WikiBlog

服务类型

针对不同的用户要求，VPN根据服务类型有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

Access VPN

Access VPN，通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 xDSL、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如图示。 

Access VPN又分了2个类型

1. 客户发起的：是远程用户用软件通过ISP与企业建立一条安全隧道！(用户之间建立的VPN链路)
2. 网络接入服务(NAS：network access service )发起的：远程用户接入ISP时，NAS建立一条到企业网络安全的隧道，该隧道可能支持多个远程用户发起的会话！(内网的PC不知道有VPN的存在，他们发送的数据会通过路由器传向NAS，由NAS发送到目的网络)

Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。

Access VPN的优点如下：

• 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。
• 实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。
• 极大的可扩展性，简便地对加入网络的新用户进行调度。
• 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。
• 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

Intranet VPN

越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。如图示。

Intranet VPN的优点如下：

• 减少WAN带宽的费用。
• 能使用灵活的拓扑结构，包括全网孔连接。
• 新的站点能更快、更容易地被连接。
• 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。

Extranet VPN

随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图示。

• Extranet VPN结构的主要好处是：能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。
• 主要的不同是：接入许可外部网的用户被许可只有一次机会连接到其合作人的网络。

VPN的出现，解决了企业所面临的一大难题，即如何在有限的网络投入和管理工具条件下，提供较高的网络性能。借助于公共网络服务平台，VPN可以为企业提供廉价而广泛的通信；同时，通过各种安全技术的引入，可以保证通信的安全性。正如设计的初衷，VPN兼备了公众网和专用网的许多优点，将公众网低廉的价格、丰富的功能与专用网的高性能、高安全性结合在一起，成为构建企业专用网络的一种行之有效的解决方案。VPN业务作为一种能大幅减少网络开销，减轻企业负担，提高网络生产效率的有效方法，将逐渐取代采用专线构建企业专用网络的传统做法。

网络隧道协议

网络隧道是指在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。现有两种类型的网络隧道协议，一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建远程访问虚拟专网（Access VPN）；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专网（Intranet VPN）和扩展的企业内部虚拟专网（Extranet VPN）。第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议，如IP、IPX和AppleTalk，也可以支持多种广域网技术，如帧中继、ATM、X.25或SDH/SONET，还可以支持任意局域网技术，如以太网、令牌环网和FDDI网等。 另外，还有第4层隧道协议，如SSL VPN。

第二层隧道技术的起始点在网络接入服务器（NAS），终点在用户网设备（CPE）上。另外，在隧道内整个PPP帧都封装在内，PPP会话要贯穿到CPE界内的网关或服务器上。第三层隧道技术的起点及终点均在ISP界内， PPP会话终止NAS内，只携带第三层报文体，终接设备同时也作为CPE的网关。第三层隧道与第二层隧道相比，优点在于它的安全性、可扩展性及可靠性。从安全的角度来看，由于第二层隧道一般终止在用户网设备（CPE）上，会对用户网的安全及防火墙技术提出较严竣的挑战。而第三层的隧道一般终止在ISP的网关上，不会对用户网的安全构成威胁。从可扩展性角度来看，第二层IP隧道将整个 PPP帧封装在报文内，可能会产生传输效率问题。其次，PPP会话会贯穿整个隧道，并终止在用户网的网关或服务器上。由于用户网内的网关要保存大量的 PPP对话状态及信息，这会对系统负荷产生较大的影响，当然也会影响系统的扩展性。除此之外，由于PPP的LCP及NCP对时间非常敏感，这样，IP隧道的效率会造成PPP会话超时等问题。而第三层隧道终止在ISP网内，并且PPP会话终止在RAS处，网点无需管理和维护每个PPP会话状态，从而减轻系统负荷。

第二层隧道协议：

点对点隧道协议（PPTP）：是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows 95 和 Windows 98 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP，通过 Internet 安全链接到公司网络。但根据一群安全专家的研究，PPTP在实现上存在着重大的安全问题，它的安全性甚至比PPP（点到点协议）还要弱，因此PPTP协议存在着重大安全缺陷。

第二层转发协议（L2F）：用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。L2F协议的主要缺陷是没有把标准加密方法包括在内，因此它基本上已经成为一个过时的隧道协议。

二层的隧道协议（L2TP）：结合了Microsoft的PPTP和Cisco的L2F（二层前向转发）的优点。L2TP提供了一种PPP包的机制，特别适合于通过VPN拨号进入一个专用网络的用户。L2TP支持在各种网络连接上提供PPP包的封装，支持一个用户同时使用多个并发的隧道。它同样适用于非IP协议，支持动态寻址，是目前唯一能够提供全网状Intranet VPN连接的多协议隧道。

注意：

• 第二层协议对ＰＰＰ协议本身并没有做任何修改，只是将用户的 PPP帧基于GRE封装成IP报文。
• PPTP和L2TF均具有简单易行的优点，但是它们的可扩展性都不好。更重要的是，它们都没有提供内在的安全机制，它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求，因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制。
• PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。安全程度差，是PPTP/L2TF简易型VPN最大的弱点。
• PPTP和L2TP最适合用于客户端远程访问虚拟专用网，作为安全要求高的企业信息，使用PPTP/L2TP与明文传送的差别不大。
• PPTP/L2TP不适合于向Ipv6的转移。

第三层隧道协议：

IP安全(IPSec)：是IETF(Internet Engineer Task Force)完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。是目前支持最广泛的VPN协议。

注意：

• IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IP v6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即：
• 认证：用于对主机和端点进行身份鉴别。
• 完整性检查：用于保证数据在通过网络传输时没有被修改。
• 加密：加密IP地址和数据以保证私有性。
• IPsec是完全意义上的VPN，能直接与PKI、CA设备密切协同完成认证功能。IPSec的缺占是需要固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec；除了TCP/IP协议外，IPSec不支持其他协议。除了包过滤之外，它没有指定其他访问控制方法。另外，微软在windows中没有集成对IPSec的支持，因此，windows客户端需要专门的软件或硬件的支持。
• IPSec最适合可信的网关到网关之间的虚拟专用网，即企业广域网(Extranet)的构建。

通用的路由选择协议（GRE）：CISCO专用隧道协议，它会将IP，CLNP(无连接网络协议)等协议分组封装到IP隧道中，使用GRE协议时，CISCO路由器会将分组到IP头中，从而建立一条点到点的虚拟连接到目的CISCO路由器，目的端将IP头拆封

第二层和第三层之间隧道协议：

多协议标签交换（MPLS VPN）：MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道是十分容易的。同时，MPLS是一种完备的网络技术，可以用它来建立起VPN成员之间简单而高效的VPN。MPLS VPN适用于实现对于服务质量、服务等级划分以及网络资源的利用率，网络的可靠性有较高要求的VPN业务。用户边缘（CE）路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS，它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。提供者边缘（PE）路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器（LER），它需要能够支持BGP协议，一种或几种IGP路由协议以及MPLS协议，需要能够执行IP包检查，协议转换等功能。用户站点是指这样一组网络或多条PE/CE链路接至VPN。一组共享相同路由信息的站点就构成了VPN。一个站点可以同时位于不同的几个VPN之中。

注意：

• MPLS VPN是与IPsec同级的，同样由IETF制度的，与IPsec互补的VPN的标准。IETF IPsec工作组（属于Security Area部分）的工作主要涉及网络层的保护方面，所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密；而IETF MPLS工作组（属于Routing Area部分）则在从另一方面着手开发了支持高层资源预留、QoS和主机行为定义的机制。
• MPLS VPN广泛用于ISP直接向VPN客户提供专线VPN的服务。与IPsec的对比如下：