VPN技术介绍
VPN是 英文 Virtual Private Network缩写,中文译为虚拟专用网,它是一种通过ISP和其他NSP,在公网如Internet中建立用户私有专用的数据通信网络技术,通过私有隧道在公共数据网上仿真一条点到点的专线。它随着Internet在企业领域应用范围的不断扩大与深化,作为一种经济安全的组网方式越来越受到人们的青睐。
主要采用4项核心技术:安全隧道(Secure Tunneling)技术、密钥管理(Key Management)技术、访问控制(Acess Control)技术和用户身份认证(User Authentication)技术。安全隧道技术是VPN的一项基本技术,主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络,从而实现对公用网络的透明性。隧道技术保证在公网上建立专用的私有通道,它主要遵循以下四种隧道协议:PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议而VPN安全技术是用于保证数据的安全性和完整性,由于加密、认证及密钥交换与管理等技术实现。
VPN大致可分为三类:企业内部虚拟网(Intranet VPN)、远程访问虚拟网(Access VPN)和企业扩展虚拟网(Extranet VPN) 。 Intranet VPN是指企业的总部与分支机构间通过公网构筑的虚拟网。它通过一个使用专用连接的共享基础设施来连接企业拥有与专用网络的相同政策,包括安全、服务质量,可管理性和可靠性等。Access VPN是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。它可以通过拨号、ISDN,XDSL、移动IP等方式实现安全连接,用户随时随地以其所需的方式访问企业资源。Extranet VPN是指不同企业网通过公网来构筑的虚拟网。它通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网、企业拥有与专用网络的相同政策,包括安全、服务质量(QCS)、 可管理性和可靠性等。它适合于提供B2B之间的安全访问服务。通常把Access VPN叫做拨号VPN,即VPDN( V irtual Private-DIAL一UP Networks)将Intranet VPN和Extranet VPN统称为专线VPN。图书馆的VPN宜采用专线VPN的方式。实现VPN主要方式有:一是通过专用软件、购买具有VPN功能的路由器或在现有路由器中增加VPN模块二是ISP提供三是ISP和单位共同建设。VPN确实是中心馆与各成员馆之间互联的一个理想方案。特别是基于IP的虚拟专用网技术,采用TCP/IP网络协议,利用现在的Internet网络环境,在公共网络信道上建立逻辑上的专用网络。利用它可以在各成员馆与中心馆内部网之间建立可信的安全连接,并保护数据的安全传输。同时,将数据流转移低成本的IP网络上可大幅度减少图书馆在WAN和远程网络连接上的费用。它对于图书馆网络建设有着高度安全性、降低通信成本和可管理性的技术优势。
在计 算 机 技术和网络技术飞迅发展的今天,各成员馆一般都已经接人Internet。但各馆所使用的图书馆管理系统不尽相同,为实现通借通还,中心馆和各成员馆的图书数据应整合在一起。由于选择的图书管理系统是采用C/S方式编制的,工作站延伸到各成员馆,那么各馆的所有数据操作都在同一台服务器上,由于各馆相距很远,自行铺线路是不可能的,租用专线费用太高,为了实现廉价的异地互连,且有较高的数据安全,决定采用动态ADSL + VPN技术实现。由于VPN产品具体实现的手段有很多,有全软件的办法,也有全硬件的办法,还有软硬件兼施的办法,有能够支持公网动态IP的,也有的只能支持静态IP 的。甚至于有的操作系统本身都带有简单的VPN功能,如WIN2000,LINUX等,考虑到由操作系统带的这些VPN功能都较弱,又需要静态的IP,软件的VPN产品需要维护和以及要防止病毒等因素,决定采用ICEFLOW R5000L VPN产品。该设备是一种硬件,属于一种基于IPSEC的第三层VPN路由器,集成了多种安全技术和网络通讯技术,还支持GRE,PPTP等协议,支持3DES,AES,TWOFISH,SE RPENT,BLOWFISH,CAST高强度加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式及VOIP等功能。同时支持ADSL,CABLEMODEN,DDN等,可以在全动态IP的广域网络上(Internet城域网)为客户搭建统一、高效的IP VPN网络。采用 本方案,只需要在各成员馆分别引人一根动态ADSL线路,加装一个VPN路由器,即可实现各馆廉价互连互通。并能在今后经济有效地扩展新业务,如语音、视频监控等,同时集成防火墙、传输和加密等功能。
请查阅相关资料,这样的网络应该最适合你的要求
核心交换机用企业级的三层交换机,并根据实际情况划分几个VLAN,默认情况下多个VLAN在三层交换机里是互通的。IP可以使用:B类IP网段的网址。比如:172.16.0.1/24\x0d\x0a\x0d\x0a三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。三层交换技术就是二层交换技术+三层转发技术。传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发,既可实现网络路由功能,又可根据不同网络状况做到最优网络性能。\x0d\x0a出于安全和管理方便的考虑,主要是为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划成一个个小的局域网,这就使VLAN技术在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由器来完成转发,随着网间互访的不断增加。单纯使用路由器来实现网间访问,不但由于端口数量有限,而且路由速度较慢,从而限制了网络的规模和访问速度。基于这种情况三层交换机便应运而生,三层交换机是为IP设计的,接口类型简单,拥有很强二层包处理能力,非常适用于大型局域网内的数据路由与交换,它既可以工作在协议第三层替代或部分完成传统路由器的功能,同时又具有几乎第二层交换的速度,且价格相对便宜些。\x0d\x0a\x0d\x0a在企业网和教学网中,一般会将三层交换机用在网络的核心层,用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。不过应清醒认识到三层交换机出现最重要的目的是加快大型局域网内部的数据交换,所具备的路由功能也多是围绕这一目的而展开的,所以它的路由功能没有同一档次的专业路由器强。毕竟在安全、协议支持等方面还有许多欠缺,并不能完全取代路由器工作。\x0d\x0a\x0d\x0a在实际应用过程中,典型的做法是:处于同一个局域网中的各个子网的互联以及局域网中VLAN间的路由,用三层交换机来代替路由器,而只有局域网与公网互联之间要实现跨地域的网络访问时,才通过专业路由器。