随着Internet访问的增加,传统的Internet接入服务已越来越满足不了用户需求,因为传统的Internet只提供浏览、电子邮件等单一服 务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设 施,并增加了企业网络功能,扩大了其专用网的范围。
而且目前我国庞大中小企业群体正面临着管理与流通运营日益艰难,成本一天天增加,利润空间越来越小的管理瓶颈。因此,建立安全、快速、高效的资源与信息的 流通方式,是当前的成长型中小企业最为关注的话题!面对上述中小企业要解决的当务之急,同时具备高度安全与资源共享概念的VPN网络技术无疑是最有效的解 决方式。
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!
本期门诊特邀网络技术专家曹重英曹博士与我们一起探讨VPN在企业中的应用以及如何更好的利用VPN建立高效、安全、快速的企业网络环境!
专家介绍:
姓 名:曹重英
擅长领域:网络、云计算、数字家庭、嵌入式系统
博士,著名企业研发部平台经理,ISO/IEC和国标委标准技术专家,闪联标准工作组技术负责人,中国计算机学会普适计算专委会委员和YOCSEF委员。曾在科创、华博、计算所、UT斯达康、闪联等多家企事业从事相关的系统研究和开发工作。专注于数字家庭、网络管理、MPLS、WCDMA、服务融合、云计算等方向的研究工作,个人共申请十几项专利,在国际上发表多篇被SCI和EI检索的文章。参与撰写的闪联标准1.0版被工信部颁布为国家推荐性行业标准,该标准的国际提案于2008年被ISO/IEC SC25工作组正式批准成为国际标准。目前,作为主要技术负责人参与承担多项与闪联标准以及普适计算相关的国家和部委级重大项目。
查看本期门诊精彩实录:http://doctor.51cto.com/develop-152.html
参与最新技术门诊:http://doctor.51cto.com/
精选本期网友提问与专家解答,以供网友学习参考。
Q:您好!曹博士.感谢你的这次光临,有几个问题请教下你:
1.vpn的种类分那几种,各有什么区别?
2.现在流行的VPN的方式那几种?MPLS是什么样的VPN,优势如何?
3.企业如何选择自己VPN,VPN跟专线的区别?
A:1.1)按使用的网络分,MPLS VPN和IP VPN。
2)按加密方法分,IPSec VPN和SSL VPN。
3)网络层次分,二层VPN和三层 VPN。
这是主要的分法,当然也可以从其他角度来分。
2.现在一般还是使用IP VPN。MPLS VPN是专门曾对MPLS网络来建立的,可以充分了MPLS网络的优势。
Q:我们公司电脑大概有400+吧,连同服务器一共有10个网段.公司在网络设备上花费不多,所以至今没有划分VLAN。不过我们在核心三层交换机确保每网段至少有一个接口,不论是光纤还是E口。照这样看对于网络风暴来说用不用VLAN是不是差别不大?
另外公司一般来说每个部门都是在一起的,所以接入层交换机和汇聚层交换机都是每个网段独立的。我觉得这种情况下把所有交换机都换成可管理的,并且按网段划分VLAN是不是没有太大的必要?逼近更换所有接入层交换机使之可管理也不是一笔小数目。
A:每个网段至少有一个接口并不能保证没有网络风暴,使用VPN实际上是提供了一种管理方法,因此合适的配置是防止网络风暴的关键。
Q:您好:非常高兴能提问题!由于最近在研究VPN,对VPN这个领域也很感兴趣!但是本人对VPN的了解尚浅,对于IPSEC了解的最多,我想问目前市场上应用最多的IPSEC,SSL--VPN,各有个的优势,那么您认为两者在以后的发展中会共存?还是?
还有一个问题,如果给VPN一个明确的定义,您应该怎么定义?基于连接方式的不同,有很多被当作VPN,比如帧中继,ATM等。如果我要实现企业与分支机构之间的连接,具体应该做些什么?谢谢!
A:1.应该还是会共存的。
2.VPN的英文全称是"Virtual Private Network",翻译过来就是"虚拟专用网络"。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
3.具体实现企业与分支机构之间的连接需要一个方案,不光是一个配置的问题。
Q:请问VPN都包括哪些内容!我对VPN不是很了解!只是简单的做过远程联入企业网络的实验!实现远程VPN拨号,能否大概介绍下呢?谢谢专家的解答!
A:1.VPN的英文全称是"Virtual Private Network",翻译过来就是"虚拟专用网络"。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
2.远程VPN拨号的方法,可以参阅:http://technet.microsoft.com/zh-cn/cc782585(WS.10).aspx
Q:曹老师好,我想问一下集成vpn的网关路由的安全性如何来保证?远程的线路在公网上的加密方式有哪些?
A:主要还是通过加密以及安全认证方法来保证。
一般加密方式采用IPSec或SSL。
Q:您好!曹博士.
感谢你的这次光临,有几个问题请教下你:
1.vpn的种类分那几种,各有什么区别?
2.现在流行的VPN的方式那几种?MPLS是什么样的VPN,优势如何?
3.企业如何选择自己VPN,VPN跟专线的区别?
A:1.1)按使用的网络分,MPLS VPN和IP VPN。
2)按加密方法分,IPSec VPN和SSL VPN。
3)网络层次分,二层VPN和三层 VPN。
这是主要的分法,当然也可以从其他角度来分。
2.现在一般还是使用IP VPN。MPLS VPN是专门曾对MPLS网络来建立的,可以充分了MPLS网络的优势。
3.VPN是一种虚拟的专线,而专线是实际的专线。
Q:曹博士好,VPN的核心就是在利用公共网络建立虚拟私有网,但是它仍旧要借助Internet来实现,怎么解决安全问题,还有,"一种低成本的网络基础设施"体现在哪些地方呢?特殊的安全机制是不是需要更多的去维护?
A:1.VPN的安全主要靠采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术来保证。
2.低成本主要体现在使用成本、建网陈本、维护成本等这些点上。
3.对于特殊的安全机制的维护主要看它本身是如何实现的。
#p#
Q:曹老师好,请问下VPN里有PP2P和L2TP两种协议,这两种协议有什么区分呢?分别用在什么场合呢?能否简单的介绍下?谢谢老师的解答!
A:PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:
1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道
Q:专家,想问一下支持vpn的产品和在服务器上搭建的vpn哪个更安全一些,哪个更好用呀。还想问一下专家为什么我在虚机上配完域控、路由和远程访问,把另一个客户端加入域在这台域控没重起前可以直接拔入,访问都没问题但一重启之后电脑就上不了网了,必须得把路由和远程访问中的服务器状态变为停用才能上网。想问一下专家是我配的有问题吗?请您指点一下。
A:应该说在服务器搭建的VPN的安全可管理性要强一些。我想应该是配置有问题。
Q:我想问下在思科路由与H3C上配置VPN有什么不同!SSL VPN比IPSec VPN这两个之间的具体区别!那个更安全一些?谢谢专家!
A:两者键入的命令都是不一样的,请具体查使用说明。
SSL VPN和IPSec VPN应用在不同网络条件下是不一样的。应该说:在局域网里,SSL VPN要强一些;而在广域网中,IPSec VPn要强一些。
Q:曹老师:请问1,有什么有效措施来保证VPN速度?
2,跨运营商之间的网络适合建VPN吗?
3,请谈谈MPLS 的发展趋势,据厂家给出的MPLS 的报价并不比专线的费用低!
A:1.保证VPN的速度不是一个单一的问题,
1)如果能采用硬件VPN当然比软件VPN要强;
2)如果能采用MPLS VPN当然比IP VPN要强;
3)对各种接入的业务要进行有效的控制。
2.跨运营商之间的网络可以建VPN,但是需要采取一些手段,稍微麻烦一点。
3.MPLS是一种很好的技术。但是,目前由于市场延续性的原因,能不能完全推广开还很难说,所以现在的报价并不比专线的费用低。
Q:两台思科路由器可以建立一条vpn隧道,两台vpn网关也可以建立一条vpn隧道,还有两台windows计算机或linux计算通过安装软件也可以建立一条vpn隧道。
我想问下这三种方式,再考虑成本,效率,管理的简便性后应该做怎么的选择,各有什么样的优势?
A:这个很难说。采用路由器建立VPN隧道效率最高;采用两台VPN网关建立VPN的管理容易一点;采用计算机之间直接建立VPN的成本更低。这些需要您综合平衡。
Q:你好,曹老师。VPN网关这种有何优点,适用于哪些个行业?
A:1.VPN网关技术能为在任何位置的用户提供到任何企业应用的安全接入,只要他们拥有网络/浏览器设备就可以了。
2.主要适合需要把分散在各处的员工、合作伙伴和客户沟通起来的企业。
Q:曹老师您好:我公司现在用的是H3C设备,采用IPSec VPN模式组网,请问还有没有更好的组网方式,我想改用DVPN模式,具体怎么做?
A:1.使用什么样组网的方式主要要看您的目的和环境。
2.以H3C的secpath100f DVPN配置为例子:
Server 端配置 (本例使用Secpath 100f ,相关配置文件可参照涟邵集团VPN配置)
1.Secpath基本配置
firewall packet-filter default permit //*这条命令必须,secpath默认禁止所有的数据包通过*/
2.DVPN 服务端的配置
interface t unnel0 /*创建遂道接口*/
ip add 172.16.2.1 255.255.255.0 /*定义IP地址和子网掩码*/
tunnel-protocol udp dvpn /*使用udp作为遂道协议,也可使用GRE,此处可选*/
source e0/1 /*指定建立遂道时的源接口,此接口必须有公网地址!!*/
/*如果是ADSL拨号,则应指定为虚拟的拨号口*/
dvpn interface-type server /*指定DVPN接口类型为服务器端*/
dvpn dvpn-id 169 /*指定DVPN ID号,如果对端ID号不同,或者没有指定ID号,
在使用dis dvpn map all的时候能看到对端公网IP地址,但是不能看到对端DVPN ID和遂道地址*/
Client 端的配置
1.定义一个DVPN类别
dvpn class leaf /*定义一个名为leaf的类别*/
public-ip 222.170.xxx.xxx /*指定服务端公网IP地址*/
private-ip 172.16.2.1 /*指定对端遂道地址*/
2.遂道端口的配置
interface tunnel0 /*创建遂道0端口*/
ip add 172.16.2.21 255.255.255.0 /*定义IP地址和子网掩码*/
tunnel-protocol udp dvpn /*使用UDP作为遂道协议,注意与Server端对应*/
sourece e2/1 /*指定建立遂道时的源端口,必须有公网IP*/
dvpn interface-type client /*指定DVPN接口类型为客户端*/
dvpn dvpn-id 169 /*指定DVPN ID号,注意和服务端对应*/
dvpn server leaf /*与上面定义的DVPN类别相关联*/
dvpn register-type forward /*这条命令是指在星形的DVPN情况下,和各分部互通经过SERVER端转发,不加
这条命令估计是无法和其它分部互通*/
最后别忘了添加到对方私网的路由,还有就是别忘了把遂道口添加到相关区域,我用到DMZ区。
#p#
Q:曹老师好:有几个问题想请教一下...我对VPN的了解只是基于分公司通过拨号连到总公司的VPN..然后连接ERP数据库服务器这样着...我也看了一些关于VPN方面的资料..但是说的也都是和我用的差不多的模式,方式不同罢了..比如只是有的采取专线或什么的。
因为最近好像很多人在说VPN..我就想问一下..VNP到底在什么地方存在着不安全的地方;如果我在服务器上把远程拨号用户的权限都设置好了话...那还有其它地方有安全隐患吗?
也就是说..使用VPN的用户在哪些方面存在安全隐患?.应该如何防御这些安全隐患?谢谢!
A:安全是个多维度的问题。VPN主要靠靠采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术来保证。
Q:曹老师好,我想问下,在企业间建立远程的VPN连接,使用路由和远程访问设置好VPN服务器就可以了么?看到网络上很多的文章,感觉到VPN的连接架设很复杂,但是微软介绍的并不复杂,请问下!是VPN有很多种连接方式还是可以实现很多功能呢?谢谢老师的解答!
A:1.应该可以。
2.这个与连接方式以及实现的功能没有关系,主要看其配置管理是否简单实用。
Q:A公司、B分公司,现在A和B都能上互联网,但是A公司运行了3种(不包括互联网)独立的内部网络,现在能通过VPN把A公司的3种内网连接到B分公司吗
A:需要在内网上配置VLAN。
Q:我还是第16楼的,想继续问下曹工.我们公司运行情况还行,网络感觉没有什么太大的问题。在这样的情况下,如果上马VLAN,把交换机都换成可管理的,那可是不小的费用。虽然可管理的网络相比来说更加安全和可控,但是费用问题是很现实的。我想咨询下,如何能够在全VLAN和目前公司网络现状之间来个折中。
A:可以选择部分网络可管理的方法。
Q:再补充一下,由于我们公司的网络、电话这些都是公司办和电信签的统一合同,我们信息部门对具体的情况不太了解。我发现书上说总部和分部的连接用VPN,我们公司也是这样的,不过好像没有书上说的那些VPN服务器,直接就是电信的线拉到分部和本部的交换机上,VPN好像就是电信在自己的设备上做的。这种方法好像没有看见书上有介绍, 曹工能否给我解惑?
A:这是通过电信自己交换机来设置VPN也是可以的。
Q:您好!曹博士,想问您个我在实际工作中遇见的问题,就是我搭建完成VPN并且拨号成功以后,为什么客户端就不可以连接到互联网上网了?我查过很多相关资料,但是没有好的解决办法。恳请您能给我解惑,谢谢您百忙之中来到这里,谢谢。
A:应该还是您的VPN配置有问题。
Q:我是20楼的,就20楼的问题还有个扩展的想法。既然电信可以做VPN,是不是说可以就让电信负责这一块,这样对于像我们这种经费较少的企业非常合适?因为免了VPN服务器的费用,还有日常的管理?电信的VPN和自己公司搭建VPN差别在哪些?
A:是不是省钱,主要还是自己对网络管理的熟悉程度。
Q:您好!曹老师:请问,你知道VPN安全设备有那些呢?最近公司要采购一些VPN硬件设备,现在有两家,一家是国内的天隔信,另一家是国外的飞塔,请问你知道这两个设备如何,谢谢!
A:1. 应该说没有单纯的VPN安全设备,整个VPN系统都涉及安全问题,包括带vpn功能的路由器,VPN服务器、域管理服务器、防火墙等。
2.这两家的产品,我不是很熟悉。您最好问问他们的技术参数、市场的口碑以及售后服务,再做出判断。
Q:您好!曹博士!我们公司这对在外出差人员的笔记本配置了VPN,checkpoint ssl networkwork extender.在外需要登录验证窗口,输入用户名与密码的,但经常性会验证无效,停在空白验证窗口。ping VPN服务器公网地址正常,该用户的域账户正常,请问会是什么原因?没有任何提示,输入验证后重新回到空白验证页,网络连接正常。是什么原因?
A:验证无效的原因很多。例如,如果是提示没有权限,看看是否在开始的时候程序检查了权限数据库。
Q:曹老师您好!vpn如何设置远程访问的身份识别?
A:不同的网络设备配置方法不同。请参考使用说明。
Q:曹博士好,我司是专业运营中港台(国际)MPLS-VPN的ISP服务提供商,就传输速度上与安全性能及维护上对比MPLS -VPN与IPSec VPN SSL VPN的优势与区别?谢谢!
A:首先MPLS VPN与IP VPN是不同的两种网络的VPN方法,而IPsec VPN和 SSL VPN是按安全方法来区分的。MPLS VPN的传输速度在同样条件下要优于IP VPN。IPSec VPN和SSL VPN的安全性区分在于它们适合于不同的网络条件。我在前面已做了一定的解释。
Q:您好!曹博士!我们公司马上就要通过VPN互联,请问该怎么实现?目前4个分公司都是10mb光线接入。但不在一个地区,计划把四个分公司和上海总部互联互通,请问有哪些方案可行?
A:VPN的方案很多。一般可以选用IP Sec VPN的方案。
Q:曹博士:目前公司有4个分公司的监控系统都有vnp功能,即我在上海通过一个加密狗,就可以连接一个地方的监控,实时查看监控记录。目前是我们有几个分公司,一个加密狗只能同时连接一个分公司,有什么办法能同时插上4个加密狗,通过vpn同时显示4个地方的监控画面呢?
A:这个跟加密狗本身设置的连接数有关系。
Q:地的路由器只要都能vpn功能,就能实现互联吗?怎么实现互联?
A:这要看两个路由器是实现那一类VPN。
Q:想请问一下,我现在遇到一个网络,在这个网络里面,任何一台电脑都可以访问服务器的资源,而其他电脑在互联网的其他地方,也可以访问这台服务器的资源,我怀疑是不是这些电脑里面都装有一个控件或者其他什么软件,才可以达到这个资源共享的,请问这是VPN技术吗?如何架构这个VPN网络呢?谢谢 !
A:这个应该不是涉及VPN的问题,应该是装了共享软件。
Q:你好!曹博士。我想问一下政府单位使用的是什么形式的VPN实现的县级访问市级政府的办公系统的。
A:各个单位使用VPN的办法是不一样的。
Q:你好, 我Windows2003系统上搭建了PPTP VPN,用户差不多有五十多个。 今日服务器的系统出现异常, 想重装系统, 但是用户不知道怎么备份。 希望能够指导。
A:你看看有没有用户信息的导出机制。
Q:您好 曹博士!本人处于内网 连接外部vpn 通过默认端口1723能正常连上vpn 但是vpn服务器改了端口后 我在注册表也改了对应的端口 连接时候卡在验证用户名和密码那里 提示721错误 但换一种网络就很正常 请曹工帮忙分析下可能是内网防火墙哪里限制了呢?
A:应该还是该内网存储的VPN信息并没有更新。
Q:你好,曹老师,我想问一下现在企业做VPN事基于路由的做的多呢,还是基于防火墙做的VPN多呢?
A:应该还是基于防火墙的多一些。
Q:我想要问曹老师的是:VPN的功能是安全数据传输。但是,我要如何直观的展示这个安全给客户看。毕竟,即使不用VPN数据传输客户也感觉不到不安全。能否给我一些方法来展示VPN的安全?
A:这个好像不是太好演示。
Q:博士,你好,我是一名在校学生,想请问的是,在学校的这里可以用VPN吗??
应该是用MPLS VPN还IP VPN呢?我自己的电脑能联入么?
A:学校里应该没有MPLS网络吧,应该还是使用IP VPN。
【编辑推荐】