第4章构建VPN的方案一起交流共同进步2组建VPN应该遵循的设计原则VPN的设计应遵循以下原则:安全性,网络优化,VPN管理等。在安全性方面,由于VPN直接构建在公用网上,实现简单,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且在防止非法用户对网络资源或私有信息的访问。ExtrantVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。安全问题是VPN的核心问题。一起交流共同进步3组建VPN应该遵循的设计原则在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。一起交流共同进步4组建VPN应该遵循的设计原则在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。VPN管理主要包括安全管理,设备管理,配置管理,访问控制列表管理,服务质量管理等内容。一起交流共同进步5对VPN的要求VPN的可用性、安全性、可扩展性、可管理性、建设及运营成本。p63一起交流共同进步6成功的VPN方案满足的要求(安全解决办法)用户验证:VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。地址管理:VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。数据加密:通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。密钥管理:VPN方案必须能够生成并更新客户端和服务器的加密密钥。多协议支持:VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。一起交流共同进步7AccessVPN方案AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。如p69:图4-1所示。一起交流共同进步8AccessVPN的优点减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络。实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用。极大的可扩展性,简便地对加入网络的新用户进行调度。远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务。将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。一起交流共同进步9IntranetVPN方案越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。一起交流共同进步10IntranetVPN的优点减少WAN带宽的费用。能使用灵活的拓扑结构,包括全网孔连接。新的站点能更快、更容易地被连接。通过设备供应商WAN的连接冗余,可以延长网络的可用时间。一起交流共同进步11ExtranetVPN方案利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。一起交流共同进步12ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。如图一起交流共同进步13ExtranetVPN的优点ExtranetVPN结构的主要好处是,能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。一起交流共同进步14三种主要的VPN解决方案的优点根据VPN的服务类型,...
