培训讲座课件 构建VPN的方案

第4章

构建VPN的方案1组建VPN应该遵循的设计原则

VPN的设计应遵循以下原则：安全性，网络优化，VPN管理等。在安全性方面，由于VPN直接构建在公用网上，实现简单，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且在防止非法用户对网络资源或私有信息的访问。ExtrantVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。安全问题是VPN的核心问题。2一起交流共同进步组建VPN应该遵循的设计原则

在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。

3一起交流共同进步组建VPN应该遵循的设计原则在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。VPN管理主要包括安全管理，设备管理，配置管理，访问控制列表管理，服务质量管理等内容。4一起交流共同进步对VPN的要求VPN的可用性、安全性、可扩展性、可管理性、建设及运营成本。p635一起交流共同进步成功的VPN方案满足的要求

（安全解决办法）用户验证：VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。地址管理：VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。数据加密：通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。密钥管理：VPN方案必须能够生成并更新客户端和服务器的加密密钥。多协议支持：VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。6一起交流共同进步AccessVPN方案AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如p69:图4-1所示。

7一起交流共同进步AccessVPN的优点减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。实现本地拨号接入的功能来取代远距离接入，这样能显著降低远距离通信的费用。极大的可扩展性，简便地对加入网络的新用户进行调度。远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。8一起交流共同进步IntranetVPN方案越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。

9一起交流共同进步IntranetVPN的优点减少WAN带宽的费用。

能使用灵活的拓扑结构，包括全网孔连接。

新的站点能更快、更容易地被连接。

通过设备供应商WAN的连接冗余，可以延长网络的可用时间。

10一起交流共同进步ExtranetVPN方案利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。

11一起交流共同进步

ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图

12一起交流共同进步ExtranetVPN的优点ExtranetVPN结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。13一起交流共同进步三种主要的VPN解决方案的优点根据VPN的服务类型，可以将VPN分为AccessVPN、IntranetVPN和ExtranetVPN三类。

AccessVPN

◎减少用于相关的调制解调器和终端服务设备的资金及费用，简化企业网络结构；

◎实现本地拨号接入VPN的功能来取代长途接入或800电话接入，减少企业在长话费上的支出；

◎简便地对加入网络的新用户进行控制和调动，提高了网络的扩展能力；

◎远端验证拨入用户服务，企业可以自主的控制认证信息；

◎节省了企业在自主维护拨号接入方面的人员和设备的投入。

IntranetVPN

◎减少企业租用运营商WAN带宽的费用；

◎能使用灵活的拓扑结构，包括全网状连接；

◎可以减小网络业务提供的周期；

◎通过设备供应商WAN的连接冗余，提高网络的可用性。

ExtranetVPN

◎能容易地对外部网进行部署和管理；

◎外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。14一起交流共同进步各厂商VPN方案目前大型网络厂商都把虚拟专用网络作为重要市场目标。诸如3Com、Cisco、NortelNetworks、Lucent和Shiva公司等公司纷纷出击，提供各具特色的VPN解决方案。

15一起交流共同进步3ComVPN解决方案

3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3ComVPN产品彼此兼容，还配备了TranscendWare软件，使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信，进而强制执行网络策略。这些设备通过监视VPN隧道，可以更好地管理拨号端口、带宽分配、网络负载等，对VPN环境进行有效的控制。已配备NETBuilderⅡ或SuperStackⅡ桥接器/路由器的企业，可以在这些设备上增加VPN服务器能力(隧道终止器功能)。这样的一个设备，可以通过利用线路、帧中继、ISDN、SMDS或Switched56连接到NSP，又可以通过Ethernet、TokenRing和ATM提供LAN连接。

16一起交流共同进步图2IntranetVPN应用示意图17一起交流共同进步3Com公司的VPN解决方案的优点在于，能够很容易地集成到多厂商产品的网络中，且支持多种环境：移动用户和居家工作者；通过虚拟租用线路连接分支机构办公室；通过安全的Extranet连接商业伙伴。3Com公司推出的基于L2TP(Layer2TunnelingProtocol)和扩展型IPsec(InternetProtocolSecurity)的最新强化软件，从而进一步为用户扩展了VPN解决方案。3Com的隧道交换机提高了VPN的安全性和灵活性，可以带来以下好处：很容易区别对待远程职工的信息流和合作伙伴与客户的信息流。

各部门可以共用一个Internet接口。

可以最终利用IP地址空间。

使远程用户很容易成为VLAN(虚拟LAN)的成员。

□LucentVPNWorX

18一起交流共同进步图3extrantVPN应用示意图

19一起交流共同进步LucentVPNWorX，对企业来讲具有无需牺牲类似专用网的控制能力，可以获得VPN的所有好处。VPNWorX解决方案中的产品，涵盖了供应商/用户环境，包括Lucent完善的产品方案，如电信级接入平台MAX和MAXTNT；多业务交换机GBX500、GX550、B-STDX8000/9000和NexabitNX64000。IPNavigatorMPLS使服务供应商能够建立一个可以提供全新IP服务-QualityIP的基础设施。Internet安全产品包括VPNGateway和SecureConnect。Pipeline和远程接入产品提供了集成化VPN路由和防火墙保护功能。并且，该方案具有通过QoS和SLA保障，提供关键型性能、策略化联网能力、端到端服务和网络管理及智能网络等增值功能。

20一起交流共同进步华为VPN方案华为提供了各种有效的VPN解决方案，包括：AccessVPN、IntranetVPN、ExtranetVPN及结合防火墙的VPN解决方案。各方案中，Quidway系列路由器具有VPN网关功能，是组建VPN的重要设备之一。Quidway系列路由器支持各种VPN技术，包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等，并可继续发展，支持越来越多的先进技术。

21一起交流共同进步Cisco3600系列路由器

22一起交流共同进步华为VPN方案其中，VPN与防火墙的结合使用，可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境，增强抵御黑客攻击、禁止非法访问的能力。公司内部特定的用户可以访问Internet网络，但是Internet网络内的主机不能通过防火墙访问公司的内部网络，只允许访问位于DMZ（非军事化区）的内部服务器主机，公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道，以访问总部的资源。

23一起交流共同进步VPN的成功案例企业VPN解决方案政府VPN解决方案银行VPN解决方案24一起交流共同进步RemoteAccess(远程访问)VPN系统示意图虚拟专用网络(VPN)的应用25一起交流共同进步SitetoSite(异地局域网互联）VPN系统示意图虚拟专用网络(VPN)的应用26一起交流共同进步OSPF、IS-IS等CECECECECECEPEPEPEPERIP、OSPF等IBGPsessions虚拟专用网_A虚拟专用网_A虚拟专用网_A虚拟专用网_A虚拟专用网_B虚拟专用网_BPPPP企业利用IP城域网

虚拟专用网络(VPN)的应用27一起交流共同进步通过VPN实现远程宽带访问28一起交流共同进步通过VPN实现远程宽带访问在本方案中，VPN设备选用Avaya公司的VPN系列网关产品，网络中心使用VSU-2000实现高速的数据交换以满足需要。VPN设备和移动用户的管理采用VPNManager和VPNRemote软件来完成。VPNManager能够实现对整个VPN网络进行管理，满足用户认证、加密策略的制定和修改等等重要工作。VPNRemote安装在移动用户的计算机上，为用户提供在任何地点只需接入任意一个ISP即可建立VPN连接的功能，充分满足移动用户的的需要。企业网络中心不再需要建立拨入服务系统为远程用户提供拨入服务。29一起交流共同进步宽带网络的VPN服务

INTERNET骨干层2.5Gbps30一起交流共同进步VPN技术在西门子远程控制中的应用使用现有的VPN防火墙网关通过标准TCP/IP协议可以同SIEMENSPLC系统进行无逢连接。（犹如本地使用一样）在确保设备进行连接之后可以方便快捷的进行各种远程编程和诊断。高性能的加密机制确保系统的稳定和安全通过VPN构建出的虚拟网络可以轻松