n各分公司内部资源享用者通过各分公司内部资源享用者通过InternetInternet与总部数据与总部数据服务器进行数据传递与处理,数据在服务器进行数据传递与处理
11、,数据在InternetInternet通通过过VPNVPN隧道加密传送,加密之后,即使是隧道加密传送,加密之后,即使是ISPISP网管网管中心都无法看到数据包的内容,即使是用户不对中心都无法看到数据包的内容,即使是用户不对其数据加密,通信双方的其数据加密,通信双方的VPNVPN防火墙也能自动协商防火墙也能自动协商加密传输,保护数据不受破坏和被他人窃取。加密传输,保护数据不受破坏和被他人窃取。使用VPN的优点 n1.防止数据中心服务器直接暴露在公网上,防止黑客病毒的袭击,最大限度地保证了网络的安全2.使用VPN 更可减少了租用专线的费用,节约企业大笔的资源。3.可扩展性强,无论何时何地只需加装一个设备,进行简单的调试,即可进行VPN连接,无需等待铺用专线所花费的时间。选用VPN路由器的优点在于4.性能出众,VPN路由处理速度快,能应付多变的网络环境。5.性价比高,价格是其他VPN路由器的一半,甚至更低。6.网络防火墙功能强大。
限制150内