***筆記

 虛擬專用網絡(Virtual Private Network ，簡稱***)指的是在公用網絡上建立專用網絡的技術。其之所以稱爲虛擬網，主要是因爲整個***網絡的任意兩個節點之間的連接並沒有傳統專網所需的端到 端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。***主要採用了彩 隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

 

在傳統的企業網絡配置中，要進行異地局域網之間的互連，傳統的方法是租用DDN(數字數據網)專線或幀中繼。這樣的通訊方案必然導致高昂的網絡通訊/維護費用。對於移動用戶(移動辦公人員)與遠端個人用戶而言，一般通過撥號線路(Internet)進入企業的局域網，而這樣必然帶來安全上的隱患。

 

虛擬專用網的提出就是來解決這些問題：

 

(1)使用***可降低成本——通過公用網來建立***，就可以節省大量的通信費用，而不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。

 

(2)傳輸數據安全可靠——虛擬專用網產品均採用加密及身份驗證等安全技術，保證連接用戶的可靠性及傳輸數據的安全和保密性。

 

(3)連接方便靈活——用戶如果想與合作伙伴聯網，如果沒有虛擬專用網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網之後，只需雙方配置安全連接信息即可。

 

(4)完全控制——虛擬專用網使用戶可以利用ISP的設施和服務，同時又完全掌握着自己網絡的控制權。用戶只利用ISP提供的網絡資源，對於其它的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。

 

根據不同的劃分標準，***可以按幾個標準進行分類劃分

 

1. 按***的協議分類

 

***的隧道協議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱爲二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。

 

2. 按***的應用分類

 

1) Access ***（遠程接入***）：客戶端到網關，使用公網作爲骨幹網在設備之間傳輸***的數據流量

 

2) Intranet ***（內聯網***）：網關到網關，通過公司的網絡架構連接來自同公司的資源

 

3) Extranet ***（外聯網***）：與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接

 

3. 按所用的設備類型進行分類

 

網絡設備提供商針對不同客戶的需求，開發出不同的***網絡設備，主要爲交換機，路由器，和防火牆

 

1）路由器式***：路由器式***部署較容易，只要在路由器上添加***服務即可

 

2）交換機式***：主要應用於連接用戶較少的***網絡

 

3）防火牆式***：防火牆式***是最常見的一種***的實現方式，許多廠商都提供這種配置類型

實現***的最關鍵部分是在公網上建立虛信道，而建立虛信道是利用隧道技術實現的，IP隧道的建立可以是在鏈路層和網絡層。第二層隧道主要是PPP連接， 如PPTP，L2TP，其特點是協議簡單，易於加密，適合遠程撥號用戶;第三層隧道是IPinIP，如IPSec，其可靠性及擴展性優於第二層隧道，但沒 有前者簡單直接。

隧道是利用一種協議傳輸另一種協議的技術，即用隧道協議來實現***功能。爲創建隧道，隧道的客戶機和服務器必須使用同樣的隧道協議。

 

1) PPTP（點到點隧道協議）是一種用於讓遠程用戶撥號連接到本地的ISP，通過因特網安全遠程訪問公司資源的新型技術。它能將PPP（點到點協議）幀封裝成IP數據包，以便能夠在基於IP的互聯網上進行傳輸。PPTP使用TCP（傳輸控制協議）連接的創建，維護，與終止隧道，並使用GRE(通用路由封裝)將PPP幀封裝成隧道數據。被封裝後的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。

 

2) L2TP協議：L2TP是PPTP與L2F（第二層轉發）的一種綜合，他是由思科公司所推出的一種技術

 

3) IPSec協議：是一個標準的第三層安全協議，他是在隧道外面再封裝，保證了隧在傳輸過程中的安全。IPSec的主要特徵在於它可以對所有IP級的通信進行加密和認證，正是這一點才使IPSec可以確保包括遠程登錄，電子郵件，文件傳輸及WEB訪問在內多種應用程序的安全。

 

4) SSL ***（安全套接層協議）是網景公司提出的基於Web應用的在兩臺機器之間提供安全通道的協議。它具有保護傳輸數據積極識別通信機器的功能。SSL主要採用公開密鑰體制和X509數字證書技術在Internet上提供服務器認證，客戶認證，SSL鏈路上的數據的保密性的安全性保證。被廣泛用於Web瀏覽器與服務器之間的身份認證和加密傳輸。