【文章內容簡介】 科技大學信息科技學院 29 隧道技術是 VPN的核心。隧道是基于網絡協議在兩點或兩端建立的通信。一條隧道一般由以下構件組成： ? 隧道發(fā)起者 ? 公共路由網絡 ? 一個或多個隧道終端 隧道發(fā)起者的任務是在公用網絡中開出一條隧道。隧道終端的任務是使隧道到此終止。隧道發(fā)起者和隧道終端可以由多種網絡設備和軟件實現，如圖 。 桂林電子科技大學信息科技學院 30 ? 隧道包括兩種：點到點隧道和端到端隧道。 在點到點隧道中 ，隧道由遠程用戶的 PC延伸到企業(yè)服務器，兩邊的設備負責隧道的建立以及兩點之間數據的加密和解密。 在端到端隧道中 ，隧道終止于防火墻等網絡邊緣設備，它的主要功能是連接兩端局域網。 ? VPN中還必須有一些安全服務器、傳統(tǒng)的防火墻服務和地址轉換功能， VPN使用標準的 Inter技術提供數據加密、身份認證和授權確認等功能，隧道部件通過和安全服務器通信來完成這些功能，這些服務器同時還能提供預留帶寬，乃至網絡服務級別和策略等信息。 ? VPN功能可以通過對現有網絡設備進行軟件升級或更換其中模塊來實現。 桂林電子科技大學信息科技學院 31 VPN特點 ? VPN在設備的使用量及廣域網絡的頻寬使用上，均比專線式的架構節(jié)省，故能使企業(yè)網絡的總成本降低。 桂林電子科技大學信息科技學院 32 2. 服務質量保證（ QoS） ? VPN網應當為企業(yè)數據提供不同等級的服務質量保證。不同的用戶和業(yè)務對服務質量保證的要求差別較大。 例如：對于移動辦公用戶，保證虛擬專用網服務的一個主要因素是提供廣泛的連接和覆蓋性；而對于擁有眾多分支機構的專線 VPN網絡，或者對于交互式的內部企業(yè)網應用，對于 VPN的要求是網路能提供良好的穩(wěn)定性；其他一些應用（如視頻等）則對網絡提出了更明確的要求，如網絡時延及誤碼率等。 ? 廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時容易引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發(fā)送；而在流量低谷時又造成大量的網絡帶寬空閑。 QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。 桂林電子科技大學信息科技學院 33 ? 雖然實現 VPN的技術和方式很多，但所有的 VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。 ? 在非面向連接的公用 IP網絡上建立一個邏輯的、點對點的連接，稱為建立一個隧道，可以利用加密技術對經過隧道傳輸的數據進行加密，以保證數據僅被指定的發(fā)送者和接收者了解，從而保證了數據的私有性和安全性。 桂林電子科技大學信息科技學院 34 ? VPN必須能夠支持通過 Inter和 Extra的任何類型的數據流 ，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。 ? 可擴展性 要求對單位調整和市場需求變化能夠做出快速反應，擴展多個遠程 LAN和多個移動用戶可以在一天時間內完成，如果選擇租用點對點專用線路或幀中繼電路可能要花費幾個星期的時間，而且一旦需要和國外遠程用戶建立點對點專用線路或幀中繼電路連接，可能會遇到更大的麻煩。 桂林電子科技大學信息科技學院 35 ? 通過 VPN企業(yè)可以及時的和新業(yè)務伙伴建立聯系，而無需經過兩個企業(yè)信息部門在租用點對點專用線路或幀中繼電路時所需要的協商、配合，只要兩個企業(yè)均連在 Inter上，這種業(yè)務聯系可以即刻實現。 桂林電子科技大學信息科技學院 36 6. 可管理性 ? 在虛擬專用網管理方面，虛擬專用網要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。將一些次要的網絡管理任務交給服務提供商去完成，企業(yè)自己仍需要完成許多網絡管理任務。 ? 虛擬專用網管理的目標為：減少網絡風險、具有高擴展性、經濟性、高可靠性等優(yōu)點。 ? 虛擬專用網管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、服務質量管理等內容。 桂林電子科技大學信息科技學院 37 VPN中的協議 ? 虛擬專用網區(qū)別于一般網絡互聯的關鍵是：首先建立隧道，待數據包經過加密后，按隧道協議進行封裝、傳送以保安全性。 ? 一般，在數據鏈路層實現數據封裝的協議叫第二層隧道協議，常用的有兩種：第一，點到點隧道協議（ PPTP， PointtoPoint Tunneling Protocol）；第二，第二層隧道協議（ L2TP， Layer 2 Tunneling Protocol）。在網絡層實現數據封裝的協議叫第三層隧道協議，如 IPSEC (IP Security)。 桂林電子科技大學信息科技學院 38 VPN實現技術的原理 ? IPSec是基于 IP網絡（包括 Intra、 Extra和 Inter）的，由 IETF正式定制的開放性 IP安全標準，是虛擬專用網的基礎。IPSec適應向 IPv6遷移，它提供所有在網絡層上的數據保護，提供透明的安全通信。 ? IPSec提供 3種不同的形式來保護通過共有或私有 IP網絡來傳送的私有數據：認證、數據完整、機密性。 ? IPSec安全體系結構包括了 3個最基本的保護形式：認證協議頭、安全加載封裝和互聯網密鑰管理協議。 桂林電子科技大學信息科技學院 39 ? 密鑰管理包括密鑰確定和密鑰分發(fā)，網絡通信最多需要四個密鑰：AH和 ESP各有兩個發(fā)送和接收密鑰。密鑰管理包括手工和自動兩種，手工管理系統(tǒng)在有限的安全需求下可以工作的很好；自動管理系統(tǒng)使用了動態(tài)密鑰交換技術，能滿足其他所有的應用要求。 ? 使用手工管理系統(tǒng) ，密鑰由管理站點確定然后分發(fā)給所有的遠程用戶。真實的密鑰可以用隨機數字生成器或簡單的任意拼湊計算出來，每一個密鑰可以根據集團的安全政策進行修改。 ? 使用自動管理系統(tǒng) ，可以動態(tài)地確定和分發(fā)密鑰。自動管理系統(tǒng)具有一個中央控制點，集中的密鑰管理者可以令自己更加安全，最大限度地發(fā)揮 IPSec的效用。 桂林電子科技大學信息科技學院 40 VPN復用技術是通過網絡地址進行標識路由的 ，在一個大型虛擬專用網絡體系結構里劃分出多個獨立的虛擬專用網絡，實現在同一個虛擬專用網絡體系中建立多個對立的虛擬專用網通信隧道。其特點如下： ? 支持在一個大型的虛擬專用網絡體系結構里劃分出多個獨立的 VPN，并且在某個虛擬專用網絡中還可支持靜態(tài)的 VPN和動態(tài)的 VPN。 ? 根據網絡地址連接表的內容，可以在靜態(tài) VPN之間自動建立原先沒有設定的虛擬專用通道。 ? 對于連接到同一 VPN網管的兩個或多個虛擬專用網絡，可以在本來相互隔離的虛擬專用網絡之間建立起靜態(tài)的 VPN路由，使這種原本不可接的虛擬專用網絡實現 VPN通信。 桂林電子科技大學信息科技學院 41 VPN類型 VPN分為 3種類型：遠程訪問虛擬網（ Access VPN）、企業(yè)內部虛擬網（ Intra VPN）和企業(yè)擴展虛擬網（ Extra VPN）。 ? 對于出差流動員工、遠程辦公人員和遠程小辦公室， Access VPN通過公用網絡與企業(yè)的 Intrant和 Extra建立私有的網絡連接。 Access VPN的結構有兩種