VPN网络建设方案



前言


　VPN(虚拟专用网，Virtual Private Network)在国外已经快速的得到发展，2001年全球VPN市场将达到120亿美元，它能够吸引许多公司、机构采用的最重要的原因就是能够节约成本。
现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。
用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。
由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。
V P N 的实现有三种。一种是打电话给 I n t e r n e t 服务商 ( I S P ) ，将任务完全传送给服务商。另一种相反的选择是 I T 管理人员只购买拨入服务连接并在公司的范围内提供 V P N 的所有元素。第三种选择是外购部分作业并维持其余的作业。
在第一种情况下， I T管理人员和企业人员完全依赖于 I S P ，将V P N 的各个方面都移交给了 I S P 。另一方面，在内部维持所有 V P N 操作使企业具有一定的控制权。
据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。


VPN的特点

在实际应用中，用户需要的是什么样的VPN呢？一般情况下，一个高效、成功的VPN应具备以下几个特点：
1．安全保障

虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

2．服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3．可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4．可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
对于安全保障，相对企业级用户就显得十分重要，要保证公司内部的重要数据在VPN上传输而不被其他的用户所获得，就需要在VPN的虚拟信道中对IP数据包进行加密，目前最先进的IP加密方法就是使用IPSec, IPSec 可有效地保护 IP 数据包的安全。
它采取的具体保护形式包括：数据起源地验证；无连接数据的完整性验证；数据内容的机密性（是否被别人看过）；抗重播保护；以及有限的数据流机密性保证。IPSec提供了一种标准的、健壮的以及包容广泛的机制，可用它为 IP及上层协议（如 UDP和 TCP ）提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施方案相互间可以共通。而且假若想增加新的算法，其过程也是非常直接的，不会对共通性造成破坏。


VOIP

VoIP是建立在 IP 技术上的分组化、数字化传输技术，其基本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按IP等相关协议进行打包，经过ＩＰ网络把数据包传输到接收地，再把这些语音数据包串起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由IP网络传送语音的目的。IP电话系统把普通电话的模拟信号转换成计算机可联入因特网传送的IP数据包，同时也将收到的IP数据包转换成声音的模拟电信号。经过IP电话系统的转换及压缩处理，每个普通电话传输速率约占用８～11kbit/s带宽，因此在与普通电信网同样使用传输速率为 64kbit/s 的带宽时，IP电话数是原来的５～８倍。
VoIP的核心与关键设备是ＩＰ电话网关。ＩＰ电话网关具有路由管理功能，它把各地区电话区号映射为相应的地区网关ＩＰ地址。这些信息存放在一个数据库中，有关处理软件完成呼叫处理、数字语音打包、路由管理等功能。在用户拨打ＩＰ电话时，ＩＰ电话网关根据电话区号数据库资料，确定相应网关的ＩＰ地址，并将此ＩＰ地址加入ＩＰ数据包中， 同时选择最佳路由，以减少传输时延，ＩＰ数据包经因特网到达目的地ＩＰ电话网关。对于因特网未延伸到或暂时未设立网关的地区，可设置路由，由最近的网关通过长途电话网转接，实现通信业务。
在实现方式上，VoIP有电话机到电话机、电话机到ＰＣ、ＰＣ到电话机和ＰＣ到ＰＣ等４种方式。
VoIP的关键技术包括信令技术、编码技术、实时传输技术、服务质量（ＱｏＳ）保证技术、以及网络传输技术等。
随着VOIP话音数据服务的流行，许多企业也都参与进来建设自己的VOIP服务。VoIP在企业专用网VPN中是非常有效的。因为采用虚信道的方式进行数据传输，在保证IP数据包传输正常的情况下，同时也支持了话音数据的传输，避免了普通IP电话在公网上出现的失真，话音质量得到良好的保证。


产品介绍

采用系列Vigor宽带VPN产品：
Vigor现在有以下系列产品：
u Vigor2200系列： Vigor2200，Vigor2200E，Vigor2200X
u Vigor2300系列
u Vigor2600系列
u Vigor无线系列

Vigor2200系列路由器介绍：
功能简介
支持ADSL/Cable/FTTx共享上网
内置拔号程序，可自动拔号，自动断线，节省费用
提供远程访问、局域网互拔
支持VPN Server、VPN Client
支持PPTP、L2TP、L2TP、IPSec
支持静态或动态路由　
具有NAT、DHCP、DNS、DDN、DDNS、DMZ
中文WEB页面设置，便于管理
内置防火墙和PAP/CHAP认证功能
可通过拔入或Internet远程维护
能即时监测使用状态
设置使用权限及使用时间

WAN　接口：
一个10Base-T的RJ45口
PPPOE
DHCP Client
PPTP Client
VPN Client
VPN Server
ARP,IP,ICMP,TCP,UDP

LAN　接口及提供的服务：
四个10/100Base-Tx交换口
支持协议：APP,IP,ICMP,TCP UDP
支持DHCP服务：动态分配IP地址，子网掩码，网关，域名服务（DNS）等
支持NAT网络地址解析服务
支持DNS代理服务
支持DMZ中立服务
IP路由协议：RIP VersionII

内置防火墙
可设置IP数据包过滤
内置防黑客侵入程序

设置和管理
基于WEB图形界面（WUI）
利用浏览器可以进行系统的设置
系统的状态监控
系统的密码设置
基于Telnet通讯用户接口（TUI）利用文本命令进行操作
提供诊断工具
可随时地实现升级

兼容的操作系统
Windows95/98/ME/NT/2000/XP
Mac OS
Linux或其它Unix

内置软件升级协议:TFTP

外形尺寸：
长：21.8cm 宽：15.8cm 高：3.6cm
长：21.8cm 宽：15.8cm 高：3.6cm
重量：399克
最大功率： 10W

硬件信息：
CPU:50MHZ
Flash:1M
RAM:4M


其它各系列产品详情，请浏览网页：www.draytek.com.cn


DDNS的原理

DDNS即动态域名解析服务器。在浩如烟海的因特网中，如何能找到需要的机器呢？即我们要找VPN Server的IP地址呢？如果VPN server有固定的IP，那么VPN Client端就会通过IP地址直接找到VPN Server。如果没有固定IP呢？例如ADSL拨号上网，每次从ISP那里得到的IP都不一样。这时就可以通过我们在因特网上放置了一台DDNS服务器。为VPN Client申请一个主机名。当VPN的Client在登录到因特网时，自动到距离最近（指的是网络距离而非物理距离）的Server上去登记，并寻找与自己匹配的域。我们称这个域为vdomain。如果发现该域内已经有与自己匹配的vhost，就会自动去连接已登记的VPN Server并与之建立连接。从而建立了VPN通道。

DDNS有以下功能：

n 在VPN Server的IP地址更新后，自动在DDNS上通过验证，从而更新自己的IP地址；
n 无需申请固定IP地址。


Vigor系列路由器实现企业VPN

企业用户可以用Vigor系列路由器自己建立VPN，将VPN设备安装在其总部和分支机构中，将各个机构低成本且安全地连接在一起。企业建立自己的VPN，最大的优势在于高控制性，尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。
企业在每个分公司放置一台路由器作为VHOST，然后整个公司的 VHOST组成一个VDOMAIN，这样有VDOMAIN、VHOST及其对应用的PASSWORD项组成。
企业还可以确保得到业内最好的技术以满足自身的特殊需要，这要优于ISP所提供的普通服务。而且，建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用，并且能将现有的远程访问和端到端的网络集成起来，以获取最佳性价比的VPN。








现以某企业通过vigor系列路由器组建一个VPN网络为例进行说明：
如下图：



企业用Vigor路由器组建VPN具有以下特点：

n Vigor路由器是解决网络完全传输的高效，节省的组网设备。
n Vigor通过使用DIAL—UP、ISDN、ADSL（动态IP）接入Internet的LAN之间进行互联，不再需要申请昂贵的专线如DDN（静态IP），使中小型企业建立自己的VPN成为现实。
n 以最低成本接入，最低通讯成本提供高性能最可靠性的企业专网的计算机网络设备。
n Vigor系列路由器支持ADSL、 ISDN、 DDN 、Dial-up、CABLE MODEM方式，静态／动态IP接入。在相同的通讯带宽下，节省80%通讯费用。这些接入法可以相互作为备份接入。如用ADSL上网的。为防万一，可以用ISDN方式提供线路备份。从而保证了线路备份。
n 设备内置一个防火墙，企业可根据自己的安全策略进行配置，不再把安全交给ISP。
n Vigor系列路由器可以实现以前只有大型企业才能组建的VPN,现在中小型企业也可以组建自己的企业专网，有自己的IP空间和域名体系。Vigor使所有在局域网上应用的网络应用以最低的成本应用至Internet所及的范围。
n 内置路由功能，企业可根据自己需要进行配置。
n 完善的宽带上网代理服务器，支持NAT、DHCP、DNS、DMZ等功能。这样企业就可以不需要再配置internet共享器。
n 充分发挥Vigor路由器的DDNS功能，无需固定IP，也可能建立VPN连接。
n 内部嵌入TELNET功能，能够对在同一个VDOMAIN下的VHOST进行远程登录、配置、维护，能够最低限度的节约维护费用。
n 中文WEB页面设置，便于管理。可通过拔入或Internet远程维护



典型应用

应用一：远程视频会议系统
通过Vigor系列产品作为主要节点组建广域网的视频电话系统，广泛应用到政府机关、商业企业、部队、石油行业、大学等领域。
通过这个系统还可以扩展为远程监控、远程教学等，使其应用领域有这广阔的前景。
1． 在企业的各个分公司安装Vigor和视频会议系统。
2． 各Vigor之间用ADSL/Cable/FTTx+LAN等宽带线路连接。
3． 整个过程只需宽带线路租用费用，无需其他开支。









应用三：企业用户ERP系统远程应用
该方法是企业用户采用Vigor系列路由器实现远程应用。
具体实现方法是：在ERP系统的服务器端一般会有网络数据库服务器，一般的系统都是基于c/s模式。如果通过Vigor系列路由器建立虚拟局域网之后，原来的ERP系统可以不加修改就直接运行。利用Vigor路由器可以实现应用的高速、可靠、而且其传输的数据经过加密处理，安全性极高。
Vigor系列路由器支持非对称公钥密码，使用RSA 2048位 加密技术，用于验证和管理
 数据传输使用3DES 128位加密算法
 基于源和目的的IP地址通过互联网建立IPSec加密隧道
 具有PAP/CHAP认证功能
 可以自己加密key，安全全在自己掌握之中。


应用四：企业用户财务软件远程应用
该方案同上一种应用极其类似。一般的财务软件都有两种方式：基于局域网的方式或基于广域网的WEB方式。但是WEB 服务器上的存在漏洞可以从以下几方面考虑：
　　（1）在web服务器上你不让人访问的秘密文件、目录或重要数据。
　　（2）从远程用户向服务器发送信息时，特别是信用卡之类东西时，中途遭不法分子非法拦截。
　　（3） web服务器本身存在的一些漏洞，使得一些人能侵入到主机系统破坏一些重要的数据，甚至造成系统瘫痪。
　　（4）CGI安全方面的漏洞有：
　　　1〕有意或无意在主机系统中遗漏(bugs)给非法黑客创造条件。
　　　2〕用 CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(form) 并进行象检索(Search index)或form-mail之类在主机上直接操作命令时，或许会给web主机系统造成危险。
　　
　　从web服务器版本上分析：
在1995年3月发现NCSA1.3以下版本的HTTPD明显存在安全上的漏洞，即客户计算机可以任意地执行服务器上面的命令，非常危险。Microsoft's IIS Web Server在96年3月5日前的IIS在NT下的.bat CGI的 bug甚至比其他更严重，可以任意使用command命令。但之后修补该漏洞。另外，许多 WEB服务器本身都存在一些安全上的漏洞，都是在版本升级过程不断更新。在这就不一一列举。
如果采用Vigor路由器作连接，可以直接应用局域网的财务软件。安全高效。

应用五：远程局域网文件传输，打印共享
建立虚拟专网之后，就可以通过IP地址访问远程计算机的共享文件和打印机资源。在用Vigor路由器建立VPN之后，可以通过对方的IP地址搜索到远在世界上任何一点的电脑上的共享文件，可以使用其打印机。可以通过Internet Explorer下载其文件，也可以用FTP作超大文件的数据传输。在因特网上，如果您需要传输一个10M，20M或30M大小的文件，可能您是不能通过普通的电子邮件来传输的。因为一般的邮箱都作了文件大小的限制。如果采用Vigor建立虚拟局域网之后，您就可以随心所欲的传送文件

应用六：VOIP和视频应用
Vigor路由器采用TCP/IP协议建立通讯，可以运行任何基于该协议的语音和视频软件。

---

三人行,必有吾师焉。择其善者而从之,其不善者而改之。

给我发QQ消息