VPN组网方案课件

6.5VPN组网方案VPN技术概述VPN虚拟专用网通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

VPN技术概述VPN的功能加密数据信息认证和身份认证

提供访问控制，不同的用户有不同的访问权限

通过Internet实现远程用户访问，虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。

VPN的功能VPN的分类VPDN（VirtualPrivateDialNetwork）在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN用户拨号NSP（网络服务提供商）的网络访问服务器NAS（NetworkAccessServer），发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。VPN的分类IntranetVPN在公司远程分支机构的LAN和公司总部LAN之间的VPN.通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。

VPN的分类ExtranetVPN在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN.由于不同公司网络环境的差异性，该产品必须能兼容不同的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置特定的访问控制表ACL（AccessControlList），根据访问者的身份、网络地址等参数来确定他所相应的访问权限，开放部分资源而非全部资源给外联网的用户。

VPN的隧道协议第二层隧道协议数据链路层实现数据封装，PPTP、L2TP等第三层隧道协议网络层实现数据封装如IPSec

SOCKSv5协议在TCP层实现数据安全

VPN的隧道协议VPN解决方案

接入范围:不管是国内或者国外，只要能通过某种方式接入Internet就可以使用VPN组网。如ADSL、ISDN或者拨号方式接入Internet。接入设备:对于企业总部或者分部在原有Internet接入的基础上根据需要增加VPN设备，对于家庭或者移动办公的个人，可以使用相应的VPN设备，也可以使用VPN软件。

VPN解决方案拓扑VPN方案的特点安全保障

服务质量保证（QoS）可扩充性和灵活性

可管理性

VPN典型案例背景某公司是一家大型物流公司，公司在全国各地都有分公司和办事处，由于公司业务发展需要，为了提高公司办事效率各公司都实现了电脑化办公，由著名软件公司提供了ERP系统，实现各地分公司业务数据的整合。但同时由于总公司与各地分公司之间数据传送要通过Internet传送，所以对数据要求安全且可靠地传送。

设计方案要点网络建造要尽可能低廉，低维护量，安装简单，方便。但同时要数据传送可靠稳定。在实施ERP的数据流中，有很多数据是需要保密传输的。使用VPN搭建安全系统网络，通过隧道方式实现各地间数据的安全传送。

VPN实施方案

中心点选用电信提供的10M专线，分点分别使用ADSL、CableModem、小区宽带、56KModem拨号连接到互联网上，并且各分点计算机数量均不同，少则一台，多则数十台，按照该特点，我们分别选用SnapGearSME530，SME550，SME570/575。

各分点通过VPNIPSEC3DES加密连接起来，流动远程的用户则通过WINDOWS自带的VPNPPTP拨号工具连接到中心点。

中心点安装一台Radius的服务器，用作验证用户登陆身份。及一台大型的数据服务器，用作存放数据文件及ERP程序。

方案特点各分公司内部资源享用者通过Internet与总部数据服务器进行数据传递与处理，数据在Internet通过VPN隧道加密传送，加密之后，即使是ISP网管中心都无法看到数据包的内容，即使是用户不对其数据加密，通信双方的VPN防火墙也能自动协商加密传输，保护数据不受破坏和被他人窃取。使用VPN的优点1.防止数据中心服务器直接暴露在公网上，防止黑客病毒的袭击，最大限度地保证了网络的安全

2.使用VPN更可减少了租用专线的费用，节约企业大笔的资源。

3.

可扩展性强，无论何时何地只需加装一个设备，进行简单的调试，即可进行VPN连接，无需等待铺用专线所花费的