04-构建VPN的方案概论.ppt

第4章 构建VPN 的方案 组建VPN应该遵循的设计原则 ?VPN的设计应遵循以下原则：安全性，网络优化，VPN管理等。 在安全性方面，由于VPN直接构建在公用网上，实现简单，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且在防止非法用户对网络资源或私有信息的访问。ExtrantVPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。安全问题是VPN的核心问题。 组建VPN应该遵循的设计原则 ?在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。? 组建VPN应该遵循的设计原则 在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。 VPN管理主要包括安全管理，设备管理，配置管理，访问控制列表管理，服务质量管理等内容。 对VPN的要求 VPN的可用性、安全性、可扩展性、可管理性、建设及运营成本。p63 成功的VPN方案满足的要求（安全解决办法） 用户验证：VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。 地址管理：VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 数据加密：通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。 密钥管理：VPN方案必须能够生成并更新客户端和服务器的加密密钥。 多协议支持：VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。 Access VPN方案 Access VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的访问。 Access VPN能使用户随时、随地以其所需的方式访问企业资源。Access VPN包括模拟、拨号、ISDN、数字用户线路 (xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如p69:图4-1所示。 Access VPN的优点 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。 实现本地拨号接入的功能来取代远距离接入，这样能显著降低远距离通信的费用。 极大的可扩展性，简便地对加入网络的新用户进行调度。 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务。 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。 Intranet VPN方案 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。 Intranet VPN的优点 减少WAN带宽的费用。  能使用灵活的拓扑结构，包括全网孔连接。 新的站点能更快、更容易地被连接。  通过设备供应商WAN的连接冗余，可以延长网络的可用时间。 Extranet VPN 方案 利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 　Extranet VPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。如图 Extranet VPN的优点 Extranet VPN结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。 三种主要的 VPN 解决方案的优点 根据VPN的服务类型，可以将VPN分为Access VPN、Intranet VPN和Extranet VPN三类。　 　　Access VPN　　◎ 减少用于相关的调制解调器和终端服务设备的资金及费用，简化企业网络结构； 　　◎ 实现本地拨号接入VPN的功能来取代长途接入或800电话接入，减少企业在长话费上的支出；　　◎ 简便地对加入网络的新用户进行控制和调动，提高了网络的扩展能力； 　　◎ 远端验证拨入用户服务，企业可以自主的控制认证信息；　　◎ 节省了企业在自主