【正文】 整性和機(jī)密性。因此，只有特定的企業(yè)和用戶群體才能夠利用該通道進(jìn)行安全的通信。 N即 Network，表示這是一種專門(mén)的組網(wǎng)技術(shù)和服務(wù)，企業(yè)為了建立和使用 VPN必須購(gòu)買(mǎi)和配備相應(yīng)的網(wǎng)絡(luò)設(shè)備。 64 VPN有 3種類型： Access VPN（遠(yuǎn)程訪問(wèn) VPN）、Intra VPN（企業(yè)內(nèi)部 VPN）和 Extra VPN（企業(yè)擴(kuò)展 VPN），這 3種類型的 VPN分別對(duì)應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及企業(yè)和合作伙伴的網(wǎng)絡(luò)所構(gòu)成的 Extra。 VPN Access VPN即所謂的移動(dòng) VPN，適用于企業(yè)內(nèi)部人員流動(dòng)頻繁或遠(yuǎn)程辦公的情況，出差員工或者在家辦公的員工利用當(dāng)?shù)?ISP（ Inter Service Provider， Inter服務(wù)提供商）就可以和企業(yè)的 VPN網(wǎng)關(guān)建立私有的隧道連接，如圖 。 VPN的類型 65 Access VPN 66 Access VPN對(duì)應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)。在傳統(tǒng)方式中，在企業(yè)網(wǎng)絡(luò)內(nèi)部需要架設(shè)一個(gè)撥號(hào)服務(wù)器作為 RAS（ Remote Access Server），用戶通過(guò)撥號(hào)到該 RAS來(lái)訪問(wèn)企業(yè)內(nèi)部網(wǎng)。這種方式需要購(gòu)買(mǎi)專門(mén)的 RAS設(shè)備，價(jià)格昂貴，用戶只能進(jìn)行撥號(hào)，也不能保證通信安全，而且對(duì)于遠(yuǎn)程用戶可能要支付昂貴的長(zhǎng)途撥號(hào)費(fèi)用。 67 Access VPN通過(guò)撥入當(dāng)?shù)氐?ISP進(jìn)入 Inter再連接企業(yè)的 VPN網(wǎng)關(guān)，在用戶和 VPN網(wǎng)關(guān)之間建立一個(gè)安全的 “隧道 ”，通過(guò)該隧道安全地訪問(wèn)遠(yuǎn)程的內(nèi)部網(wǎng)，這樣既節(jié)省了通信費(fèi)用，能保證安全性。 Access VPN的撥入方式包括撥號(hào)、 ISDN、數(shù)字用戶線路 (xDSL)等，惟一的要求就是能夠使用合法 IP地址訪問(wèn) Inter，具體何種方式?jīng)]有關(guān)系。通過(guò)這些靈活的撥入方式能夠讓移動(dòng)用戶、遠(yuǎn)程用戶或分支機(jī)構(gòu)安全地接入到內(nèi)部網(wǎng)絡(luò)。 68 VPN 如果要進(jìn)行企業(yè)內(nèi)部異地分支機(jī)構(gòu)的互聯(lián)，可以使用 Intra VPN方式，這是所謂的網(wǎng)關(guān)對(duì)網(wǎng)關(guān) VPN，它對(duì)應(yīng)于傳統(tǒng)的 Intra解決方案，如圖所示。 Intra VPN在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的 VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過(guò)該VPN隧道安全地進(jìn)行通信，就好像和本地網(wǎng)絡(luò)通信一樣。 Intra VPN利用公共網(wǎng)絡(luò)（如 Inter）的基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)相同的策略，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。 69 Intra VPN 70 VPN 如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extra VPN，它對(duì)應(yīng)于傳統(tǒng)的 Extra解決方案，如圖所示。 Extra VPN其實(shí)也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的VPN，與 Intra VPN不同的是，它需要在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建，需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。 71 Extra VPN 72 VPN具有以下優(yōu)點(diǎn)。 （ 1） 降低成本 VPN是利用了現(xiàn)有的 Inter或其他公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建安全隧道，不需要使用專門(mén)的線路，如 DDN和 PSTN，這樣就節(jié)省了專門(mén)線路的租金。如果是采用遠(yuǎn)程撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部資源，還需要支付長(zhǎng)途話費(fèi)；而采用 VPN技術(shù)，只需撥入當(dāng)?shù)氐?ISP就可以安全地接入內(nèi)部網(wǎng)絡(luò)，這樣也節(jié)省了線路話費(fèi)。 VPN的優(yōu)點(diǎn) 73 （ 2） 易于擴(kuò)展 如果采用專線連接，實(shí)施起來(lái)比較困難，在分部增多、內(nèi)部網(wǎng)絡(luò)結(jié)點(diǎn)越來(lái)越多時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。如果采用 VPN，只是在結(jié)點(diǎn)處架設(shè) VPN設(shè)備，就可以利用Inter建立安全連接，如果有新的內(nèi)部網(wǎng)絡(luò)想加入安全連接，只需添加一臺(tái) VPN設(shè)備，改變相關(guān)配置即可。 74 （ 3） 保證安全 VPN技術(shù)利用可靠的加密認(rèn)證技術(shù)，在內(nèi)部網(wǎng)絡(luò)之間建立隧道，能夠保證通信數(shù)據(jù)的機(jī)密性和完整性，保證信息不被泄漏或暴露給未授權(quán)的實(shí)體，保證信息不被未授權(quán)的實(shí)體改變、刪除或替代。在現(xiàn)在的網(wǎng)絡(luò)應(yīng)用中，除了讓外部合法用戶通過(guò) VPN訪問(wèn)內(nèi)部資源外，還需要內(nèi)部用戶方便地訪問(wèn) Inter，這樣可將 VPN設(shè)備和防火墻配合，在保證網(wǎng)絡(luò)暢通的情況下，盡可能的保證訪問(wèn)安全。 75 在 VPN應(yīng)用中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過(guò)手工配置的方式，另一種是采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)。手工配置的方法要求密鑰更新不要太頻繁，否則管理工作量太大，因此只適合于簡(jiǎn)單網(wǎng)絡(luò)的情況。密鑰交換協(xié)議采用軟件方式動(dòng)態(tài)生成密鑰，保證密鑰在公共網(wǎng)絡(luò)上安全地傳輸而不被竊取，適合于復(fù)雜網(wǎng)絡(luò)的情況，而且密鑰可快速更新，可以顯著提高VPN應(yīng)用的安全性。 密鑰管理技術(shù) 76 目前主要的密鑰交換與管理標(biāo)準(zhǔn)有 SKIP（Simple Key Management for IP）和 ISAKMP（ Inter Security Association and Key Management Protocol， Inter安全聯(lián)盟和密鑰管理協(xié)議， RFC2408） /Oakley（ RFC2412）。 SKIP是由 SUN所發(fā)展的技術(shù)，主要利用Diffie Hellman算法在網(wǎng)絡(luò)上傳輸密鑰。在ISAKMP/Oakley中， Oakley定義如何辨認(rèn)及確認(rèn)密鑰， ISAKMP定義分配密鑰的方法。 77 什么是 MPLS？ ? MPLS（ Multi Protocol Label Switching）：多協(xié)議標(biāo)記（標(biāo)簽）交換 ? 起源于 Cisco的 Tag Switching（ 1996），后由IETF標(biāo)準(zhǔn)化，并改為多協(xié)議標(biāo)記交換。是一種支持多種網(wǎng)絡(luò)層協(xié)議的快速轉(zhuǎn)發(fā)技術(shù)，它就象一個(gè)墊片（ shim)，處于 OSI的第 3層之間。 ? MPLS吸收了 ATM網(wǎng)絡(luò)的 VPI/VCI交換思想，集成了 IP路由技術(shù)的靈活性和 2層交換的簡(jiǎn)捷性，為 IP網(wǎng)絡(luò)提供了面向連接的交換。 78 MPLS VPN與 IPSec VPN ? MPLS VPN的安全性與幀中繼、 ATM類似，即租用了一條虛連接（局部）。 ? MPLS VPN不涉及認(rèn)證、加密功能。 ? IPSec VPN提供認(rèn)證、加密功能，能保證數(shù)據(jù)的機(jī)密性、完整性 ? 對(duì)安全需求強(qiáng)的業(yè)務(wù)可以將 IPSec和 MPLS VPN結(jié)合使用 79 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH