论坛: 菜鸟乐园 标题: 实现VPN远程宽带访问 复制本贴地址    
作者: feng5 [feng5]       登录
  企业网络平台的一种有效的延伸,远程访问接入技术一直在我们的网络应用中扮演着非常重要的角色。但远程接入既需要跨越地域局限,又需要具有灵活性,还需要有足够的带宽。VPN正好在这方面可以发挥作用。

顾名思义,远程访问技术首先解决的问题就是地域的局限。用户不再需要处于企业局域网络平台覆盖范围之内,通过局域网接入方式来访问企业网络应用服务。此外,远程访问技术解决的另一个问题是灵活性,不论用户身在何处――在家中,亦或在另一个城市出差,均能够利用远程访问技术接入到企业内部网络平台。

正因为要实现这些目标,远程访问技术必须要使用公共传输媒介。换句话说,企业私有网络平台是无法实现该功能的,尽管目前有某些网络技术可以突破局域网覆盖范围,使传输距离达到数公里甚至数十公里。姑且不谈其建设成本问题,仅仅灵活性一项要求便是私有网络无法满足的。

■各种接入层出不穷

由于上述原因,远程访问技术长期以来一直使用一种最为普通、随处可得的传输媒介――PSTN(公用电话网)。利用Modem模拟拨号技术来实现远程连接。利用PSTN进行远程接入,用户只要利用一条电话线和普通的Modem,对于用户来说,一次性投入很小。当然,如果用户想同时获得数据服务和模拟的电话传真服务,就不得不再申请一个号码,因为在这种通讯方式下,数据和模拟通讯均要求独占一个信道。而企业需在局域网边缘设置远程访问接入设备,并配备一定数量的语音中继线路,供远程访问用户拨入。

尽管经历了若干年的发展,PSTN远程拨号接入方式对于大量的远程访问用户来说,只是一种无奈的选择。始终存在的带宽不足、接入速度慢、服务质量差等问题,严重阻碍了远程网络应用的发展。用户的抱怨在与日俱增,远程用户们需要的是快速而又优质的接入方式。尤其随着近年来层出不穷的新兴的网络应用,对网络带宽的要求和对延迟的敏感性越来越高。最高速率为56kbps的PSTN拨号接入方式,已远远无法满足今天的应用需求。

因此,又出现了一些接入技术。从利用电话线作为传输介质的xDSL,到依靠有线电视电缆的Cable Modem,直到城域网Ethernet接入,各种新技术层出不穷,更新换代极快。

xDSL宽带接入包括ADSL、CDSL、HDSL、IDSL、UDSL等,典型的是ADSL,即不对称数字用户线。ADSL被认为将是一种在21世纪有广阔应用前景的接入技术之一,将代替传统Modem模拟接入方式,成为家庭和小型商务应用的主流接入技术。

Cable Modem即电缆调制解调器,是在有线电视电缆上将数据进行调制,然后在有线网的某个频率范围内进行传输、接收一方再在同一频率范围内对该已调制的信号进行解调,解析出数据,传递给接收方。其在物理层上的传输机制与电话线上的调制解调器无异,同样也是通过调频或调幅对数据编码。由于有线电视网具有四通八达、共享介质、线路质量较好及多频率带宽的优势,使得通过有线电视网访问Internet成为下一世纪接入技术的发展方向之一。

随着目前城域网建设及信息化小区的普遍推广,以太网作为最成熟、最经济的网络技术在城域网接入这一领域获得广泛使用。凭借其带宽的优势和在服务质量及安全性方面的突破,以太网技术在带宽接入领域具有极强的竞争力。

上述宽带接入技术目前均广泛运用于Internet接入,但是由于其对各自传输介质的依赖性而不能直接运用于企业网远程访问。举例来说,如欲使用ADSL技术实现企业网远程访问,企业必须自己提供端到端电话线路来接入远程用户,而无法使用PSTN公共电话网。这已经完全丧失了远程访问的意义。

■VPN适宜远程接入

那么企业网远程访问到底能否利用上述的宽带接入技术呢?答案是肯定的。解决方案就是利用Internet作为传输载体,采用VPN技术,实现企业网宽带远程访问。该方案将具有如下主要优点:
□高度灵活性
用户不论在家中、在出差途中,或是在其它任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。既不受地域限制,也不受接入方式限制。

□高带宽
用户可以选择使用本地服务供应商所能够提供的任何宽带接入技术,不论是ADSL、Cable Modem,还是在信息化小区或酒店中使用以太网接入。

□高安全性
所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保证。今天的加密技术已经发展到即便使用最先进的计算机,也需要花费超过一个世纪的时间才能将其解密。因此,即便您的数据信息在传输过程中存在被窃取的可能,您也完全不必担心企业内部机密会泄露。

相比而言,传统的PSTN拨号接入方式只具有地域灵活性,而不具备接入方式灵活性,带宽自然更不必说了。唯一值得一提的是,很多用户认为,相对于开放的Internet而言,点到点电路交换的PSTN拨号连接具有更高的安全性。事实上,电话窃听技术几乎是紧随着电话的出现而出现的,用户数据在PSTN网络中同样存在被窃取的可能。而且,请不要忘记此时被窃取的数据是完全没有加密的。

因此,利用先进成熟的VPN技术,使我们的企业网用户不仅可以随时随地远程访问企业网络平台,同时又可以摆脱PSTN拨号接入的带宽限制,充分享受Internet宽带接入所带来的全新体验。这的确是一个非常理想的企业网远程宽带访问解决方案。
■实现远程宽带接入

虽然实现的方法可能有所不同,但是所有VPN技术都在共享的网络基础设施上提供私密性。通道在无连接的IP网络中创建了逻辑端到端连接。加密通道利用对数据进行扰码的方式提供网络数据和私密性,从而只有指定的发送者和接收者才能明白。IPSec是一个新业界标准,提供了可扩展的第三层解决方案,实现网络加密。它使用包括安全封装协议(ESP)和数据加密标准(DES)等已经验证的加密技术,当数据已在网络上传输时,提供净荷保护。

远程接入VPN包含两种体系结构:客户机驱动连接或网络接入服务器(NAS)驱动连接。使用客户驱动的连接,用户可以从他们的客户端开始,通过服务供应商的共享网络,到企业网络建立一条加密的IP通道。利用这种体系结构,用户并不需要服务供应商提供与VPN应用相关的附加值服务。

远程接入VPN的另一种体系结构定义了由NAS驱动的通道。在这种情况下,远端用户接入服务供应商的营业点(POP)。服务供应商则建立一条安全的、加密的通道连接企业网络。利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证,使他们能够初步接入到企业网络中;然而,企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。使用这种体系结构需要服务供应商支持,而且存在一个问题――远端用户接入服务供应商的营业点之前的数据是未经加密的。

因此,如果企业用户要实现一个完善的远程宽带接入VPN方案,我们建议采用上述第一种体系结构,由企业自己部署和控制安全策略以及对远程用户的认证、授权及监控。

使用Avaya公司的VSU系列产品、VPNManager和VPNRemote组成远程宽带访问VPN的拓扑结构如图所示,企业网络中心利用VPNManager建立全网的LDAP认证目录服务系统或使用RADIUS认证系统。当远程用户接入本地的ISP之后需要访问企业网内部的资源时,安装在移动用户计算机上VPNremote Client即登录网络中心的LDAP服务器或RADIUS服务器进行验证工作,通过后即可访问相应权限的资源。然后远程主机通过Internet发送加密信息到企业网络中心的VPN设备;当数据包到达目标VPN设备时,数据包被解开封装,数字签名被核对无误后数据包被解密。

通过VPN实现远程宽带访问

在本方案中,VPN设备选用Avaya公司的VPN系列网关产品,网络中心使用VSU-2000实现高速的数据交换以满足需要。VPN设备和移动用户的管理采用VPNManager和VPNRemote软件来完成。VPNManager能够实现对整个VPN网络进行管理,满足用户认证、加密策略的制定和修改等等重要工作。VPNRemote安装在移动用户的计算机上,为用户提供在任何地点只需接入任意一个ISP即可建立VPN连接的功能,充分满足移动用户的的需要。企业网络中心不再需要建立拨入服务系统为远程用户提供拨入服务。







地主 发表时间: 04-04-16 19:07

回复: feng5 [feng5]      登录
作为中小型企业的常用通道,VPN已经成为一种时尚,但怎么就是没人回话呢?是不会用还是不懂或是没听说过........

B1层 发表时间: 04-05-19 10:18

回复: yangliwei [yangliwei]   论坛用户   登录

我们都喜欢VPN,
它有硬件的解决方案,也有软件的解决方案,
但我个人喜欢用软件来实现它,
成本低,维护又方便!
我们单位就是用Win 2003 做的VPN服务器,
出差的同事用来访问我们的内部网,
当然这也可以开放给我们的客户和和作伙伴!

有关VPN的问题,可以在这上面留言,
也可加我的QQ:121744484,
我们共同探讨,共同进步!



B2层 发表时间: 04-05-19 10:27

回复: feng5 [feng5]      登录
好注意,如意对这方面感兴趣的朋友们都可以来这里,共同讨论一同进步

B3层 发表时间: 04-05-19 16:18

回复: drckness [drckness]   论坛用户   登录
又是VPN上一次在网络集成版里我和其它人因为这,已经吵起来了。不过到现在我还认为是我的想法正确:)
做了VPN服务后,客户端被服务器视为内网的一台客户机,并用DHCP来给他分配IP。其实他们之间是通过INTERNET建立了一个遂道。而客户端电脑可以具备本地局域网中客户机所具有的一切功能,可以利用VPN服务器的一切资源(包括网络资源,硬件资源和软件资源)至于具体实现我个人认为还是很容易的。主要还是权限设置问题。

嘿嘿,以前曾经说我说得不对的同志们,我还有错吗?




[此贴被 drckness(drckness) 在 05月19日16时43分 编辑过]

B4层 发表时间: 04-05-19 16:41

回复: cnfans [cnfans]   论坛用户   登录
请问“交换机”:你的图在哪里?我已经对VPN产生兴趣了。

B5层 发表时间: 04-05-19 19:00

回复: feng5 [feng5]      登录
图?你说的是不是有关VPN的TOP喔,如果你对此感兴趣,我可以上传一些来供大家参考.

B6层 发表时间: 04-05-19 20:50

回复: yangliwei [yangliwei]   论坛用户   登录

你说的不错呀,
用软件的方式实现是比较简单的,
关键是你用的那个用户要有拨入权限,
这也是VPN中要注意的地方,
关于客户端的IP分配,
可用服务器自己的DHCP,
也可是临时的地址池分配,

好了,不多说了!


B7层 发表时间: 04-05-20 11:45

回复: feng5 [feng5]      登录
随着VPN技术的日渐成熟,它无疑是中小企业承包所得,相对ISDN等即经济又实惠.

B8层 发表时间: 04-05-20 12:11

回复: semimail [semimail]   论坛用户   登录
顶!

B9层 发表时间: 04-05-20 20:38

回复: yinjun [yinjun]   论坛用户   登录
这些都是概念问题

B10层 发表时间: 04-05-20 21:42

回复: yangliwei [yangliwei]   论坛用户   登录

  不管是哪种方式上网,
VPN,都有它存在的价值!

有没有相关的技术性的问题?



B11层 发表时间: 04-05-20 23:31

回复: feng5 [feng5]      登录
到网络集成和网络建设里面看看,我发的新贴子。

B12层 发表时间: 04-05-21 16:58

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号