虚拟专用网VPN系列讲座(一) 点击:2269 | 回复:0



吴志扬

    
  • 精华:49帖
  • 求助:0帖
  • 帖子:62帖 | 70回
  • 年度积分:0
  • 历史总积分:502
  • 注册:2001年3月13日
发表于:2002-01-17 22:06:00
楼主
虚拟专用网VPN系列讲座(一) 谢杨 01-12-20 下午 01:51:11 -------------------------------------------------------------------------------- VPN--虚拟专用网(Virtual Private Network)是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的。基于Internet的VPN也称为IP-VPN。 单纯仿真一条点到点的连接,数据只要经过封装,再加上一个提供路由信息的报头就可以了。而如果要仿真一条专线,为保证传输数据的安全,通常还要对数据进行加密处理。VPN连接必须同时包含数据封装和加密两方面。
图一、VPN示意图 有了VPN,用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。从用户的角度来看,VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接,由于数据通过一条仿真专线传输,用户感觉不到公共网络的实际存在,能够像在专线上一样处理企业内部信息。换言之,虚拟专用网不是真正的专用网络,但却能够实现专用网络的功能。 VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷,安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网WAN的运作。 VPN技术的出现,使企业不再依赖于昂贵的长途拨号以及长途专线服务,而代之以本地ISP提供的VPN服务。从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多,因而成本也低廉得多。 VPN的构成 一个典型VPN的组成部分如图二所示:
图二、VPN的构成 VPN服务器:接受来自VPN客户机的连接请求。 VPN客户机:可以是终端计算机也可以是路由器。 隧道:数据传输通道,在其中传输的数据必须经过封装。 VPN连接:在VPN连接中,数据必须经过加密。 隧道协议:封装数据、管理隧道的通信标准。 传输数据:经过封装、加密后在隧道上传输的数据。 公共网络:如Internet,也可以是其他共享型网络。 注:隧道里也可以发送未经加密的数据,但在这种情况下,专用数据没有经过加密处理而以易读形式在公共网络上传输,因而不属于VPN连接。 VPN连接的类型 创建VPN连接与使用拨号网络创建端到端的连接非常类似。VPN连接主要有两种类型:远程访问VPN连接和路由器-路由器VPN连接。 一、远程访问VPN连接 远程访问VPN连接由远程访问客户机提出连接请求,VPN服务器提供对VPN服务器或整个网络资源的访问服务。在此连接中,链路上第一个数据包总是由进行远程访问的客户机发出的。 远程访问客户机先对服务器提供自己的身份认证,之后作为双向认证的第二步,服务器也对客户机证明自己身份。 二、路由器-路由器VPN连接 路由器-路由器VPN连接由呼叫路由器提出连接请求, VPN服务器做出响应。在这种方式中,链路的两端各自是专用网络的两个不同部分,通常来自呼叫路由器的数据包并非源自该路由器。 呼叫路由器(VPN客户机)首先对应答路由器(VPN服务器)提供自己的身份认证,作为双向认证的第二步,应答路由器也应对呼叫路由器证明自己身份。 VPN连接的特性 VPN连接特性有: 1)数据封装 VPN技术提供带寻址报头的数据封装机制。 2)认证 VPN连接中包括两种形式的认证: (a)用户身份认证 在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防伪装的非法服务器提供错误信息。 (b)数据完整性和合法性认证 检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查和,密钥只由发送者和接受者双方共享。 3)数据加密 数据由发送者加密,接收者解密,以确保其在公共网络上的传输安全。加解密过程要求发送方和接收方共享密钥。 如果不掌握密钥,即使数据包被截取,也难以识别。密钥长度是一个重要的安全参数。密钥通常可以由多种加密算法综合而成。随着密钥长度的增大,破解的难度也就越大,因此使用最大可能长度的密钥对于确保数据安全是非常关键的。 另外,使用同一种密钥加密的信息量越大,破解也就越容易。因此常常还有必要选择在一次连接中配置使用不同的密钥。 4)IP地址及域名服务器的分配 VPN服务器在配置时创建一个虚拟接口,该虚拟接口可与所有VPN连接相对应。而VPN客户机则是在建立VPN连接时创建虚拟接口,该接口对应于VPN服务器接口。两接口相连即创建了一条VPN连接。 VPN客户机和VPN服务器的虚拟接口都必须被分配IP地址。地址分配由VPN服务器完成。在缺省情况下,VPN服务器为本端接口分配一个IP地址,而VPN客户机端则使用动态宿主机配置协议DHCP(Dynamic Host Configuration Protocol)来获取接口IP地址。此外,用户也可以用IP网络标识和子网掩码来配置静态IP地址。 在VPN连接建立过程中,还要指定域名服务器。VPN客户机从VPN服务器端获取域名服务器的IP地址。 基于Internet的VPN连接和基于Intranet的VPN连接 VPN连接适用于任何点到点的安全连接需求。典型的VPN连接有两种:基于Internet的VPN连接和基于Intranet的VPN连接。 基于Internet的VPN连接 基于Internet的VPN连接,充分利用了Internet的全球无所不在性,可以使企业免于高昂的长途专线租用费或1-800电信费用。 (1)通过Internet的远程访问 以往如果要进行远程访问,远程访问用户必须使用长途拨号或拨打1-800。而现在VPN用户只需拨打本地ISP,就可通过Internet进行远程访问。利用本地ISP提供的VPN服务,远程访问客户可以启动一条VPN连接,然后通过Internet与企业VPN服务器相连。下图为在Internet上进行远程访问的示意图。
图三、VPN在远程客户机和企业Intranet之间建立连接 (2)以Internet为中介的网络互联 当两个各自相对独立的局域网以Internet为中介互联时(见下图),路由器将数据包经由VPN连接转发至下一个路由器。对路由器而言,VPN连接相当于一条数据链路层链路。
图四、VPN以Internet为中介连接企业中心站点和远程分部 如图所示,路由器可经由两种方式连接至本地ISP: 1)使用专线 路由器可通过一条专线连接至本地ISP,再通过Internet连接至远程站点,而传统WAN中则是租用昂贵的长途专线来连接远程站点的两端。路由器-路由器的VPN连接可由任一端的路由器启动,一旦VPN连接被建立,路由器就可以在VNP连接上彼此之间进行数据包转发。 2)使用拨号链路 远程分部的路由器也可通过拨号方式连接至本地ISP,而不再需要以往的长途拨号或1-800呼叫。一旦与当地ISP的连接被建立,远程分部的路由器就可以启动一条VPN连接与企业中心站点的hub路由器相连。在这种情况下,hub路由器的作用相当于VPN服务器。一般作为VPN服务器的hub路由器必须使用专线链路与当地ISP相连,而不能使用拨号链路。 然而值得一提的是,两个端系统都使用拨号连接也是可能的,但这只有在ISP支持请求拨号路由(demand-dial routing)的情况下才可行。如果ISP支持请求拨号路由,每当有IP数据包需要递交给用户时,ISP呼叫作为VPN服务器的用户路由器,此时点到点的连接才被建立。不过一般ISP都不支持请求拨号路由。 基于Intranet的VPN连接 基于Intranet的VPN连接充分利用了企业Intranet中的IP连通性。 (1)通过Intranet的远程访问 在某些企业Intranet中,诸如人力资源部门的数据属于敏感性信息,因此通常该类部门的网段与企业Intranet其他部分在物理上是不连通的。但这种做法,虽然保护了敏感数据,同时也对非该部门的用户进行信息访问造成许多障碍。VPN连接允许敏感


热门招聘
相关主题

官方公众号

智造工程师