(1)客戶機向***服務器發出請求;
(2) ***服務器響應請求並向客戶機發出身份質詢,客戶機將加密的用戶身份驗證響應信息發送到***服務器;
(3) ***服務器根據用戶數據庫檢查該響應,如果賬戶有效,***服務器將檢查該用戶是否具有遠程訪問權限;如果該用戶擁有遠程訪問的權限,***服務器接受此連接;
(4)最後***服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密,然後通過***隧道技術進行封裝、加密、傳輸到目的內部網絡。
1. ***的優勢
***網絡給用戶所帶來的好處主要表現在以下幾個方面:
(1)節約成本
這是***網絡技術的最爲重要的一個優勢,也是它取勝傳統的專線網絡的關鍵所在。據行業調查公司的研究報告顯示擁有***的企業相比起採用傳統租用專線的遠程接入服務器或Modem池和撥號線路的企業能夠節省30%到70%的開銷。開銷的降低發生在4個領域之中:
移動通訊費用的節省:這主要是針對於有許多職工需要移動辦公的企業來說的,因爲這樣對於出差在外地的移動用戶來說只需要接入本地的ISP就可以與公司內部的網絡進行互連,大大減少了長途通信費。企業可以從他們的移動辦公用戶的電話費用上看到立竿見影的好處。
專線費用的節省:採用***的費用比起租用專線來要低40~60%,而無論是在性能、可管理性和可控性方面兩者都沒有太大的差別。通過向虛擬專線中加入語音或多媒體流量,企業還可以進一步獲得成本的節約。這一點對於過去有過租用象DDN之類的專線的企業用戶就會有更深刻的感受了,租用DDN一個小小的64k就得每月花費幾千上萬元費用,採用***後不僅這方面的費用會大大減少(但通常不能全免,因爲在企業與NSP之間這一段還得租用NSP的專用線路,但這已是相當短的了),而且還可能會在帶寬上有更大的優勢,因爲現在的***技術可以支持寬帶技術了。
設備投資的節省:***允許將一個單一的廣域網接口用作多種用途,從分支機構的互聯到合作伙伴通過外聯網(Extranet)的接入。因此,原先需要流經不同設備的流量可以統一地流經同一設備。由此帶來的好處便是企業不再像原先那樣需要大量的廣域網接口了,也不必再像以前那樣頻繁地進行週期性的硬件升級了,這樣就可大大減少了企業固定設備的投資,這對於是、小型企業來說是非常之重要的。此外,***還使企業得以繼續對其關鍵業務型的舊有系統進行有效利用,從而達到保護軟硬件投資的目的。
支持費用的節省:通過減少Modem池的數量,企業自身支持費用可以被降至最低。原先用來對遠程用戶進行支持的、經常超負荷工作的企業支持熱線(通常還需由專人負責)被NSP幫助桌面系統所取代。而且,由於NSP幫助桌面系統可以完全實現從總部中心端進行管理,因此***可以極大地降低對遠程網絡的安裝和配置成本。在降低費用方面主要表現爲:遠程用戶可以只通過向當地的ISP申請賬戶登錄到因特網,以因特網作爲隧道與遠程企業內部專用網絡相連。這樣採用撥號方式的遠程用戶則不需要採用長途撥號,企業總部也可只支付ISP本地網絡使用費,在長途通信費用方面就會大幅度降低,據專業分析機構調查顯示,採用***與傳統的撥號方式相比可以節約通訊成本可達50%-80%。與租用專線方式相比更具有明顯的費用優勢,一般***每條連接的費用成本只相當於租用專線的40%到60%;***還允許一個單一的WAN接口服務多種用途,因此用戶端只需要極少的WAN接口和設備。而且由於***是可以完全管理,並且能夠從中央網站進行基於策略的控制,因此可以大幅度地減少在安裝配置遠端網絡接口所需的設備上的開銷。另外,由於***獨立於初始的協議,這就使得遠端的接入用戶可以繼續使用傳統的設備,保護了用戶在現有硬件和軟件系統上的投資。
(2)增強的安全性
目前***主要採用四項技術來保證數據通信安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、身份認證技術(Authentication)。
在用戶身份驗證安全技術方面,***是通過使用點到點協議(PPP)用戶級身份驗證的方法來進行驗證,這些驗證方法包括:密碼身份驗證協議(PAP)、質詢握手身份驗證協議(CHAP)、Shiva密碼身份驗證協議(SPAP)、Microsoft質詢握手身份驗證協議(MS-CHAP)和可選的可擴展身份驗證協議(EAP);
在數據加密和密鑰管理方面***採用微軟的點對點加密算法(MPPE)和網際協議安全(IPSec)機制對數據進行加密,並採用公、私密鑰對的方法對密鑰進行管理。MPPE使Windows 95、98和NT 4.0終端可以從全球任何地方進行安全的通信。MPPE加密確保了數據的安全傳輸,並具有最小的公共密鑰開銷。以上的身份驗證和加密手段由遠程***服務器強制執行。對於採用撥號方式建立***連接的情況下,***連接可以實現雙重數據加密,使網絡數據傳輸更安全。
還有,對於敏感的數據,可以使用***連接通過***服務器將高度敏感的數據服務器物理地進行分隔,只有企業Intranet上擁有適當權限的用戶才能通過遠程訪問建立與***服務器的***連接,並且可以訪問敏感部門網絡中受到保護的資源。
(3)網絡協議支持
***支持最常用的網絡協議,這樣基於IP、IPX和NetBEUI協議網絡中的客戶機都可以很容易地使用***。這意味着通過***連接可以遠程運行依賴於特殊網絡協議的應用程序。新的***技術可以全面支持如AppleTalk、DECNet、SNA等幾乎所有的局域網協議,應用更加全面。
(4)容易擴展
如果企業想擴大***的容量和覆蓋範圍,企業需做的事情很少,而且能及時實現,因爲這些工作都可以交由專業的NSP來負責,從而可以保證工程的質量,更可以省去一大堆麻煩。企業只需與新的NSP簽約,建立賬戶;或者與原有的NSP重籤合約,擴大服務範圍。***路由器還能對工作站自動進行配置。
(5)可隨意與合作伙伴聯網
在過去,企業如果想與合作伙伴連網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。這樣相當麻煩,不便於企業自身的發展,也就是租用的專線在靈活性方面是非常不夠。有了***之後,這種協商也毫無必要,真正達到了要連就連,要斷就斷,可以實現靈活自如的擴展和延伸。
(6)完全控制主動權
藉助***,企業可以利用ISP的設施和服務,同時又完全掌握着自己網絡的控制權。比方說,企業可以把撥號訪問交給ISP去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。
(7)安全的IP地址
因爲***是加密的,***數據包在因特網中傳輸時,因特網上的用戶只看到公用的IP地址,看不到數據包內包含的專有網絡地址。因此遠程專用網絡上指定的地址是受到保護的。IP地址的不安全性也是在早期的***沒有被充分重視的根本原因之一。
(8)支持新興應用
許多專用網對許多新興應用準備不足,如那些要求高帶寬的多媒體和協作交互式應用。***則可以支持各種高級的應用,如IP語音,IP傳真,還有各種協議,如RSIP、IPv6、MPLS、SNMPv3等,而且隨着網絡接入技術的發展,新型的***技術可以支持諸如ADSL、Cable Modem之類的寬帶技術。
上面介紹了***的主要優勢,那麼哪些用戶適合採用***網絡連接呢?綜合***技術的特點,可以得出主要有以下四類用戶適合採用***進行網絡連接:
a.網絡接入位置衆多,特別是單個用戶和遠程辦公室站點多,例如多分支機構企業用戶、遠程教育用戶;
b.用戶/站點分佈範圍廣,彼此之間的距離遠,遍佈全球各地,需通過長途電信,甚至國際長途手段聯繫的用戶,如一些跨國公司;
c.帶寬和時延要求相對適中,如一些提供IDG服務的ISP;
d.對線路保密性和可用性有一定要求的用戶,如大企業用戶和政府網。
根據***的應用平臺可分爲:軟件平臺、專用硬件平臺及輔助硬件平臺三類。
(1)軟件平臺***
當對數據連接速率較低要求不高,對性能和安全性要求不強時,可以利用一些軟件公司所提供的完全基於軟件的***產品來實現簡單的***的功能,如checkpoint software和Aventail Corp等公司的產品。甚至可以不需要另外購置軟件,僅依靠微軟的Windows操作系統,特別是自Windows 2000版本以後的系統就可實現純軟件平臺的***連接。
這類***網絡一般性能較差,數據傳輸速率較低,同時在安全性方面也比較低,一般僅適用於連接用戶較少的小型企業。
(2)專用硬件平臺***
使用專用硬件平臺的***設備可以滿足企業和個人用戶對高數據安全及通信性能的需求,尤其是從加密及數據亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬件廠商比較多,比較有名的如國外的:Nortel、Cisco、3Com等,國內的如華爲、聯想等。
這類***平臺雖然投資了大量的硬件設備,但是它具有先天的不足,就是成本太高,對於中、小型企業很難承受。並且由於全是由硬件來構成的平臺,因此在管理的靈活性方面和可管理性方面就顯得不如人意。通常是對於專業的***網絡服務提供商來說選擇這一平臺較爲合適,因爲它們都有這方面的人才和資金優勢。不過現在的主流***硬件設備製造商都能提供相應的管理軟件來支持,如Cisco、3COM公司等,這在後面章節中將具體介紹它們的***解決方案。
(3)輔助硬件平臺***
這類***的平臺介於軟件平臺和指定硬件平臺的之間,輔助硬件平臺的***主要是指以現有網絡設備爲基礎,再增添適當的***軟件以實現***的功能。這是一種最爲常見的***平臺,性能也是最好的一種。但是通常這種平臺中的硬件也不能完全由原來的網絡硬件來完成,必要時還得添加專業的***設備,如***交換機、***網關或路由器等,對於一個完善的、高性能的***網絡這些設備在一定程度上來說是非常必要的。
這種平臺是最爲通用的一種方式,它既具備了硬件平臺的高性能、高安全性,同時也具有了軟件平臺的靈活性,並且可以利用絕大多數現有硬件設備,節省了總體投資。目前絕大多數企業***方案選用。
2.主要***協議
通過前面的介紹知道***隧道協議主要有三種:PPTP、L2TP和IPSec,PPTP和L2TP協議是工作在OSI/RM開放模型中的第二層,所以又稱之爲第二層隧道協議。其實在第二層隧道協議中還有一種不是很主流的協議,那就是Cisco公司的L2F(Layer 2 Forwarding)協議。在***網絡中最常見的第三層隧道協議是IPSec,但另一種GRE(Generic Routing Encapsulation,通用路由封裝協議,在RFC 1701中早有描述)也是屬於一個第三隧道協議。
第二層隧道和第三層隧道的本質區別在於用戶的數據包是被封裝在哪一層的數據包隧道里傳輸的。第二層隧道協議和第三層隧道協議一般來說分別使用,但合理的運用兩層協議,將具有更好的安全性。例如:L2TP與IPSec協議的配合使用,可以分別形成L2TP ***、IPSec ***網絡,也可混合使用L2TP、IPSec協議形成性能更強的L2TP ***網絡,且這一***網絡形式是目前性能最好、應用最廣的一種,因爲它能提供更加安全的數據通信,解決了用戶的後顧之憂。
3. ***的部署模式
***的部署模式從本質上描述了***通道的起始點和終止點,不同的***模式適用於不同的應用環境,滿足不同的用戶需求,總的來說有3種***部署模式:
(1)端到端(End-to-End)模式;
該模式是自建***的客戶所採用的典型模式,也是最爲徹底的***網絡。在這種模式中企業具有完全的自主控制權,但是要建立這種模式的***網絡需要企業自身具備足夠的資金和人才實力,這種模式在總體投金上是最多的。最常見的隧道協議是IPSec和PPTP。這種模式一般只有大型企業纔有條件採用,這種模式最大的好處,也是最大的不足之處就是整個***網絡的維護權都是由企業自身完成,需花巨資購買成套昂貴的***設備,配備專業技術人員,同時整個網絡都是在加密的隧道中完成通信的,非常安全,不像外包方式中存在由企業到NSP之間的透明段。
(2)供應商―企業(Provider-Enterprise)模式;
這是一種外包方式,也是目前一種主流的***部署方式,適合廣大的中、小型企業組建***網絡。在該模式中,客戶不需要購買專門的隧道設備、軟件,由***服務提供商(NSP)提供設備來建立通道並驗證。然而,客戶仍然可以通過加密數據實現端到端的全面安全性。在該模式中,最常見的隧道協議有L2TP、L2F和PPTP。
(3)內部供應商(Intra-Provider)模式。
這也是一種外包方式,與上一種方式最大的不同就在於用戶對NSP的授權級別不同,這種模式非常適合小型企業用戶,因爲這類企業一般沒有這方面的專業人員,自身維護起來比較困難,可以全權交給NSP來維護。這是很受電信公司歡迎的模式,因爲在該模式中,***服務提供商保持了對整個***設施的控制。在該模式實現中,通道的建立和終止都是在NSP的網絡設施中實現的。對客戶來說,該模式的最大優點是他們不需要做任何實現***的工作,客戶不需要增加任何設備或軟件投資,整個網絡都由***服務提供商維護。最大的足也就是用戶自身自主權不足,存在一定的不安全因素。
4. ***的服務類型
根據***應用的類型來分,***的應用業務大致可分爲3類:Intranet***、Access ***與Extranet ***,但更多情況下是需要同時用到這三種***網絡類型,特別是對於大型企業。
(1)Access ***
Access ***又稱爲撥號***(即VPDN),是指企業員工或企業的小分支機構通過公網遠程撥號的方式構築的虛擬網。如果企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用Access***。
Access ***通過一個擁有與專用網絡相同策略的共享基礎設施,提供對企業內部網或外部網的遠程訪問。Access***能使用戶隨時、隨地以其所需的方式訪問企業資源。Access ***包括能隨時使用如模擬撥號Modem、ISDN、數字用戶線路(xDSL)、無線上網和有線電視電纜等撥號技術,安全地連接移動用戶、遠程工作者或分支機構。這種方式相對傳統的撥號訪問具有明顯的費用優勢,對於需要移動辦公的企業來說不失爲一種經濟安全、靈活自由的好方式,所以這種方式通常也是許多大、中型企業所必需的。當然它也可以獨自存在,如一些小型商務企業。
(2) Intranet ***
Intranet ***即企業的總部與分支機構間通過***虛擬網進行網絡連接。隨着企業的跨地區、國際化經營,這是絕大多數大、中型企業所必需的。如果要進行企業內部各分支機構的互聯,使用Intranet ***是很好的方式。這種***是通過公用因特網或者第三方專用網進行連接的,有條件的企業可以採用光纖作爲傳輸介質。它的特點就是容易建立連接、連接速度快,最大特點就是它爲各分支機構提供了整個網絡的訪問權限。
越來越多的企業需要在全國乃至世界範圍內建立各種辦事機構、分公司、研究所等,各個分公司之間傳統的網絡連接方式一般是租用專線。顯然,在分公司增多、業務開展越來越廣泛時,網絡結構趨於複雜,費用昂貴。利用***特性可以在因特網上組建世界範圍內的Intranet***。利用因特網的線路保證網絡的互聯性,而利用隧道、加密等***特性可以保證信息在整個Intranet***上安全傳輸。Intranet***通過一個使用專用連接的共享基礎設施,連接企業總部、遠程辦事處和分支機構。企業擁有與專用網絡的相同政策,包括安全、服務質量(QoS)、可管理性和可靠性。
(3) Extranet ***
Extranet ***即企業間發生收購、兼併或企業間建立戰略聯盟後,使不同企業網通過公網來構築的虛擬網。如果是需要提供B2B電子商務之間的安全訪問服務,則可以考慮選用Extranet ***。
隨着信息時代的到來,各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務,通過各種方式瞭解客戶的需要,同時各個企業之間的合作關係也越來越多,信息交換日益頻繁。因特網爲這樣的一種發展趨勢提供了良好的基礎,而如何利用因特網進行有效的信息管理,是企業發展中不可避免的一個關鍵問題。利用***技術可以組建安全的Extranet,既可以向客戶、合作伙伴提供有效的信息服務,又可以保證自身的內部網絡的安全。
Extranet ***通過一個使用專用連接的共享基礎設施,將客戶、供應商、合作伙伴或興趣羣體連接到企業內部網。企業擁有與專用網絡的相同政策,包括安全、服務質量(QoS)、可管理性和可靠性。
Extranet ***對用戶的吸引力在於:能容易地對外部網進行部署和管理,外部網的連接可以使用與部署內部網和遠端訪問***相同的架構和協議進行部署。主要的不同是接入許可,外部網的用戶被許可只有一次機會連接到其合作人的網絡,並且只擁有部分網絡資源訪問權限,這要求企業用戶對各外部用戶進行相應訪問權限的設定。典型網絡結構如圖1.5所示。
以上三種***模式,其實在後面將要介紹的Windows 2000系統中的***網絡中都統歸於兩種模式,即:遠程訪問***和路由器到路由器***,“遠程訪問***”對應於本節所介紹的Access ***(VPDN)模式,而“Extranet ***”和“Intranet ***”則可統歸“路由器到路由器***”模式。但是又不能完全這麼劃分,因爲不同系統中對***模式的分類標準和前提不太一樣,本節所介紹的這三種***模式是基於整個***網絡來劃分的,而在Windows 2000系統中的這種***模式劃分的前提是在純軟件方式下進行的。