缺點是:因為這種加密的VPN隧道對于服務提供商而言是透明的,在客戶端需要專用的撥號軟件,而且管理移動PC上的Ipsec客戶端軟件也是麻煩的事件。因此,大部分的服務提供曾幾何時會選擇VPN隧道作為其網絡一部分的形式,如下面所討論的那樣。
2.1.2 NAS發起的VPN
在NAS發起的VPN中,由服務提供商的POP中的NAS請求并創建到客戶公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)協議來建立到客戶Home Gateway的安全隧道。L2TP是不久前建立的標準,這個標準結合了Cisco公司的L2F和微軟公司的PPTP協議。對于Home Gateway來說,L2F或L2TP隧道表現得似乎用戶是直接撥號到公司內部網上。
表現得似乎用戶是直接撥號到公司內部網上。
在這種撥號VPN形式中,用戶認證公兩級處理。當用戶撥入時,首先由服務提供商NAS執行基本的認證,這個認證僅僅識別出用戶的公司身份。然后,NAS打開到用戶公司Home Gateway的隧道,由Home Gateway來執行用戶級的認證功能。
這種VPN形式有若干優點:對撥號用戶透明,用戶PC上無需特殊的客戶軟件,因而管理簡單化;由于是由服務提供商初始化隧道,他們可以提供優質的撥號VPN服務,如通過預留Modem端口,優先的數據傳送等手段保證撥號VPN用戶得到所需的服務;NAS可以時支持Internet或其他公用網絡和VPN服務;由于到某一目的的通信量全部通過單一隧道傳送,大規模部署將更具有可擴充性和管理性。
這種VPN形式存在的缺點有:
(1)當遠程用戶進入其它網絡時,需要重新撥號,并且只能以另一用戶名登錄。
(2)遠程用戶不能同時進入多個網絡。
2.2 專線VPN
2.2.1 基于IP Tunnel的專線VPN
VPN與常規的直接撥號網絡不同,在VPN中,PPP數據包流不是通過專用線路,而是通過共享IP網絡上的隧道進行傳輸。這兩者的關鍵不同點是隧道代替了實際的專用線路。如何形成VPN隧道呢?
隧道是由隧道協議形成的,這與流行的各種網絡是依靠相應的網絡協議完成通信沒有區別。為了傳輸來自不同網絡的數據包,最普遍使用的方法是先把各種網絡協議(IP、IPX和AppleTalk等)封裝到PPP里,再把這整個PPP數據包裝入隧道協議里。隧道協議一般封裝在IP協議中,但也可以是ATM或Frame Relay。由于隧道搭載的是PPP數據包(第二層),所以這種封裝方法稱為“第2層隧道”。用得很少的另一種方法是把各種網絡協議直接裝入隧道協議中(3Com公司的VTP就是這種隧道協議),由于隧道直接搭載第三層協議的數據包,所以稱為“第3層隧道”。
2.2.2 基于Vitual Circuit(虛擬電路)的VPN
服務提供商可以提供虛擬電路來建立IP VPN服務。用PVC在幀中繼(Frame Relay)和ATM網絡中建立點對點連接,并通過路由器來管理第三層的信息。電信運營商或者郵電局可以采用這種辦法,充分利用其現有的幀交換(如幀中繼)或信元交換(如ATM)基礎設施提供IP VPN服務。
在前面敘述的專線VPN和撥號VPN本質上都是通過在公共IP網絡中建立隧道(tunnel)來提供服務的。與之不同,基于虛擬電路的VPN通過在公共的幀或信元交換網絡上的路由來傳送IP服務,是使用PVC而不是tunnel來建立隱私性。因此,加密是不需要的。
這種形式的VPN具有如下優點:受控的路由器服務為具有幀或信元基礎設施的服務提供商提供一種便宜、快速的建立VPN服務的辦法;可充分利用FR CIR(Committed Information Rate)和ATM QoS來確保QoS能力;虛擬電路拓撲的彈性;連接無須加密。
它的缺點是:不能靈活選擇路由;比IP Tunnel的相對費用高;缺少IP的多業務能力(如Voice Over IP Video Over IP等)。
3 VPN技術的應用領域及典型應用
3.1 VPN應用的四個領域
企業內部網Itranet、遠程訪問、企業外部網Extranet、企業內VPN。另外,在很多涉及公司重要信息的傳輸及對數據完整性安全性要求比較高的場合,也大多選擇VPN技術。
3.2 VPN廣域網建設新的解決方案(即典型應用)
目前各行業網、專用網的應用主要有兩個方面:一是作為Internet或其他公用網絡的一部分,組織本行業是信息資源上網;二是作為一個內部網,為本行業、本系統的內部辦公自動化和業務處理系統服務。兩者都是采用Internet或其他公用網絡技術的IP數據通信。
對于各專用網絡兩種應用的第一種應用,其解決方案可以根據網絡的性質和信息資源的服務對象,各地就近接入當地的中國公用計算機互聯網(簡稱163網)或中國公眾多媒體通信網(簡稱169網),完全省去了用于連接跨省的DDN專線,只需在域名規劃和信息主頁設計中統一規劃,統一形象,把有限的人力和物力用于專業的信息資源開發和深加工。
對地第三種應用或兩者都有的應用,則各地就近接入當地的169網或163網,采用VPN技術,實現跨地區的數據通信,充分利用169網高速(155MATM)的跨省通信主干道,建設自己的內部網。其網絡結構如圖5所示。
圖中的VPN表示內部專用網段。由于內部網的敏感數據在公網傳輸進是加密傳,因此可以實現安全廉價的跨地域數據通信。
同樣,本解決方案也適用于企業的跨地域數據通信,實現集數據、語音和圖像于一體的廣域網解決方案。實際上在國外率先采用VPN技術的就是跨國、跨地區的大公司和一些行業的網絡。
4 VPN技術的市場前景分析
Internet的飛速發展、用戶數的迅猛增長以及Web通信量和個人域名注冊都加速了其發展勢頭。美國商業部預測到2010年加入互聯網的企業將會超過500尤。這清楚地描述了下世紀Intenet產生以及將會產生的影響。一些研究表明在下世紀將會有70%~80%的商務使用VPN設備。它們還指出,僅擁有200個遠程用戶美國某跨國公司棄專線而選用VPN后,僅僅4~5的時間就節省了150多萬美金。
公司希望花費不高的代價來傳輸商務信息。VPN在這方面起了很重要的作用,它提供了減少開支、提高服務、維護客戶基礎的方法。許多公司選用VPN傳輸商務信息的原因是:
(1)VPN以Internet做支撐;
(2)無論對商業客戶來說還是對私人客戶來說,使用Internet都是一種經濟可行的方式。
(3)Internet覆蓋全球;
(4)現在Internet傳輸效率極高,大多ISP能承受進行連接所帶來的負荷;
(5)VPN是靈活的、動態的、可升級的;
(6)VPN在可以利用公司硬件方面的現有投資。
雖然VPN在理解和應用方面都是高度復雜的技術,甚至確定其是否適用于本公司也一件復雜的事件,但在大多數情況下VPN的各種實現方法都可以應用于每個公司。即使不需要使用加密數據,也可節省開支。此外,在未來幾年里,客戶和廠商很可能會使用VPN,從而使電子商務重又獲得生機,畢竟全球化、信息化、電子化是大勢所趨。
