基本介紹
- 中文名:網路虛擬化
- 外文名:Virtual Private Network
- 意義:虛擬專用網路
- 特點:臨時的、安全的
虛擬區域網路,常見形式,虛擬專用網路,功能,常用協定,使用方法,技術特點,主要優勢,
虛擬區域網路
目前比較常見的網路虛擬化套用包括虛擬區域網路,即VLAN,虛擬專用網,VPN,以及虛擬網路設備等。
VLAN如圖1所示,是指管理員能夠根據實際套用需求,把同一物理區域網路內的不同用戶,從邏輯上劃分為不同的廣播域,即實現了VLAN。每一個VLAN相當於一個獨立的區域網路。同一個VLAN中的計算機用戶可以互連互通,而不同VLAN之間的計算機用戶不能直接互連互通。只有通過配置路由等技術手段才能實現不同VLAN之間的計算機的互連互通。
我們知道,區域網路的特點,就是裡面的計算機之間是互聯互通的。可見從用戶使用的角度來看,模擬出來的邏輯網路與物理網路在體驗上是完全一樣的。
圖1 VLAN
常見形式
1. 基於互聯設備的虛擬化
基於互聯設備的方法如果是對稱的,那么控制信息和數據走在同一條通道上;如果是不對稱的,控制信息和數據走在不同的路徑上。在對稱的方式下,互聯設備可能成為瓶頸,但是多重設備管理和負載平衡機制可以減緩瓶頸的矛盾。同時,多重設備管理環境中,當一個設備發生故障時,也比較容易支持伺服器實現故障接替。但是,這將產生多個SAN孤島,因為一個設備僅控制與它所連線的存儲系統。非對稱式虛擬存儲比對稱式更具有可擴展性,因為數據和控制信息的路徑是分離的。
基於互聯設備的虛擬化方法能夠在專用伺服器上運行,使用標準作業系統,例如Windows、Sun Solaris、Linux或供應商提供的作業系統。這種方法運行在標準作業系統中,具有基於主機方法的諸多優勢--易使用、設備便宜。許多基於設備的虛擬化提供商也提供附加的功能模組來改善系統的整體性能,能夠獲得比標準作業系統更好的性能和更完善的功能,但需要更高的硬體成本。
但是,基於設備的方法也繼承了基於主機虛擬化方法的一些缺陷,因為它仍然需要一個運行在主機上的代理軟體或基於主機的適配器,任何主機的故障或不適當的主機配置都可能導致訪問到不被保護的數據。同時,在異構作業系統間的互操作性仍然是一個問題。
2. 基於路由器的虛擬化
基於路由器的方法是在路由器固件上實現存儲虛擬化功能。供應商通常也提供運行在主機上的附加軟體來進一步增強存儲管理能力。在此方法中,路由器被放置於每個主機到存儲網路的數據通道中,用來截取網路中任何一個從主機到存儲系統的命令。
虛擬專用網路
虛擬專用網路VPN“Virtual Private Network”。vpn被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連線,是一條穿過混亂的公用網路的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用網際網路的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連線,用於經濟有效地連線到商業夥伴和用戶的安全外聯網虛擬專用網。VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
功能
VPN可以提供的功能: 防火牆功能、認證、加密、隧道化。
VPN可以通過特殊加密的通訊協定連線到Internet上,在位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,好比通過安全隧道,到達目的地,而不用為隧道的建設付費,但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬體設備。VPN技術原是路由器具有的重要技術之一,在交換機,防火牆設備或Windows 2000及以上作業系統中都支持VPN功能,一句話,VPN的核心就是利用公共網路建立虛擬私有網。
常用協定
常用的虛擬專用網路協定有:
IPSec : IPsec(縮寫IP Security)是保護IP協定安全通信的標準,它主要對IP協定分組進行加密和認證。
IPsec作為一個協定族(即一系列相互關聯的協定)由以下部分組成:
(1)保護分組流的協定;
(2)用來建立這些安全分組流的密鑰交換協定。
前者又分成兩個部分:加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH),認證頭提供了對分組流的認證並保證其訊息完整性,但不提供保密性。目前為止,IKE協定是唯一已經制定的密鑰交換協定。
PPTP: Point to Point Tunneling Protocol -- 點到點隧道協定在網際網路上建立IP虛擬專用網(VPN)隧道的協定,主要內容是在網際網路上建立多協定安全虛擬專用網的通信方式。
L2F: Layer 2 Forwarding -- 第二層轉發協定
L2TP: Layer 2 Tunneling Protocol --第二層隧道協定
GRE:VPN的第三層隧道協定
OpenVPN:OpenVPN使用OpenSSL庫加密數據與控制信息:它使用了OpenSSL的加密以及驗證功能,意味著,它能夠使用任何OpenSSL支持的算法。它提供了可選的數據包HMAC功能以提高連線的安全性。此外,OpenSSL的硬體加速也能提高它的性能。
MPLS VPN集隧道技術和路由技術於一身,吸取基於虛電路的VPN的QoS保證的優點,並克服了它們未能解決的缺點。MPLS組網具有極好的靈活性、擴展性,用戶只需一條線路接入MPLS網,便可以實現任何節點之間的直接通信,可實現用戶節點之間的星型、全網狀以及其他任何形式的邏輯拓撲
使用方法
一.便攜網帳號申請開通
企業向運營商申請租用一批便攜網使用帳號(即license,譯:許可證),由企業自行管理分配帳號。企業管理員可以將需要使用便攜網的各個部門,成立不同的VPN域,即不同的工作組,比如可分為財務、人事、市場、外聯部等等。同一工作組內的成員可以互相通訊,既加強了成員之間的聯絡,又保證了數據的安全。而各個工作組之間不能互相通訊,保證了企業內部數據的安全。
二.便攜網客戶端安裝
1.系統需求
表—列出了在裝有Microsoft Windows作業系統的計算機上安裝便
攜網路客戶端軟體(yPND:your Portable Network Desktop)的最小系統要求。計算機配置必須符合或高於最小系統要求才能成功的安裝和使用便攜網路客戶端軟體
2.預安裝
為成功安裝 便攜網路客戶端 軟體必須確保滿足下列情況:
計算機符合“系統需求”表所列的最小系統要求。
安裝程式會檢查系統是否符合要求,如果不滿足就不能繼續安裝,必須使系統符合最低配置要求才能進行安裝。
· 必須擁有計算機的系統管理員許可權才能安裝。
技術特點
1.安全保障
雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網路平台傳輸數據的專用性和安全性。在安全性方面,由於VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,並且要防止非法用戶對網路資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網路最佳化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的頻寬。廣域網流量的不確定性使其頻寬的利用率很低,在流量高峰時引起網路阻塞,使實時性要求高的數據得不到及時傳送;而在流量低谷時又造成大量的網路頻寬空閒。
QoS通過流量預測與流量控制策略,可以按照優先權實現頻寬管理,使得各類數據能夠被合理地先後傳送,並預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新套用對高質量傳輸以及頻寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網路風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
主要優勢
1)建網快速方便 用戶只需將各網路節點採用專線方式本地接入公用網路,並對網路進行相關配置即可。
2)降低建網投資 由於VPN是利用公用網路為基礎而建立的虛擬專網,因而可以避免建設傳統專用網路所需的高額軟硬體投資。
3)節約使用成本 用戶採用VPN組網,可以大大節約鏈路租用費及網路維護費用,從而減少企業的運營成本。
4)網路安全可靠 實現VPN主要採用國際標準的網路安全技術,通過在公用網路上建立邏輯隧道及網路層的加密,避免網路數據被修改和盜用,保證了用戶數據的安全性及完整性。
5)簡化用戶對網路的維護及管理 大量的網路管理及維護工作由公用網路服務提供商來完成。
