网络基础知识-新vpn.doc

什么是VPNVPN是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个，一是VPN是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是VPN用户使用VPN时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个，一是表明VPN建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建VPN时，相对VPN这也是一个“公网”；二是VPN将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。一个网络连接一般由三个部分组成：客户机、传输介质和服务器。VPN也一样，不同的是VPN连接使用隧道作为传输通道，靠的是对数据包的封装和加密。VPN是一种快速建立广域联接的互联和访问工具，也是一种强化网络安全和管理的工具。VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。VPN技术仍在快速发展中。VPN是什么，请看如下一些表述：VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。我们通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。可以说，VPN是Intranet（内部网）在公众网络上的延伸，它可以提供与专用网一样的安全性、可管理性和传输性能，而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来，交由运营商来负责。VPN是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用公共网络做为企业骨干网的低成本优势，同时克服公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。VPN是企业网在因特网等公共网络上的延伸，它能在公共网络上创建一个安全的私有连接，因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来，构成一个扩展的企业网。VPN组成无论从VPN技术发展历程和应用模式看VPN技术包含了多种当前新兴的网络技术，涉及到通信技术、密码技术、硬件集成加速技术和认证技术，是多种技术的复杂结合体。这决定了用户在选择VPN时必须以应用为导向，以解决方案为实施依据，方可事倍功半地部署恰当的VPN产品。VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理网络的接口构成，一般至少包括以下几个关键组成部分：VPN服务器：作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN软件的联网计算机，或是一台联网手持设备算法体系：VPN的专用网络的形成的关键，常见的有：摘要算法MD5或SHA1，对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA。不同类型的VPN根据应用特点在实现上使用对应的算法，有的还可以由用户根据使用现场临时更换认证系统：VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA SecurID、双因素令牌、LDAP、WindowsAD、Radius、证书，一个系统中往往包括一种以上的方式以增加灵活性VPN协议：它规定了VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VPN产品的适用度。常见的有PPTP 、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL