VPN技术方案建议书

虚拟私有网络VPN(Virtual ** Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义：
一、 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立；
二、 它是利用公众网络设施构成的专用网。
VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处：

采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；
公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；
对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；
电话公司通过开展拨号VPN服务可以减轻终端阻塞；
通过为公司提供安全的外界远程访问服务，ISP能增加收入；通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。
VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。
VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，VPN将是本世纪末发展速度最快的业务之一。

1.1 什么是VPN
通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别，从而利用公网构筑Virtal ** Network（即VPN）。如果接入方式为拨号方式，则称之为VPDN。
VPN通过公众IP网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话费用开支，并且提供了安全的端到端的数据通讯。
VPN的建立有三种方式：一种是企业自身建设，对ISP透明；第二种是ISP建设，对企业透明；第三种是ISP和企业共同建设。

1.2 VPN的工作原理
用户连接VPN的形式：
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中，PPP（点对点协议）数据包流是通过专用线路传输的。在VPN中，PPP数据包流是由一个LAN上的路由器发出，通过共享IP网络上的隧道进行传输，再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么，如何形成VPN隧道呢？
建立隧道有两种主要的方式：客户启动（Client－Initiated）或客户透明（Client－Transparent）。客户启动要求客户和隧道服务器（或网关）都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道，隧道服务器中止隧道，ISP可以不必支持隧道。客户和隧道服务器只需建立隧道，并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立，就可以进行通信了，如同ISP没有参与连接一样。
另一方面，如果希望隧道对客户透明，ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器，服务器必须能识别这一连接要与某一特定的远程点建立隧道，然后服务器与隧道服务器建立隧道，通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件，但客户只能拨号进入正确配置的访问服务器。

1.3 VPN涉及的关键技术
VPN是一个虚拟的网，其重要的意义在于"虚拟"和"专用"。为了实现在公网之上传输私有数据，必须满足其安全性。VPN技术主要体现在两个技术要点上：Tunnel、相关隧道协议（包括PPTP，L2F，L2TP），数据安全协议（IPSEC）。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。

1.3.1 隧道技术（Tunneling）
1.3.1.1 隧道技术介绍
VPN在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在VPN中，通过采用一种所谓"隧道"的技术，可以通过公共路由网络传送数据分组，例如Internet网或其他商业**络。
这里，专有的"隧道"类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。
通过TUNNEL的建立，可实现以下功能：

将数据流量强制到特定的目的地
隐藏私有的网络地址
在IP网上传输非IP协议数据包
提供数据安全支持
协助完成用户基于AAA的管理。
在安全方面可提供数据包认证、数据加密以及密钥管理等手段。
拨号VPNs使用隧道技术远程访问服务器把用户数据打包进IP信息包中，这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同的网络，最后到达隧道终点 ，然后数据拆包，转发成最初的形式。VPN允许网络协议的转换，还允

　　下面是第二层隧道与第三层隧道比较：


第二层隧道
第三层隧道

优

点
简单

端到端压缩/加密

双向隧道配置
可扩充性

安全性

可靠性

缺

点
标准仍在发展

可扩充性存在问题

可靠性存在问题

有限PPP负载类型

安全存在问题
有限厂商参加

开发复杂



针对IP隧道协议，通过PPTP和IPSec协议建立的隧道从客户端起始，终止于企业端VPN接入设备。如下图所示：
过L2F和L2TP协议建立的隧道从ISP接入设备端起始，终止于企业端VPN接入设备。如下图所示：

第三层隧道技术对于公司网络还有一些其它优点，网络管理者采用第三层隧道技术时，不必在他们的远程节点或客户原有设备(CPE)上安装特殊软件。因为PPP和隧道终点由服务提供商的设备生成，CPE不用负担这些功能,而仅作为一台路由器。第三层隧道技术可采用任意厂家的CPE予以实现。
使用第三层隧道技术的公司网络不需要Internet地址。这种隧道技术的应用也具有安全性。服务提供商网络能够隐藏司网络和远端节点地址。
应用第三层隧道技术，服务提供商不需要参与公司网路由选择。服务提供商控制其网络的全部数据信息包的通信，当选择把第三层隧道技术应用到第二层隧道通路上时服务商能够更方便的估略服务。

1.3.2 相关隧道协议
目前，标准的隧道协议如下：

基于客户，对ISP透明
PPTP
IPSec
由ISP提供，无须客户端具备相关知识
L2F
L2TP（以后需要客户端的支持）
下面对以上协议作一简单介绍。

1.3.2.1 PPTP－Point to Point Tunnel Protocal
这是一个最流行的Internet协议，它提供PPTP客户机与PPTP服务器之间的加密通信，它允许公司使用专用的"隧道"，通过公共Internet来扩展公司的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或"隧道"服务，使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行。PPTP是Microsoft和其它厂家支持的标准，它是PPTP协议的扩展，它可以通过Internet建立多协议VPN。PPTP使用 40 或128位的RC4加密算法。
PPTP的一个主要优势在于微软的支持。在Windows95、98以及NT中都进行了良好的集成（在Win98中已经集成了L2TP）。PPTP也很好地集成进了NT Domain。对于ISP来讲无须任何特殊的支持。另外一个优点在于支持流量控制，可以防止客户与服务器因业务而导致崩溃，并通过减少丢弃报文及由此而引起的重发提高了性能。
PPTP的工作方式
网络协议的工作方式是交换被称为包（packet）的数据块。包是由协议特定的控制信息以及要发送的真正数据（通常称为负载，payload）组成的。作为网络用户，我们只关心负载。只要数据能无差错地尽快交换，我们不介意协议出于自己的目的选择添加什么控制信息。但是，如果两台计算机要通信的话，无论它们使用何种连接媒介，控制信息都是至关重要的并且必须完整保留。
PPTP的工作方式是在TCP/IP包中封装原生（native）包--例如IPX包。包括控制信息在内的整个IPX包都将成为TCP/IP包的负载， 然后它通过Internet传输。另一端的软件打开包并将其发送给原来的协议进行常规处理。该过程被称为通道（tunneling）。
除了节省长途拨入费用，通道还增强了数据安全性。由于通道将兼容协议连接到Windows NT 网络，该操作系统能执行在LAN本身执行的广泛的安全性检查。这样，连接能通过PAP（Pass-word Authentication Protocol）或CHAP（Challenge Handshake Authentication Protocol）使用Windows NT 的用户身份验证。另外，PPTP能传送由RSA RC-4 或DES 加密的数据。如果拨入安全性对于VPN来说非常重要， 那么服务器管理员能指定服务器仅接收来自远程连接的PPTP包，但这会妨碍将服务器用作公共Web 或FTP 访 问。 然而，如果有多台服务器可用，并且需要最高的安全性，那么这就是可采纳的方案。然而即使采取所有这些安全措施，客户端唯一需要的特殊软件也只是PPTP协议本身，以 及能连接VPN的拨号程序。甚至连Internet服务提供者是否支持PPTP 也不是必要的，在这种情况下，一切都能通过标准的点对点协议（Point-to-Point Protocol，PPP）安全地进 行。对于不支持PPTP的提供者，Windows NT通过双重拨号系统提供安全保障。
PPTP 执 行 过 程
既然远程访问的整个想法是允许客户机拨号进入服务器，那么PPTP连接就始于客户 端，它使用Windows NT的远程访问服务（Remote Access Service，RAS）来建立到ISP 的PPP连接。当激活PPP连接，而且服务器连接到Internet并作为RAS服务器后，客户使用RAS进行第二次拨号。这次，在电话号码域指定IP地址（名字或数字），并且客户使用VPN端口代替COM端口进行连接 （VPN端口是在安装PPTP 的过程中同时添加到客户端和服务器端的）。
用IP地址拨号会给服务器发送开始会话的请求。客户端等待服务器验证用户名和口 令并返回连接完成的信息。此时PPTP通道启动， 客户可以着手给服务器传送包。由于它们可能是IPX 或NetBEUI包，因此服务器能对其执行常规的安

　　樓主提供的信息不錯.......實用.......

谢谢，楼主辛苦了！！！