|
安全无价 带你揭秘联通无线VPN组网技术1.前言 随着经济的发展,企业网络日益扩张,客户分布日益广泛,合作伙伴日益增多。这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷。传统企业网是基于固定物理结构的专线连接方式,并且网络专用性强,扩展性能较差。企业的发展对其网络建设提出了更高的需求,主要表现在网络的安全性、灵活性、经济性、扩展性等方面。传统企业网已难以适应现代企业对网络发展的需求。于是在这样的背景下,VPN (Virtual Private Network)以其独具特色的优势赢得了越来越多的企业的青睐。利用运营商提供的VPN,企业可以较少地关注网络的运行与维护,而更多地致力于企业商业目标的实现。 联通网络作为提供公共网络服务的运营商,拥有丰富的网络资源,先进的技术,较强的网络维护力量,可利用VPN技术为拥有众多分支机构的企业用户提供更好更快捷的网络连接服务和灵活组网的关键技术和方法。 联通无线VPN是在MPLS封装隧道上再利用带加密选项的IPsec隧道封装构成,基于MPLS的隧道VPN由联通提供,IPsec隧道封装可以由联通提供也可以由企业根据自己的情况配置。本文深入调查联通公司无线VPN组网的技术原理和工程实现过程,在此基础上形成较有条理的技术文章。本文重点探讨如何在Internet上利用MPLS及工PSEC隧道封装构建联通无线VPN的技术和方法问题,并结合信息系统安全理论论述了利用MPLS及工PSEC构建VPN的安全性能。 2. VPN的概念 VPN是英文Virtual Private Network的缩写,其中文意思为“虚拟专用网络”或“虚拟私用网络”。顾名思义,这种“专用”或“私用”网络是一种技术虚拟。也就是说,VPN通过共享的公共通信基础设施为用户提供网络连接。当一个组织机构利用这种虚拟连接技术组成自己的“专用”网络时,在这个专用网络内,所有用户共享相同的安全性、优先权服务、可靠性和可管理性等策略。因此,VPN既能在因特网上通过配置形成,也可建立在ISP现有的IP、帧中继和ATM等基础通信网络设施上。 从经济利益考虑,VPN具有节省远程访问的长话费、网络设备运行和维护管理费、快速连接、简便和简化WAN连接管理的优势。
用于构建VPN的公共网络包括帧中继、ATM等。在公共网络上组建的VPN如企业现有的私有网络一样提供安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的固定网络拓扑而言的。例如,对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用共享通信基础设施来实现远程的广域连接。通过VPN,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴,如图2. 1所示 由图可知,企业内部资源享用者只需连入本地工SP的POP (Point Of Presence,接入服务提供点),即可相互通信,而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有本地工SP的_L网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。 2.1 VPN的类型 VPN分为三种类型:访问性VPN (Access VPN)、内联网VPN(Intranet VPN)和外联网VPN (Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。 2.1.1访问型VPN (Access VPN) 这种VPN用于对公司内联网或外联网进行远程访问,使用户在任何时候、任何地方都可访问公司信息系统资源。远程用户、移动用户和分支机构等可以经过拨号、ISDN, XDSL、无线和电缆技术进行远程虚拟连接。Access VPN包括客户机启动和网络访问型启动两种连接方式。 Access VPN最适用于公司内部经常有流动人员远程办公的情况。例如,公司的外地出差员工需要从公司总部提取一定的关于客户的重要资料,一般情况就只能利用MODEM拨号方式连入公司的Intranet上,利用Telnet, FTP或是其它网络服务获得资料。这种情况下企业必须负担昂贵的长途电话费用,同时这些客户资料的安全性得不到有力的保证,容易在传输的过程被截获,而这些资料更不能在WWW等不安全的地方放置。 如果采用Access VPN的组网模式就可以很好的解决这个问题,如图2. 2所示。出差员工利用当地ISP提供的VPN服务就可以和公司的VPN网关建立私有的隧道连接,Radius服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。 2. 1. 2内联网VPN (Intranet VPN) Intranet VPN通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。它通过在共享的通信基础设施上使用“虚拟专用”方式,将团体总部、远程办事处和分支机构连接起来,在业务处理上享受包括安全性、服务优先权和可管理性在内的同一安全策略,形成一个团体内部的“虚拟专用”网络。 2. 1. 3外联网VPN (Extranet VPN) 它通过在共享的通信基础设施上使用“虚拟专用”方式,将客户、供应商、合作伙伴和有共同利益关系的团体、个人与某一团体的内联网连接起来,在业务处理上享受包括安全性、服务优先权和可管理性在内的同一安全策略,形成一个团体与外部合作者之间的“虚拟专用”网络。 2.2本文重点研究对象 利用己有公共网络基础设施,构建各种目的的VPN是目前网络应用的趋势,隧道、加密和路由过滤等是目前组建这些VPN的基本技术。其中,隧道技术为构建VPN的主流技术。 本文重点研究作者参与的联通公司无线VPN组网的技术分析和工程实现,联通无线VPN是在MPLS封装隧道上再利用带加密选项的IPsec隧道封装构成。基于MPLS的隧道VPN由联通提供,IPsec隧道封装可以由联通提供也可以由企业根据自己的情况配置。本文重点探讨如何在Internet上利用MPLS及IPSEC隧道封装构建联通无线VPN的技术和方法问题,并结合信息系统安全理论论述了利用MPLS及工PSEC构建VPN的安全性能。 【相关文章】 责编: 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|