■实现远程宽带接入
虽然实现的方法可能有所不同,但是所有VPN技术都在共享的网络基础设施上提供私密性。通道在无连接的IP网络中创建了逻辑端到端连接。加密通道利用对数据进行扰码的方式提供网络数据和私密性,从而只有指定的发送者和接收者才能明白。IPSec是一个新业界标准,提供了可扩展的第三层解决方案,实现网络加密。它使用包括安全封装协议(ESP)和数据加密标准(DES)等已经验证的加密技术,当数据已在网络上传输时,提供净荷保护。
远程接入VPN包含两种体系结构:客户机驱动连接或网络接入服务器(NAS)驱动连接。使用客户驱动的连接,用户可以从他们的客户端开始,通过服务供应商的共享网络,到企业网络建立一条加密的IP通道。利用这种体系结构,用户并不需要服务供应商提供与VPN应用相关的附加值服务。
远程接入VPN的另一种体系结构定义了由NAS驱动的通道。在这种情况下,远端用户接入服务供应商的营业点(POP)。服务供应商则建立一条安全的、加密的通道连接企业网络。利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证,使他们能够初步接入到企业网络中;然而,企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。使用这种体系结构需要服
务供应商支持,而且存在一个问题——远端用户接入服务供应商的营业点之前的数据是未经加密的。
因此,如果企业用户要实现一个完善的远程宽带接入VPN方案,我们建议采用上述第一种体系结构,由企业自己部署和控制安全策略以及对远程用户的认证、授权及监控。
使用Avaya公司的VSU系列产品、VPNManager和VPNRemote组成远程宽带访问VPN的拓扑结构如图所示,企业网络中心利用VPNManager建立全网的LDAP认证目录服务系统或使用RADIUS认证系统。当远程用户接入本地的ISP之后需要访问企业网内部的资源时,安装在移动用户计算机上VPNremote Client即登录网络中心的LDAP服务器或RADIUS服务器进行验证工作,通过后即可访问相应权限的资源。然后远程主机通过Internet发送加密信息到企业网络中心的VPN设备;当数据包到达目标VPN设备时,数据包被解开封装,数字签名被核对无误后数据包被解密。
通过VPN实现远程宽带访问
在本方案中,VPN设备选用Avaya公司的VPN系列网关产品,网络中心使用VSU-2000实现高速的数据交换以满足需要。VPN设备和移动用户的管理采用VPNManager和VPNRemote软件来完成。VPNManager能够实现对整个VPN网络进行管理,满足用户认证、加密策略的制定和修改等等重要工作。VPNRemote安装在移动用户的计算机上,为用户提供在任何地点只需接入任意一个ISP即可建立VPN连接的功能,充分满足移动用户的的需要。企业网络中心不再需要建立拨入服务系统为远程用户提供拨入服务。
