来源:蜘蛛抓取(WebSpider)
时间:2012-07-13 10:28
标签:
虚拟专用网设置
★学员首选北大青鸟校区 ★湖北省权威安卓工程师培训基地 ★唯一拥有IT体验馆、课程专业最全、规模最大校区 ★湖北唯一连获全国教学质量奖
VPN客户端不能访问VPN服务器以外的资源故障-武汉北大青鸟技术
为什么VPN客户端不能访问VPN服务器以外的资源?北大青鸟武汉宏鹏鲁广校区给出解答。
答:出现这种现象,其原因也可能是多方面的,下面也分别加以分析和解决方法的介绍。
(1)远程访问VPN客户端使用的LAN协议不允许访问VPN服务器连接的网络。
如果是这种原因,则重新配置远程访问VPN客户端使用的LAN协议,以允许对VPN服务器所连接的网络进行访问。也可能是受VPN客户在公司网络中的权限限制所致,需重新在VPN所在网络上配置对应的VPN客户权限。
(2)已经配置静态IP地址池,但是没有路由返回到远程访问VPN客户端。
解决方案:如果VPN服务器配置为使用静态IP地址池,请验证Intranet的主机和路由器可以访问到由该静态IP地址池定义的地址范围的路由。如果没有,则由静态IP地址池的地址范围组成的IP路由(由该范围的IP地址和掩码定义)必须添加到Intranet路由器,或者必须启用VPN服务器上路由基础结构的路由协议。如果到远程访问VPN客户端子网的路由不存在,远程访问VPN客户端将无法从Intranet接收通信。网络路由通过静态路由入口或者通过路由协议来实现,例如开放式最短路径优先(OSPF)或路由信息协议(RIP)。
如果VPN服务器配置要使用DHCP来分配IP地址,但没有可用的DHCP服务器,则VPN服务器将从&自动专用IP寻址(APIPA)&地址范围(从169.254.0.1到169.254.255.254)中分配地址。只有连接VPN服务器的网络也使用APIPA地址,才可以为远程访问客户分配APIPA地址。
如果VPN服务器要在DHCP服务器可用时使用APIPA地址,请验证是否选择了要获得DHCP分配IP地址的正确适配器。在默认情况下,VPN服务器随机选择通过DHCP获取IP地址的适配器。如果存在多个LAN适配器,路由和远程访问服务可能会选择没有可用的DHCP服务器的LAN适配器。
如果静态IP地址池包含一系列VPN服务器所连接的网络的IP地址范围的子集,请验证静态IP地址池的IP地址范围没有通过静态配置或DHCP指派给其他TCP/IP节点。
静态IP地址池的创建参见图10-14和图10-15两个对话框。
(3)远程访问策略配置文件中的数据包筛选器阻止IP通信流。
解决办法是验证在VPN服务器(如果使用Internet验证服务,则是RADIUS服务器)的远程访问策略配置文件属性,发现没有配置TCP/IP数据包筛选器阻止发送或接收TCP/IP通信。
可以用远程访问策略来配置TCP/IP输入和输出数据包筛选器,这些筛选器控制着由VPN连接许可的TCP/IP通信的准确性质。验证配置文件TCP/IP数据包筛选器不阻止需要的流量。
&&&&&&& 想了解更多请继续关注。
------分隔线----------------------------
全国咨询热线:027-
武汉宏鹏鲁广北校区地址:武汉洪山区珞喻路鲁巷武汉数码港3楼(鲁巷广场隔壁)
Inc. All Rights Reserved.&&&&用KWF打造与众不同的VPN服务器_百度经验
&&&&&&&&&电脑软件
分享有回报:
用KWF打造与众不同的VPN服务器
大家常用Windows系统的“路由和远程访问”组件架设VPN服务器,但此方法配置较为复杂。如果能将网络防火墙和VPN功能集成在一起,就可以简化架设过程,并且还可以利用防火墙策略增强VPN服务的安全。Kerio Winroute Firewall(以下简称KWF)就是这样一款工具,它内置了VPN服务器,并且还可以利用KWF的内置功能增强安全、方便VPN管理,如何利用KWF架设VPN服务器,下面就一起来看吧!
安装VPN服务器 KWF内置了VPN服务,并且VPN服务的安装过程非常简单,不需要对它进行单独配置,VPN服务的安装和KWF防火墙的安装是同步进行的。从.cn/download/WinRoute-Firewall-Antivirus.exe下载KWF软件,它可以应用于Windows 2000/XP/2003系统中,运行KWF防火墙安装程序,默认情况会安装VPN服务,还要记得在“管理员账号”对话框中为管理员账号设置初始密码,就能完成VPN服务的安装。 小提示:在安装VPN服务器过程中,会弹出“Kerio VPN Adapter驱动程序没有通过Windows徽标测试……”的对话框,不必理会该错误提示,点击“仍然继续”按钮即可。
配置VPN服务器 1. 启动VPN服务 重新启动Windows系统,完成VPN服务器的安装,但这时VPN服务还没启动。双击系统托盘中的“KWF图标”,弹出控制台登录对话框,在“Host”栏中选择“Localhost”,接着在“Username”和“Password”栏中输入管理员账号和密码,点击“Connect”按钮,即可登录到KWF控制台。 启动VPN服务也是全自动的,第一次登录KWF控制台会弹出“Network rules Wizard”对话框,接着就一路点击“下一步(Next)”,但要确保在第五页中选择“Yes,I want to use Kerio VPN”选项,最后点击“Finish”按钮,就完成VPN服务的启动。 2. 配置VPN参数 完成了VPN服务的启动后,接下来还要简单配置下VPN参数。在KWF控制台左侧框体中依次点击“Configuration→Interfaces”选项,接着在右侧框体中双击“VPN Server”项目,弹出VPN Server属性配置对话框,切换到“General”标签页。默认情况下,VPN服务会为VPN客户随机生成一个和你本地内部网络不同的C类网络地址,但这个网络地址未必能满足需要,你可以根据自己需要进行手工修改。 为了保证VPN网络的安全,VPN服务还会使用“SSL Certificate”加密网络中的信息,并且这个证书是VPN服务自动生成的。如果想修改“SSL Certificate”也很简单,点击“General”标签页下方的“Change SSL Certificate”按钮,弹出“Server SSL Certificate”对话框(如图1),点击“Generate Certificate…”按钮,然后输入SSL证书信息,最后点击“OK”按钮,就生成了一个新的证书。 要修改VPN服务的监听端口也很简单,默认使用“4090”。切换到“Advanced”标签页,在“Listen on port”栏中输入新的端口值即可。 完成以上VPN参数设置后,记得点击VPN Server属性配置对话框中的“OK”按钮,保存修改设置。 3. 创建VPN账号 虽然以上完成了VPN服务的启动和参数配置,但这时VPN客户还是不能登录VPN网络,需要合法的用户账号。 在KWF控制台窗口中,依次点击“Users and Groups→ Users”后,就可以在右侧框体中创建VPN账号。点击“Add”按钮,弹出账号创建向导对话框,在“Name”栏中输入VPN账号,如“CCE1VPN”,接着在“Authentication”下拉列表框中选择“Internal user database”项,然后还要两次输入VPN账号密码。 两次点击“Next”按钮后,进入到用户权限设置对话框,这里要根据实际需要指定用户的权限,但必须要选中“User can connect using VPN”项,否则VPN用户就无法连接VPN服务器。 点击“Next”后,进入“限额”对话框,在这里可以对VPN用户的网络流量进行限制,如限制“CCE1VPN”账号每天的总流量为100MB,这里一定要选中“Enable daily limit”选项,然后在“Direction”下拉列表中选择“all traffic”,在“Quota”栏中输入“100”,单位选择“MB”,这样就完成该用户的流量限制。点击“Next”后,对内容策略进行设置,对于VPN用户来说,KWF防火墙默认是不允许通过KWF上网的,这里使用默认值即可。 点击“Next”按钮后,进入到“自动登录”设置对话框,如果对“CCE1VPN”账号使用的IP地址没有特殊限制,可以不进行任何限制,最后点击“Finish”按钮,完成VPN账号的创建。 4. 自动生成VPN流量策略 当KWF启动了VPN服务后,就会发现在控制台的“Traffic policy”框体中多出两条关于VPN服务的策略,它的作用就是允许外部的VPN用户访问VPN服务,以及允许VPN 客户和内部网络相互访问。无需要手工配置,就自动完成了VPN服务的公网发布。
经验内容仅供参考,如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士。
第1期你不知道的iPad技巧1324次分享
第1期win7电脑那些事2242次分享
第2期新人玩转百度经验353次分享
第1期Win8.1实用小技巧1057次分享
第1期小白装大神503次分享
请扫描分享到朋友圈您好,欢迎访问BBS!
企业VPN虚拟专用网技术研究
发表日期: 18:58:46
&&级别:150
&&个性签名:路漫漫其修远兮,吾将上下而求索!
企业VPN虚拟专用网技术研究
王 鸿 波&&
&&&【摘要】 针对目前企业网的深入应用与发展,本文主要引出企业级VPN虚拟专用网实现的核心安全技术如:隧道技术、加密技术、密钥管理技术以及身份认证技术重点展开论述,提出了目前较流行的运用VPN技术实现低成本、高安全的企业网络互连及远程访问的解决方案,并分析其应用原理及特点。
&【关键词】& VPN& 隧道 信息安全 网络互连 远程访问
&【引言】 随着企业分支机构跨地域广泛分布运作、企业远程数据通信量日益剧增,企业外出员工、分支机构需要随时随地访问中央资源;企业合作伙伴相互之间也要需要及时有效的交互电子商情,以达到增进相互了解、相互合作、共同发展的目的。对于远程分支机构,访问位于企业总部的信息资源时可以借助互联网进行;同时,企业派出异地的差旅人员也需要随时随地的通过Internet远程访问企业内部网或登录企业OA系统以满足移动办公的需求。由于互联网的开放性及Ipv4协议的脆弱性无法保证在公网上传输涉密信息的安全性。采用VPN技术解决方案,在Internet上建立一个安全的私有通道,形成一个跨越Internet的扩展企业网,则能经济、灵活的实现虚拟专网用户、企业分支机构、合作伙伴之间的互联互通和远程访问。
一.VPN概述
虚拟专用网(Virtual Private Network VPN)是一种基于Internet服务提供商(ISP)或其他网络服务提供商(NSP)的公用网络所建立起来的专用数据通信网。顾名思义,VPN不是真正的专用网络,但却能够实现专用网络的功能。在虚拟专用网VPN中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用Internet或其他公用网络的资源动态组成的。所谓虚拟专用网,是指用户无需拥有实际的长途数据线路,而是通过Internet公众数据网的长途数据链路,采用隧道和加密技术在公共数据网上防真出一条类似于点到点连接的、符合自己安全需求的私有网络,以实现分布在异地企业内部网间的互连互通和远程访问。VPN对用户透明,用户感觉不到公网的存在,仿佛使用一条专用线路在用户计算机和企业服务器之间进行安全可靠的数据传输。
二.VPN的特点:
1.安全保障
VPN是基于不安全、不可靠的面向无连接的公用IP网络上建立一个逻辑的、点对点的隧道连接,利用高强度加密和认证技术(如:3DES、AES)对经过隧道传输的数据进行安全封装,以保证数据仅被指定的发送者和接收者所掌握,从而确保了数据的私有性和机密性。
2.服务质量保证(Qos)
VPN网络针对企业数据的特点,按需提供不同等级的服务质量保证。不同的用户和业务对服务质量的要求差别较大,主要体现在网络资源的利用方面。因此构建VPN的另一重要考虑是充分有效地利用有限的广域网资源,为不同的业务数据按需提供可靠的带宽。广域网流量的不确定性往往使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时响应,或者是“饿死”低优先级的应用;而在流量低谷时又造成大量的网络带宽空闲。引入Qos技术,能通过流量预测与流量控制策略,按照数据包优先级的不同按需分配带宽资源,实现带宽的动态管理,使得各类业务数据能够被及时合理的按序传输,以预防阻塞的发生。
3.可扩充性和灵活性
VPN能够支持通过Intranet和Extranet任何类型的业务数据流,方便增加新的节点,扩展容易,可以满足融合语音、图象和数据等新应用对高质量传输及带宽的需求。
4.可管理性
在VPN管理方面,VPN要求企业将其网络管理功能从企业内部网无缝地延伸到外部网,甚至是客户和合作伙伴。虽然一些次要的网络管理任务是由ISP去完成,但是企业自己仍需要担任许多网络管理工作。所以,一个完善的VPN管理系统是必不可少的。VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、Qos管理等内容。其管理目标为:减少网络安全风险、提高可扩展性、经济性、可靠性等。
三.现代企业对VPN的需求分析
21世纪,是全球经济向着经济全球化和全球贸易一体化方向高速发展的阶段,而激励这场全球化的商务贸易革命和经济革命的最佳途径是发展基于Internet的电子商务应用。因此大型企业的公司业务范围逐渐从本地扩展到跨地区、跨城市甚至全球。同时企业分布在世界各地的办事处、分支机构以及跨国公司业务迅速拓展,远程访问和移动办公需求不断增长,也随着全球商务活动的日益频繁,国内外企业开始注重其客户、合作伙伴、供应商能够随时随地的访问自己企业的局域网,从而增进相互了解、相互合作、共同发展。核心的企业信息系统必须依托于互连互通的网络平台才能够真正发挥其应有的效能。而基于Internet的这些联系和合作给人们带来便利的同时,也给企业信息系统带来了管理和安全方面的隐患。依赖租用昂贵的数字专线或帧中继虚电路的传统互连方案,已经不能经济、高效、灵活的实现跨地域、跨行业网络互连互通的需求。
企业级VPN虚拟专用网,基于Internet广域网资源,是一个实现容易、高度安全、花费低廉、接入灵活的综合解决方案。保障异地网络通信及数据交换的安全与高效,企业拥有完全自主的“专用”网络基础设施,逐渐成为企业跨地域跨行业网络安全互连的主要技术手段。
四.VPN的安全技术
由于要在开放的公共网络中传输私有信息,VPN用户对数据的安全性必须做到万无一失。目前VPN主要采用四项技术来保证数据传输的安全性。
1. 隧道技术(Tunneling)
隧道技术是实现VPN的关键技术之一,类似于点对点连接,它是在公用网络上建立一条安全的、私有的数据通道(即:隧道),让数据包通过,就好比在深海中开通一条海底通道一样,让列车安全的穿越海底。VPN隧道是由第二层或第三层隧道协议建立的。
第二层隧道技术是基于数据链路层的,它是把上层的数据报先封装成PPP协议格式,再把PPP协议数据包封装在隧道协议中,以数据链路层帧的形式传输,第二层的隧道协议主要有L2F、PPTP、L2TP等。目前,国际广泛采用的第二层隧道协议标准是L2TP,它融合了思科的转发L2F隧道协议和微软的点对点隧道协议PPTP的优点,可支持多种协议,且运行在无连接的UDP协议上,节约了许多TCP协议中的同步控制、差错检测、丢失重传等通信开销,使其传输速度得到了很大程度的提高,但L2TP协议本身没有任何加密措施,而且也不具备认证机制。第二层隧道协议主要用于构建远程访问的虚拟专网,即:Access VPN。
图1是用L2TP协议建立的隧道,图中LAC是ISP服务商的L2TP访问中心,该中心可接受多个L2TP用户访问,然后向LNS发起隧道建立呼叫,LNS是企业内部网Intranet的L2TP网络服务器。
图1 L2TP隧道
L2TP协议建立隧道的过程:
1.远程用户A通过本地环路连接ISP,并初始化一个到本地ISP的PPP连接。
2.ISP网络的L2TP访问中心LAC接受该连接,并建立PPP链路。
3.远程用户A和LNS协商链路控制协议LCP建立连接的过程中,LAC使用CHAP或PAP对用户A进行认证,包括用户名、密码的验证,以确定该用户是否为VPDN的客户。
4.隧道终端点、L2TP访问中心LAC和LNS互相认证通过后建立隧道,之后系统就为用户A建立一个L2TP会话;LAC将有选择地传播CHAP/PAP认证了的信息到L2TP网络服务器LNS,LNS将过滤这些商定选项并将其和认证信息直接送到虚拟访问接口。
5.若在虚拟板接口上配置的选项与L2TP访问中心LAC的商定选项不匹配,则连接失败,并向L2TP访问中心LAC发出短开的信号。若在路由器虚拟模板接口上配置的选项与L2TP访问中心LAC的商定选项相匹配,则连接成功,VPDN建立。在用户A拨号点和LNS之间出现独占的交换过程,LAC向用户透明,用户好像直接拨号到了LNS,感觉不到LAC的存在。
第三层的隧道技术是把网络层的协议数据单元直接封装在IPSec隧道协议中,从而把安全机制引入IP协议,在网络层提供安全保障,其基本思想是通过使用现代密码学对网络层的IP协议增加两个基于密码的安全机制--认证头(AH)和封装安全载荷(ESP)来支持IP数据项的可认证性、完整性和保密性,前者主要提供认证和数据完整性,而后者主要实现保密通信,另外还使用了密钥管理协议来定义通信实体间的身份认证、创建安全关联、协商加密算法以及生成可共享的会话密钥等。IPSec在隧道模式下可对整个IP包进行封装,以形成一个新的IP包,在新IP报的首部重新加入IP路由信息,其目的是为了让路由器选路由。在传输模式下只对上层协议数据单元进行封装,并对ESP内的绝大部分数据进行加密,这里不同于隧道模式的是封装时让出了IP报头,其目的也是为了让路由器识别路由。两种IPSec协议AH和ESP都可工作在传输模式或隧道模式下。第三层隧道协议主要用于构建企业内部虚拟专网,如:Intranet VPN 以及扩展的企业内部虚拟专网Extranet VPN。
IPSec协议隧道建立过程:
1. IPSec过程启动:根据配置在IPSec对等实体(公司总部主机和分支机构主机)中的IPSec安全策略,指定要被加密的数据流,如:是封装整个IP数据包或只封装上层协议数据TCP,启动IKE过程。
2. IKE阶段1:IKE通过认证IPSec对等体,就发送方和接收方要使用的密钥、认证、加密算法等安全参数进行一致性的协定,即:协商IKE安全关联SA,并为协商IPSec安全关联的参数建立一个安全的传输通道用于交换这些安全参数。
3. IKE阶段2:IKE利用已建立的安全通道协商IPSec的SA参数,并在对等体间建立起与之匹配的IPSec SA。也是就是说双方将达成一致,采用什么密钥、加、解密算法对隧道上的数据进行加、解密。
4. 数据传输:根据已协商并存于SA数据库中的IPSec参数和密钥,在IPSec对等体间所建立的隧道上安全的传输机密数据。
5. IPSec隧道终止:通过删除或超时机制结束IPSec SA。
虽然IPSec能提供很好的安全服务,但其认证机制还不完善,而且只支持IP协议,L2TP协议由于工作在数据链路层,本身能够支持多种协议,但缺少加密和认证机制。一种较为理想的VPN应用技术是将L2TP与IPSec各自的优势互补集成起来,采用L2TP作为隧道协议,而使用IPSec协议来保护数据。对L2TP来说,首先使用了UDP协议封装,再将整个UDP协议数据单元使用IP协议进行二次封装,接着IP层的协议数据又进行了安全封装,形成加密的ESP,最后把它做为数据链路层的帧发送。
2. 加解密技术(Encryption & Decryption)
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。加密技术可以在OSI (开放系统互连)参考模型的任意协议层上进行,如:在网络信息包的应用层和传输层之间采用的加密方案是SSL(安全套接字),它能保证应用层到传输层报文数据的机密性和完整性;而在网络层中常采用的加密标准是IPSec,其基本思想是通过使用现代密码学领域所研究的高强度加密和认证算法如:3DES、AES等对网络层的IP数据包进行加密封装,然后通过不安全的公网传输到对端。在网络层上最安全的加密的方案是主机之间的端到端加密,即:从信源到信缩的全程加密;另外还有“隧道模式”的加密,即:加密只在路由器间进行,而主机与相邻的第一路由之间通常不进行加密处理,这是粗粒度的VPN安全策略;在数据链路层,目前还没有制定统一的加密标准。IPSec非常适合提供基于主机之间、网关之间以及主机与网关之间的安全服务,可以用来在不安全的Internet中建立安全的IP通道和虚拟专网。可以说VPN的加密技术和隧道技术相辅相成,是研究和解决VPN安全问题的关键。
3. 密钥管理技术(Key Management)
既然VPN是加密通信,这就要求通信双方事先要产生、交换加、解密密钥,因此在密钥管理中依赖秘密信道对密钥进行分发一直是个令人头疼的问题,一旦密钥被第三方窃取,就如同丢失钥匙的保险锁,加密就没有任何意义了,而密钥管理技术的主要任务就是解决如何在公用数据网上安全地分发密钥不被窃取。目前基于VPN的密钥管理协议主要有SKIP、ISAKMP/Oakley、IKE等。这几种密钥管理体制都不需要通信双方进行密钥分发的额外信道。在VPN应用系统中,SAKMP/Oakley和IKE协议都将使用专门的密钥管理信息包来传送双方所需要的密钥,然后才能进行安全通信。而且还需要建立起双方之间的安全关联。它们的优点是都能提供较高的安全性,但由于需要专门的密钥管理信息包,在频繁的密钥更新过程中往往会带来较大的通信开销,因此它们都不适合在高速网络环境下进行理想的密钥管理。而SKIP协议是服务于面向无会话的数据报协议,如IPv4和IPv6的密钥管理机制,它是基于内嵌密钥的密钥管理协议,采用Diffie-Hellman算法。每个数据报都被一个密钥加密,这个密钥包含在数据报中,但同时又被另一个事先已被通信双方共享的公开密钥加密。SKIP协议使用经过认证对方的公钥值和自己的私钥来生成双方可共享的密钥,在每个VPN通信包中都含有该密钥信息,这样,可以实现一包一密钥,并能随时实现密钥的更新,而不需要专门的密钥管理信息包,不会带来较大的通信延迟,特别适合密钥更新非常快的高速VPN环境下的应用。
4. 身份认证技术(Authentication)
最常见的是对使用者用户名与密码或身份认证卡等方式进行认证,当然也可根据信息系统的密级,采用企业网络的用户验证系统如:PKI、RADIUS服务器进行高级身份认证。
五.VPN的解决方案
目前,VPN有三种可选的解决方案,分别是:
. 远程访问虚拟网(Access VPN)
. 企业内部虚拟网(Intranet VPN)
. 企业外部虚拟网(Extranet VPN)
这三种类型的VPN解决方案基本上满足了目前企业网的深度应用与发展需求,是企业网采用VPN技术实现拓展和延伸的最佳技术方案。图2是VPN的网络结构。
图2 企业VPN网络拓扑结构图
&&&&&&& 1.AccessVPN
如果企业的内部人员有移动或远程办公的需要,或者商家要提供B2C的安全访问服务,就可以考虑使用Access VPN。
Access VPN又称虚拟专用拨号网络(Virtual Private Dial Network,VPDN),通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。Access VPN能使用户随时随地以其所需的方式访问企业资源,包括拨号、ISDN、数字用户线路(xDSL)、移动IP和3G无线接入技术。与使用专线连接企业的网络接入服务器(NAS)不同,虚拟专网用户首先拨通本地ISP的NAS,然后客户端的VPN软件利用与本地ISP建立的连接,在虚拟专网用户和企业总部的VPN中心网关之间建立一个跨越Internet或其他公共互连网络的虚拟专用网络。
Access VPN最适用于公司内部经常有外出人员移动办公的情况,出差员工无论身居何处,都能够利用当地ISP提供的VPN服务和公司总部的VPN中心网关建立私有的隧道连接,从而随时随地的访问企业内部资源、OA系统等。
Access VPN 的特点在于能够以灵活、安全的方式满足随时随地移动办公的需求,并减少用于相关的专线费用和终端设备投资,简化网络结构。
2. Intranet VPN
如果要进行企业内部各分支机构网络的互连,使用Intranet VPN是很好的方式。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络相同的安全政策、服务质量(Qos)、可管理性和可靠性。
越来越多的企业需要在全国乃至全球范围内建立各种办事处、分公司、研究所等,各分支机构之间传统的网络连接方式一般是租用专线。显然,在分支机构增多、业务规模越来越广泛时,网络结构就过于复杂、运维费用昂贵。在基于Internet的互联网上组建全球范围内的Intranet VPN,是利用现有Internet的数据线路保证各分支机构网络之间的互连互通,而利用VPN的隧道、加密技术就可以保证企业信息在整个Intranet VPN上安全传输。不同与分支机构端的路由器使用传统专线连接企业总部的网络接入服务器NAS的方式,分支机构端的VPN安全网关先通过拨号方式连接本地ISP。然后根据双方所配置的安全策略,在分支机构VPN安全网关和企业总部VPN中心网关之间创建一个跨越Internet的虚拟专用网络。
以上两种方案中,是通过使用本地设备在基于Internet的互联网上建立分支机构和企业总部之间的VPN连接。无论是在客户端还是服务器端都是通过拨号方式连接本地ISP,因此VPN可以大大节省广域网专线连接的费用。建议企业总部的VPN中心网关使用专线接入本地ISP。且必须全天候对VPN数据流进行监听。
3. Extranet VPN
如果是提供B2B之间的安全访问服务,则可以考虑使用Extranet VPN。 Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣群体连接到企业内部网。企业网拥有与专业网络的相同策略,包括安全、服务质量(Qos)、可管理性和可靠性等。
随着信息时代的到来,各个企业越来越重视各种信息的处理,通过各种方式了解客户的信息需要,并希望以最快捷的方式提供给客户。同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题.利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证企业自身内部网络的安全。Extranet VPN的特点是:能容易地对外部网进行部署和管理,使用与部署内部网和远程访问VPN相同的架构和协议;主要的不同是接入许可,外部网的用户每次都只有被许可时才能有机会连接到其合作人的内部网络。
VPN专网以低成本、高安全的网络互连互通技术方案,可以保持企业分支机构与总部之间方便快捷的业务联系,促进企业跨地域、跨国界的远程业务发展;同时,VPN专网能够方便实现企业数据的分布采集和集中管理,保障信息安全和应用无限扩展,为企业网的可持续发展搭建更为强大、安全的平台支持。
&&& 主要参考文献:
1. 雷震甲 主编 《网络工程师教程》 清华大学出版社2004年7月第一版
2. 王宝会等主编《计算机信息安全教程》 电子工业出版社2007年6月第一版
回复此帖:
