虚拟专用网络(Virtual Private Network ,简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到 端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。×××主要采用了彩 隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

 

在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。

 
虚拟专用网的提出就是来解决这些问题:
 
(1)使用×××可降低成本——通过公用网来建立×××,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
 
(2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
 
(3)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的 信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
 
(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的 网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

 

根据不同的划分标准,×××可以按几个标准进行分类划分

 
1. 按×××的协议分类
 
×××的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
 
2. 按×××的应用分类
 
1) Access ×××(远程接入×××):客户端到网关,使用公网作为骨干网在设备之间传输×××的数据流量
 
2) Intranet ×××(内联网×××):网关到网关,通过公司的网络架构连接来自同公司的资源
 
3) Extranet ×××(外联网×××):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
 
3. 按所用的设备类型进行分类
 
网络设备提供商针对不同客户的需求,开发出不同的 ×××网络设备,主要为交换机,路由器,和防火墙
 
1)路由器式×××:路由器式×××部署较容易,只要在路由器上添加×××服务即可
 
2)交换机式×××:主要应用于连接用户较少的×××网络
 
3)防火墙式×××:防火墙式×××是最常见的一种×××的实现方式,许多厂商都提供这种配置类型

实现×××的最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接, 如PPTP,L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没 有前者简单直接。

隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现×××功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。

 
1) PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP( 传输控制协议)连接的创建,维护,与终止隧道,并使用GRE( 通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。
 
2) L2TP协议:L2TP是PPTP与L2F(第二层转发)的一种综合,他是由 思科公司所推出的一种技术
 
3) IPSec协议:是一个标准的第三层安全协议,他是在隧道外面再封装,保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录,电子邮件, 文件传输及WEB访问在内多种应用程序的安全。
 
4) SSL ×××( 安全套接层协议)是网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。它具有保护传输数据积极识别通信机器的功能。SSL主要采用 公开密钥体制和X509数字证书技术在Internet上提供服务器认证,客户认证,SSL链路上的数据的保密性的安全性保证。被广泛用于 Web浏览器与服务器之间的身份认证和加密传输。