浅谈虚拟专用网络

信息安全结课论文题目：浅谈虚拟专用网络院系：物理工程学院年级：2011专业：物理学学号：20112210114姓名：李淑荟日期：2013年6月2日浅谈虚拟专用网络【摘要】本文以初学者的角度简单的探讨虚拟专用网络，就什么是虚拟专用网络技术，虚拟专用网络技术的功能是什么，它有那些特点及优缺点，它的分类、实现方式及应用技术等方面进行了介绍。并且给出了多种设备连接虚拟网络的步骤。【关键词】虚拟专用网络技术概念功能特点实现方式（一）虚拟专用网络技术的概念、原理虚拟专用网络（VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。虚拟专用网络技术属于远程访问技术，简单地说就是利用公网链路架设私有有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用数字数据网专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户与远端个人用户而言，一般通过易特网进入企业的局域网，而这样必然带来安全上的隐患。(二)功能在网络中，服务质量是指所能提供的带宽级别。将服务质量融入一个虚拟专用网络，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：■信息包分类信息包分类按重要性将数据分组。数据越重要，它的级别越高。当然，它的操作也会优先于同网络中相对次要的数据。■带宽管理通过带宽管理，一个虚拟专用网络管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。其他的带宽控制形式还有：■通信量管理通信量管理方法的形成是一个服务提供商在因特网通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。■公平带宽公平带宽允许网络中所有用户机会均等地利用带宽访问因特网，通过公平带宽，当应用程序需要用更大的数据流，例如MP3时，它将减少所用带宽以便给其他人访问的机会。■传输保证传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因此，远程办公还有待发展，虚拟专用网络管理员在维护带宽上还有许多问题。然而，新技术对服务质量的补充将会帮助网络管理员解决这个问题。（三）特点◆安全保障虚拟专用网络通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有性和安全性。◆服务质量保证虚拟专用网络可以为不同要求用户提供不同等级的服务质量保证。◆可扩充、灵活性虚拟专用网络支持通过因特网和外联网的任何类型的数据流。◆可管理性虚拟专用网络可以从用户和运营商角度方便进行管理。对于用户自身而言，虚拟专用网络还存在着以下特点：⑴使用可降低成本——通过公用网来建立虚拟专用网络，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备。⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。⑶连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。⑷完全控制——虚拟专用网使用户可以利用因特网服务提供商的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用因特网服务提供商提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。（四）使用优缺点■优点1、VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者wifi网络)连接到企业网络。此外，高速宽带网连接提供一种成本效率高的连接远程办公室的方法。2、设计良好的宽带VPN是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施，让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。3、VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。■缺点1、企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商讨价还价签署一个服务级协议非常重要，要签署一个保证各种性能指标的协议。2、企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题，需要认真的规划和配置。因此，选择互联网服务提供商负责运行VPN的大多数事情是一个好主意。3、不同厂商的VPN产品和解决方案总是不兼容的，因为许多厂商不愿意或者不能遵守VPN技术标准。因此，混合使用不同厂商的产品可能会出现技术问题。另一方面，使用一家供应商的设备可能会提高成本。4、当使用无线设备时，VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候，任何使用高级加密技术的解决方案都可能被攻破。幸运的是有一些能够解决这个缺陷的第三方解决方案。（五）分类根据不同的划分标准，虚拟专用网络技术可以按几个标准进行分类划分⒈按虚拟专用网络技术的协议分类虚拟专用网络的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在开放式系统互联模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。⒉按VPN的应用分类：1）AccessVPN（远程接入虚拟专用网络）：客户端到网关使用公网作为骨干网在设备之间传输虚拟专用网络的数据流量；2）IntranetVPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；3）ExtranetVPN（外联网VPN）：与合作伙伴企业网构成外联网，将一个公司与另一个公司的资源进行连接；⒊按所用的设备类型进行分类：网络设备提供商针对不同客户的需求，开发出不同的虚拟专用网络设备，主要为交换机，路由器和防火墙。1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加虚拟专用网络服务即可；2）交换机式VPN：主要应用于连接用户较少的VPN网络；3）防火墙式VPN：防火墙式虚拟专用网络是最常见的一种虚拟专用网络的实现方式，许多厂商都提供这种配置类型。（六）实现方式VPN的实现有很多种方法，常用的有以下四种：1）VPN服务器，在大型局域网中，可以在网络中心通过搭建VPN服务器的方法来实现。2）软件VPN，可以通过专用的软件来实现VPN。3）硬件VPN，可以通过专用的硬件来实现VPN。4）集成VPN，很多的硬件设备，如路由器，防火墙等等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。个人建议，如果是大型局域网的话，购买路由器，交换机等设备时就不需要VPN这一项了。直接在服务器上安装相应的软件就可以了。（七）技术隧道技术实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现虚拟专用网络功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。加解密技术加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术实现加解密。密匙管理技术密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。身份认证技术使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。此类主要是为以网站论坛形式或改变形式出售，服务器数量较少，主要为国内人士提供国外浏览服务。（八）设置步骤◆WindowsXP设置步骤设置步骤1：建立一个新连接设置步骤2：连接到我工作的地方的网络设置步骤3：虚拟私人网络连接设置步骤4：设定连接名称（例如：VPN）设置步骤5：不要拨接起始连线设置步骤6：输入主机名称设置步骤7：完成新增连线，勾选“将这个连线的捷径加到我的桌面“（）以便日后方便连线设置步骤8：输入帐号，密码，即可按连线。◆Windows7的设置说明1,在画面右下角，点选网路连线，然后选择“打开网络共享中心”2,在弹出的对话窗口中，选择“设置新的连接或网络”3,选择“连接到工作区”4,然后选择“使用我的Internet连接（VPN）,通过Internet使用虚拟专用网络（VPN）来连接”,然后单击“我将稍后设置Internet连接”5,在“Internet地址”里，填上VPN提供的IP地址如果你没有现成的VPN代理，建议到网上找一个免费VPN代理。填好IP后，其它东西都不用管它，直接点击下一步。目标名称VPN连接6,填VPN的用户名和密码，我们先不要填，点“创建”7,到这里就完成的连接设置导向。点击“关闭”。8,回到桌面右键点击“网络”-“属性”，再点击一下左边的“更改适配器设置”。9,找到我们刚才建好的“VPN连接”双击打开。10,填上VPN提供的VPN用户名和密码，“域”可以不用填写。然后点击属性-安全。11,在“数据加密”这一项选中“可选加密（没有加密也可以连接）”选好后点击“确定”。VPN类型自动,使用这些协议选择CHAP,MS-CHAPv212,整个Windows7VPN过程都设置完成了。点击“连接”就可以上网冲浪了。13，如果以上方式比较麻烦，那么可以下载使用VPN软件，减少设置复杂度，让用户更好体验VPN。◆Android设备设置步骤第一步：打开手机主菜单，选择“设置”。第二步：选择“无线和网络”第三步：选择“虚拟专用网设置”第四步：选择“添加虚拟专用网”第五步：选择下图中的第一项，即PPTP方式第六步：输入虚拟专用网名称(如VPN)第七步：填写服务器域名，点击“确定”。然后按menu键，保存设置。第八步：点击打开刚刚建好的连接，填写你购买的用户名和密码，点击“连接”设置完毕，稍等即可。◆iOS设备设置步骤第一步：点击桌面上的“设置”图标进入设置第二步：点击“通用”进入通用设置第三步：点击“网络”，进入网络设置第四步：点击“V-P-N”进入设置第五步：点击“添加V-P-N配置”第六步：按照下面的示意图，在协议类型上选择“PPTP”，在“描述”栏中填入“VPN”，在服务器栏中填入服务器域名，在账户和密码栏中填入您购买的用户名和密码，其他设置保持不变，然后点击“存储”。确认一下各项设置是否都跟下图一样，包括“加密级别”为“自动