1. VPN概念
1.1 VPN产生背景
在当今世界,随着企业网应用的日益广泛,企业网的范围也在不断扩大,从本地网络,发展到跨地区跨城市,甚至是跨国家的网络。网络的范围日渐扩大,导致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立企业专网,往往需要租用昂贵的跨地区数字专线。而在此同时,国内公众信息网(ChinaNET与Internet)在近几年来得到高速发展,已经遍布全国各地,在物理上,各地的公众信息网都是连通的,但由于公众信息网是对社会开放的,如果企业的信息要通过公众信息网进行传输,在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网,来安全地建立企业的专有网络,就成为了现今网络应用上最迫切需要解决的一个重要课题。VPN技术的出现,为问题的解决带来了新的方向。VPN技术,也就是虚拟专网技术,是指在公共网络中建立私有专用网络,数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全地连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。Top
1.2 VPN技术支撑
目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的,目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础(见draft-ietf-pppext-l2tp-security-01)。同时IPSEC得到厂家支持广泛,Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙,包括天网防火墙,都支持IPSEC标准。因此在构造VPN基础设施时最好采用IPSEC标准,至少也必须采取以IPSEC为加密基础的L2TP协议。Top
1.3 VPN发展前景
广泛来说,VPN的发展具有以下发展前景:
使用价值
目前,VPN技术越来越体现出其价值,作为一种非常灵活和可靠的技术和手段,跨国、跨区域公司中分布于各地的雇员、客户、供货商、代理商、合作伙伴可利用此技术以非常可靠和简易的方式借助公众网络与公司内部网络联系,并进行统一的规划和管理。根据Infonetics的研究报告,VPN业务的开展将为企业提供节省长途专线租用成本的20%~47%,节省远程拨号费用的60%~80%。Top
市场潜力
根据统计报告,VPN产品、系统集成和服务的市场将以每年超过100%的增长率发展,从1997年的205万美元到2001年的11。9亿美元。到2001年,ISP将通过VPN获益90亿美元,55%的企业有意建立VPN。对于国内,今年是政府上网年,VPN技术又恰恰能够解决国家政府机关、各大部委的上网、安全及互联问题,因而国内的VPN市场蕴含着无穷的潜力。
ISP的角色
VPN的服务必须有Internet服务提供商(ISP)的介入,因为只有ISP才能建立起具有完善功能的、可重复使用的VPN服务体系,所以Internet服务提供商(ISP)将会在VPN市场上发挥越来越大的作用,作为一个整体解决方案的提供者,服务提供商除了能够提供各种本地和长途专线和拨号用户的服务,还能提供基于目前广泛的Internet网络的VPN的服务,以满足绝大多数用户和企业应用目前以及将来发展的需求。
未来机遇
VPN业务的开展将刺激国内企业内部网信息资源挖掘的力度,如此庞大的市场并非海市蜃楼,中国的ISP,特别是作为中国最大的ISP的中国电信,不应在观望中错失良机。
同时VPN可以在多种场合得到应用。从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络(有厂家称之为VPDN,属于VPN的一种特例)。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网;虚拟专用拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
l 提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
2. 国内运营商VPN需求分析
信息产业部部长吴基传指出,建立一个完整、统一、先进的国家公用信息基础网,是当前的首要任务。同时,要充分利用这个网络,构建面向各种业务和应用的信息应用系统。
根据我们对VPN技术、IP发展趋势的跟踪和研究,就目前我国面向公众提供信道接入的部门应如何充分利用国家公用信息基础网建设各部门、各行业的专用广域网提出一点建设思路,利用VPN提供增值服务进行可行性分析,以期提高服务商的行业竞争力,同时籍着提供的VPN服务改变目前各行业网和各专业网过于分散、规模过小、技术层次不高等局面。Top
2.1 目前现状
经过十几年的发展,我国通信部门已基本建成了覆盖全国的大容量、数字化的通信传输主干道,其数字化水平和技术层次已达到世界先进水平。目前,国内跨省干线SDH传输网主要采用10Gbps、2.5Gbps速率。中国公众多媒体网(简称169网)已经全国开通(除少数省市外),该网的省间骨干由34M到155M的ATM构成,部分省份还建成了省内ATM高速网(如广东省、江苏省)。这是一个基于IP应用的高速骨干网,为跨省、跨地区的通信提供了一个高速的通信主干道。如何充分利用这个高速主干道为国内用户提供增值服务,我国电信部门应有相应的积极可行的政策和策略。
另一方面,由中央各部委、各行业主管部门牵头的各个行业网在最近几年得到了飞速发展,各行业纷纷建设自己的行业网(如科技网、经济网、卫生网、劳动网、医学网、电力网等等),在本行业中发挥了很好的作用。从网络结构上来看,一般都是在北京建立中心节点,各个地区建立区域节点,区域节点以64K(或128K)DDN连入中心节点,各个市级节点也以64K DDN接入区域节点,形成一个以DDN专线或卫星专线为广域网联网手段的三级网络结构。在北京的中心节点又以64K(或64K以上)DDN专线接入我国四大Internet出口中的一个。
这种广域网的结构体系,在当时的技术条件下,也不能说有什么问题。但目前看来,有两个明显的弊病:一是各个网络之间相互独立,规模小,互相访问很慢(都要绕道北京或国外),不利于信息资源的共享和提高信息资源利用率,不利于形成规模效益;二是网络运行维护费用高、可靠性差。各个中心节点不仅要支付昂贵的DDN专线租用费,还要支付Internet出口费用;同时还要专人维护并不可靠的广域网。而且,一般情况下都是主要由中心节点来组织信息源上网,可见中心节点的负担之重。
从以上两个方面(电信、各专业系统)的情况来看,不难看出为什么信息产业部提出要“以国家公用信息基础网络为基础,通过联合投资、合作改造等形式,构建面向各种业务和应用的信息应用系统”的策略。目前,由国家发起的“政府上网”工程,正是对这一思路的具体体现,但如何实现,不是一个行政指令就能完成的,需要依靠采用先进的技术手段来进行改造。Top
2.2 解决方法
目前各行业网、专业网的应用主要有两个方面:一是作为Internet的一部分,组织本行业的信息资源上网;二是作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。基本上都是采用Internet技术的IP数据通信。
传统的20/80规则,即80%的通信流量分布在局域网,20%的通信流量分布在广域网,已经逐渐演变为80/20规则,即20%的通信流量分布在局域网,80%的通信流量分布在广域网。
如何充分利用已有的公共网络设施,实现廉价的跨地区数据通信,目前已成为IT领域最热门的技术之一。这其中的焦点就是虚拟专用网技术(VPN),它集网络加密、访问控制、认证和网络管理于一体,能够实现廉价的、安全可靠的跨地域数据通信。
对于各专业网两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的宽带骨干网络,完全省去了用于连接跨省的DDN专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的信息资源开发和深加工。
对于第二种应用或两者都有的应用,则各地就近接入当地的宽带骨干网络,采用VPN技术,实现跨地区的数据通信,充分利用宽带网络的跨省通道主干道,建设自己的内部网。其网络结构如下图所示。由于内部网的敏感数据在公网传输时是加密传输,因此可以实现安全廉价的跨地域数据通信。Top
![]() |
当然,对于各行业网、专业网的这类应用,接入服务商应在当地接入线路、信息流量费用等方面给予一定的优惠政策(一些地方已采取的免费提供接入线路、免收流量费的做法值得推广)。即使是接入服务商不给优惠政策,就目前的资费情况来看,由于采有VPN技术,也大大节省了广域网的费用和维护工作。下表列出了目前的DDN广域网方式和采用VPN技术组网方式的费用对照。
两种广域网费用对比表
(以北京至深圳的电信接入业务为例)
![]() |
从表中可以看出,以ADSL方式接入169网,不仅费用低,而且通信速率高,同时还可以开通内部语音电话服务及内部电视会议服务(无需另外的通信费用)。
同样,本解决方案也适用于企业的跨地域数据通信,实现集数据、语音和图像于一体的广域网解决方案。实际上在国外率先采用VPN技术的就是跨国、跨地区的大公司和一些行业的网络。
VPN的服务必须有Internet服务提供商(ISP)的介入,因为只有ISP才能建立起具有完善功能的、可重复使用的VPN服务体系,所以Internet服务提供商(ISP)将会在VPN市场上发挥越来越大的作用,作为一个整体解决方案的提供者,服务提供商除了能够提供各种本地和长途专线和拨号用户的服务,还能提供基于目前广泛的Internet网络的VPN的服务,以满足绝大多数用户和企业应用目前以及将来发展的需求。
2.3 问题与对策
VPN应用前景诱人,国内的网络通讯业务接入商,最有资格和必要首先提供VPN增值服务。VPN本身具有的高保密性、低费用、灵活的网间切换等其它技术无法比拟的优点迎合了数量庞大的国内用户群的需求。但作为一种新兴的技术,VPN技术在现阶段也存在缺点,这就是QoS问题。
所谓QoS问题,体现在VPN应用上就是带宽保证。何谓带宽保证,比如说DDN,DDN就提供了带宽保证,64K的DDN专线任何时候提供给了用户64K的传输带宽。但VPN的本质是利用公网传输数据,当网络传输饱和的时候,提供给VPN用户的带宽就窄;当网络传输未饱和的时候,提供给VPN用户的带宽就宽。所以VPN在现阶段还不能提供带宽保证。
虽然VPN存在上述弱点,但根据“技术推动市场,市场又反作用于技术”的理论,我们认为国内的网络通讯业务接入商现阶段存在应用VPN项目的必要性,具体分析如下:
服务细分的角度,我们发现,专用广域网都对网络的安全性提出了需求。专用广域网用户的需求大致可分为实时性、安全性、灵活性三个方面的需求。像银行、证券对实时性、安全性要求很高,对灵活性几乎不作要求;而各政府网、司局网(地税、国税、工商等,典型成功案例如国家海关报关稽核系统)对实时性要求不高,对安全性、灵活性提出了比较高的要求;各企业网对灵活性提出了很高的要求,同时要求数据的安全传输,但对实时性一般要求不高。针对上述需求的差异,现在的对应服务只有DDN专线方式,而其它公网传输方式只能提供灵活性和实时性,根本不能提供安全性的解决方式。VPN服务填补了这一服务空档:对实时性要求不高的专用广域网用户,从此不用再享受和银行行业一样的高费用“待遇”了。这些用户(其实也是数量最多的专用广域网用户)就是VPN增值服务的潜在市场,也是电信部门推广VPN业务的市场切入点。
从市场竞争的角度考虑。国内能提供DDN专线的不光中国电信,还有中国广电;国内能提供VPN增值业务的已有中国吉通公司。一方面,因为广电打出价格优势,有一部分DDN用户会被广电争取过去,而且随着国内形势的发展,这一竞争更趋激化。另一方面,中国吉通公司已宣布提供VPN增值服务,据我们了解,在短短的一个月时间内,已有很多用户咨询VPN业务,同时在吉通公司的市场宣传下,已有一些用户准备试用VPN服务。这样,以前由中国电信提供的DDN专线市场逐渐形成三足鼎立的局面,尤其是吉通公司,因为据我们上面的分析,会用VPN服务把国内大部分专线广域网用户拉到自己旗下。
从品牌巩固的策略角度分析,中国电信应该首先提供VPN增值业务。远期根据以往中国电信在移动通信领域成功的经验,中国电信首先在国内推出存在弱点的模拟移动,抢占了移动通信市场,确立了自己在国内移动市场的第一品牌形象,从而进入投资――回报――巩固投资――再回报的正螺旋规则;为以后连续推出一系列移动通信服务打下了良好的基础,成为在移动通信领域无可争议的龙头。近期炒作的沸沸扬扬的IP电话,也是一项新技术,其本身存在着很多缺点,如语音忽高忽低、延迟时间长、声音不真实等,与电信级的应用要求相去甚远,但一好遮百丑,其低廉的费用相比其缺点,对大多数用户、大多数场合来讲都是可以忍受的;所以吉通公司(又是吉通公司)迅捷的上马IP电话卡业务,率先抢占了这一市场,树立了自己在这一领域的第一品牌形象,事实证明拥护者众,而中国电信这一次比较保守,落在了吉通公司的后面;对这种有前途的业务来讲,不能抢先树立第一品牌形象意味着以后的市场工作加倍艰难。而VPN业务恰恰类似于IP电话业务,谁先树立第一品牌形象,谁就在以后的竞争中占领先机。
从网络技术发展的趋势来看,VPN最终将完全替代专线。可以分两个方面来看待这个问题:一是随着带宽建设的力度加强,网上信息拥挤问题将应刃而解,正如八辆车在十车道的高速公路上,根本不存在优先级别的问题,到那时,将不会再有人担忧QoS问题;二是退一步讲,就算带宽建设跟不上网络信息增长的力度,但技术水平是不断发展的,很快QoS问题在技术上会被解决。这正如以前中国电信上马模拟移动通信时,并机问题无法解决,但随着技术的发展,GSM和CDMA就解决了这方面的问题,而且还会发展。如果等着一项技术十全十美时再加以利用,遥遥无期。
综上所述,从国家信息产业发展的大趋势和中国电信发展市场的角度来看,国内的网络通讯业务接入商提供VPN增值业务是必要的也是必然的趋势。Top
3. 天网VPN服务体系
3.1 技术支撑
3.1.1 IPSEC隧道与加密技术
IPSEC是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF正式定制的开放性IP安全标准,是虚拟专网的基础。
IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据:
认证――作用是可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
数据完整――作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性――作用是使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
在IPSEC由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
IPSEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。Top
![]() |
IPSEC Packet 可以在压缩原始IP地址和数据的隧道模式使用
传送模式通常当ESP在一台主机(客户机或服务勤)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。
隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包――包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
3.1.2 动态密钥交换技术
密匙管理包括密匙确定和密匙分发两个方面,最多需要四个密匙:AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串,通常用十六进制表示,例如,一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位,包括了8位的奇偶校验。56位的密匙(DES)足够满足大多数商业应用了。密匙管理包括手工和自动两种方式,手工管理系统在有限的安全需要可以工作得很好,而自动管理系统使用了动态密匙交换技术,能满足其他所有的应用要求。
使用手工管理系统,密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来,每一个密匙可以根据集团的安全政策进行修改。
使用自动管理系统,可以动态地确定和分发密匙,显然和名称一样,是自动的。自动管理系统具有一个中央控制点,集中的密匙管理者可以令自己更加安全,最大限度的发挥IPSEC的效用。Top
3.1.3 VPN复用技术
VPN复用技术是通过网络地址进行标识路由,在一个大型VPN网络体系里划分多个独立的VPN网络,实现在同一VPN网络体系建立多个独立的VPN通信隧道。
这一技术解决了在现存的各种VPN设备及解决方案中,普遍存在的几个方面的问题:
支持在一个大型VPN网络体系里划分多个独立的VPN网络,并且在某个VPN网络还可支持静态的VPN和动态的VPN。
根据网络地址连接表的内容,可以在静态VPN之间自动建立原先没有设定的VPN通信隧道。
对于动态的VPN,例如拨号虚拟专网用户,可以通过天网VPN和Radius服务器相结合,来建立起一条实时的VPN通信隧道,并且在通信完成或超过一定连接时间后,自动删除这条VPN通信隧道。
对于连接到同一VPN网关的两个或多个VPN网络,可以在本来相互隔离的VPN网络之间建立起静态的VPN路由,使这种原本不可连接的VPN网络实现VPN通信。
3.2 技术标准
天网防火墙系统核心通过加入对IPSec标准的支持,在保证同其它第三方产品进行完整互操作的同时,还提供了完善的高级特性。
![]() |
支持软件升级。一体化解决方案可以通过软件升级以获得更多新特性,并进行功能扩展,而不需要对网络结构,主机和应用进行任何改动;
支持数字证书。支持第三方CA签发的数字证书;
灵活的安全策略。按照用户应用类型使用不同的扩展访问列表,有选择性地对数据包进行认证和加密。这里IP数据包可以按照基于源和目的地址,传输层协议与应用端口等不同的组合方式进行选择操作。每一种数据流可以独立地进行加密和认证。如图所示,根据应用类型的区别,通过设置可以使的用户Alice和用户Bob之间的数据通信按照不同的策略进行传输,比如Web传输通过密钥1加密,Telnet会话通过密钥2加密,而电子邮件通过明文传送。
广泛的第三方支持。可以按照用户实际应用环境的需要,配置第三方的CA,AAA服务,并保证与其的互操作特性。 Top
天网防火墙系统核心支持以下IPSec标准
现有RFC及互联网络草案中关于IPSec和IKE的描述:
RFC 2406中ESP的定义
RFC 2402 中AH的定义
RFC 2409中IKE的定义
RFC 2401中IPSec完整实施的定义(互联网络协议安全体系)
IPSec与IKE拒绝服务加密算法的定义,包括:
RFC 2405中DES-CBC的定义
RFC 2451中3DES-CBC的定义
40-bit DES-CBC
RFC 1829中DES-CBC的定义
认证算法:
RFC 2403中HMAC-MD5的定义
RFC 2404中HMAC-SHA的定义
RFC 1828中Keyed MD5的定义
3.3 优势所在
目前VPN业务的潜在用户是政府部门和企业,他们需要高性/价比的VPN服务来建立各分部之间、企业网络与拨号上网员工之间的信息桥梁。根据我国实际市场需要而推出的天网VPN服务器提供了为国内的网络通讯业务接入商建造VPN的最优方案,它的优势包括:
VPN设备由接入商提供,企业端不需要购买任何设备,为企业节省了大量的初期投资及后续维护、升级成本,是吸引用户的有利条件。
对接入商而言,只需局部投资;平滑插入,方便快捷;不影响现有业务,不需全网改造而实现了全面的VPN增值业务;节省了综合投资,同时在时间上为电信局抢占VPN市场提供了先机。
接入商利用VPN设备为企业提供VPN服务,每套VPN设备可以支撑几万组不同的VPN网络,通过设备复用将成本大幅降低,企业只需要付出很低的VPN网络服务费用即可享有优质的VPN服务。电信部门在通过提供服务得到利润的同时,VPN用户可以享受价廉物美的VPN服务,是ISP、VPN用户双赢的VPN解决方案。
规模较大的分部用专线接入,较小的支部或者员工用拨号接入,这是我国大多数政府部门和企业的选择,他们是VPN业务最大的客户,天网VPN解决方案是唯一能够同时提供专线接入和拨号接入的ISP端VPN解决方案。
便于开展业务,由于采用网络地址来标识VPN用户,可以根据网段的大小对不同网络规模的用户进行收费,同时可以根据不同的加密需要进行收费。使业务的开展更加灵活。
具有良好的保密性,安全性高。由于VPN是在整个公有网络基础上建立VPN用户的私有网络,进行私有信息的传输,用户对数据在传输过程中的安全性、保密性要求很高,因而需要有非常高级的数据加密技术 天网防火墙全面支持IPSEC,包括支持40/56 Bits DES 、112/168 Bits 3DES、Blowfish、IDEA加密算法,MD5、SHA1两种Hash算法,安全特性极好。
由于使用了开放式标准,可以与其他厂家支持IPSEC标准的产品连接,方便日后全国乃至全球VPN服务的互联;天网防火墙还具有自适应功能,如果连接产品的加密程度较低,它可以相应自动降低加密程度,以便更好地进行协同工作。
由于天网VPN具有集群功能,能满足运营商日后的平滑升级扩容要求。
VPN用户可自由的在公网和VPN专网之间进行切换,迎合了对安全性和灵活性都提出很高要求的用户的需求。
天网VPN服务器极高的性能价格比,更是电信部门综合考虑VPN项目投资/效益比的有利保证。Top
4. 天网VPN建议方案
4.1 VPN试验网
在正式实施骨干VPN网络建设以前,可以在局部区域内建设实验型VPN网络。
虚拟专用网在天网VPN具体的实际应用中分为两种:一种是通过DDN、ATM、Frame Relay和X.25等方式连到局端的天网VPN网关,然后通过局端之间的天网VPN网关建立的IPSEC安全加密隧道与目的地进行通信,也就是传统的VPN;另一种是虚拟拨号网络用户通过拨号连接到VPN服务器上,通过VPN服务器与企业网络服务器建立的IPSEC安全通道与企业内部网络相连,也称为VPDN。
1、 VPN的网络配置
在虚拟专网方面,用户通过DDN。、ATM、Frame Relay和X.25等方式连到局端的天网VPN网关,通过局端之间的天网VPN网关建立的IPSEC安全加密隧道与目的地进行通信。具体的配置实例图如下:
![]() |
天网VPN网关工作逻辑示意图
(这里A与A1、A2和A3为同一虚拟专用网组,B与B1为同一虚拟专用网组)
![]() |
天网VPN网关网络连接地址表示例(VPN网关G1)
天网的VPN系统服务体系采用IPSEC安全标准,通过网络地址进行标识路由。例如图中VPN用户A通过VPN向VPN用户A1发送信息,具体工作过程是:VPN用户A通过DDN、ATM或X。25等方式连上天网VPN网关G1,由VPN网关G1对VPN用户A的数据包进行判断,如果是发送到公众网络的,直接路由到公众网络上;这里是发送到另一端的VPN用户A1的,由于VPN网关G1本身具有一个类似于路由表的一一对应的网络地址连接表,根据这个连接表,它可以获知要把VPN用户A的数据包送到到VPN用户A1目标网络地址,需要路由到VPN网关G2,它就把VPN用户A的数据包以ESP(40位加密)进行封装加入密匙KEY1,从而产生一个IPSEC数据包,然后把这个IPSEC数据包发送到目标网络地址连接的VPN网关G2,由目标VPN网关G2对IPSEC数据包进行解封解密,并且根据数据包的目标网络地址把数据包发送到相应的目标VPN用户A1。这就像在VPN用户A和VPN用户A1之间建立了一个IPSEC的安全通道,只要是源VPN用户A发送到目标VPN用户A1的数据包,都能在这个IPSEC安全通道内进行传输。而且,由于IPSEC标准是基于TCP/IP协议,在数据碎块重整、错误包处理以及断线续传等方面具有很好的处理性能,因而在数据包的长途传输过程能保证数据的完整性。同时,因为天网的VPN系统网关通过网络地址来标识和分辨VPN网络用户,假如它采用10.x.x.x网段,最多可以支持256个B类VPN网络用户和65535个C类VPN网络用户的用户量。 Top
2、 VPDN的网络配置
VPDN网络配置过程很简单,只需在局端加入接入服务器、Radius服务器,与天网VPN服务器配合,就可以建立虚拟拨号专网,这种建设体系在虚拟拨号专网方面采用Radius服务器作用户数据库,普通用户和虚拟拨号网络用户的资料都放在Radius Server上,并使用天网VPN服务器作Radius Proxy,来满足Radius认证的路由要求。这样,相对于接入服务器,天网VPN的RadiusProxy就像是一个Radius服务器,而相对于Radius服务器,天网VPN的Radius Proxy则扮演着Radius客户端的角色。远程用户通过PSTN连接到接入服务器时,接入服务器从Radius服务器上取出用户资料,并根据这些资料分配IP给远程用户,建立PPP连接。例如普通视聆通用户分配到GNET地址172.X.X.X。而对于虚拟拨号专网,将会划分固定的一个IP地址段,在天网VPN网关里建立这一固定地址段的网络地址连接表,并且在Radius服务器里设定虚拟拨号专网用户使用固定IP地址段中的IP地址。这样,当虚拟拨号专网用户通过拨号连接上来,将会获得一个固定的用于VPDN的IP地址,而在天网VPN中已经为这个IP地址定义好相应的网络地址连接表,虚拟拨号专网用户就可以像虚拟专网用户一样访问私有网络资源。具体配置图如下:
![]() |
4.2 VPN骨干网
天网VPN以支持基于MPLS和IPSec混合型的骨干网络操作模式为发展目标。
![]() |
在VPN试验网通过测试以后,可以开始着手建设VPN骨干网络。为了保证和现有宽带网络的无缝连接,天网VPN网络设备支持与用户现有第三方基于IPSec的VPN骨干网络设备的互操作,在最大限度保护用户现有投资的同时,最小可能对网络连接和拓扑结构造成影响。
在具体的应用环境中,天网VPN网络解决方案通过如下高级特性满足业务供应商建设骨干网络的需求。
容易管理 天网VPN设备采用统一的基于Web界面的管理方式,用户人机交互方式友好操作灵活,易于维护。
高可靠性 天网VPN支持动态VPN路由工作方式,可以在网络连接发生故障或拓扑结构发生改变时,按照预定义的备份路径通讯,保证关键应用数据可靠传输;
可扩展性 天网提供包括防火墙和VPN交换机在内全系列的网络安全产品供用户根据不同的应用环境进行选择,满足用户应用类型多样性的需求。Top
5. 结语
天网的根基在中国,我们将根据我国具体情况,不断创新,完善符合中国国情的VPN服务。我们将继续开发符合潮流的技术,包括支持IPV6(第二代Internet)的VPN技术,千兆VPN技术。同时我们还将全力支持ISP开展VPN业务,提供最强大的技术支持。Top
免责声明:
本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!
[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。









