VPN技術簡介
作為VPN服務器實際上就是一臺路由器,一般需要安裝兩塊或以上的網卡,其中一塊網卡負責和互聯網連接。另一塊網卡則連接內部網絡。在進行下面的配置之前首先必須檢測服務器和互聯網的連接是否正常。
另外很重要的一點就是必須保證服務器和互聯網連接的網卡獲得的是一個公網地址,即接入的ISP不是使用地址轉換技術。檢測的辦法如下:
在命令行輸入ipconfig,檢查和互聯網連接的網卡的IP地址,如果其地址在下列范圍之一則不是公網地址,ISP使用了地址轉換技術提供接入服務。
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
前 言
隨著當今社會的不斷發展,網絡技術可謂無所不在,信息技術的高速發展和信息量的飛速膨脹,使得誕生于70年代的Internet得以快速發展。如今無論是公司還是個人辦公,都越來越離不開網絡,許多企業和政府機構紛紛將自己的局域網連入Internet,然而,網絡也帶來了一系列問題:隨著企業的不斷擴大,分支機構越來越多,合作伙伴越來越多,移動用戶也越來越多,企業希望能通過無處不在的因特網來實現方便快捷的訪問,既經濟又安全的企業間的互聯成了一個很重要的問題。
目前,國內企業內部的信息化程度越來越高,很多企業都建有自己的局域網,并且部署了財務系統、ERP系統、OA系統等等,但建設和維護一個遠程基礎數據傳輸所需的昂貴費用卻使絕大多數企業望而卻步,如果采用DDN專線方式,昂貴的網絡運營費用將給企業帶來沉重的思想負擔。它們只能通過遠程撥號訪問、簡單的FTP傳輸等手段來維系不同地域信息系統之間數據交換的最低要求,嚴重制約了信息系統整體效能的發揮。另外,雖然INTERNET為企業實現數據訪問提供了方便,但其高度開放性和松散管理結構也使得企業面臨的網絡安全問題益發尖銳,成了Internet作為商務網絡必須跨越的重大障礙。在這樣的背景下,企業迫切需要一種低成本的網絡互聯解決方案,以實現異地分支機構、合作伙伴或移動用戶與企業總部之間暢通、安全地交換或共享業務數據。
網絡技術迅猛發展,網絡的規模越來越大。從局域網、廣域網到全球最大的互聯網Internet,從封閉式的、自成體系的網絡系統環境到開放式的網絡系統環境,這一切無不說明人們在面臨著網絡技術迅猛發展的同時,也面臨著對網絡建設的挑戰。如何根據自身需求規劃、設計網絡系統,選擇什么樣的網絡系統、拓撲結構、服務器、客戶機、網絡操作系統和數據庫軟件,由哪些供應商提供以上所說的網絡系統的軟硬件支持,如何開發網絡上的應用系統,使其充分發揮網絡系統的作用,取得應有的經濟效益,這已不僅涉及簡單的部件組合,而且需要技術和管理知識有機結合起來,其已成為當前網絡建設中亟待解決的問題。
DDN 技術雖然可以實現企業間互連,但租金昂貴;ADSL寬帶雖然價格低廉,但其只能應用于企業接入Internet ,不能實現企業之間的互聯。由于安全意識淡薄,同時又缺乏應有的安全防范措施,使得非法入侵、對數據進行篡改和竊聽等事件時有發生。雖然一些企業也采取了相應的安全措施如建立自己的防火墻等,但是據報道有1/3的防火墻已被黑客攻破,許多安全措施也形同虛設。為了防止非法用戶進入內部網絡對數據進行存取和竊聽,必須認真解決驗證對方身份、防止抵賴、確保數據的真實性和完整性等安全問題。
有沒有一種接入方式既可以訪問Internet,又可以實現企業互連,同時接入費用低廉的方式呢?
為此,各種網絡安全技術和產品應運而生,其中虛擬專用網VPN(Virtual Private Network)及其相關技術經過多年的實踐、發展和完善,以其方便性、安全性、標準化、成本低等優勢脫穎而出,逐步成為實現企業網絡跨地域安全互聯的主要技術手段,是目前和今后一段時間內企業構建廣域網絡的發展趨勢,據有關研究機構統計,企業通過使用VPN能比專用網節省60%的資金。
虛擬專用網VPN 技術早在1993年,歐洲虛擬專用網聯盟(EVUA )就成立了,力圖在全歐洲范圍內推廣VPN 。由于Internet 的迅猛發展為VPN 提供了技術基礎,全球化的企業為VPN 提供了市場,使得VPN開始遍布全世界。尤其是近幾年,VPN以迅猛發展之勢博得了眾多用戶的喜愛和好評。據賽迪顧問預測,2005年,中國VPN市場需求將迅速增加,具體的數字可以說明這一點:2000年以來,這一市場以每年1-2倍的速度增長,2004年更是達到了2.5倍的增長速度,“保守一點,2005年也會保持這一速度。”
企業實際構建虛擬專用網絡需要對一系列與互通和安全相關的問題作出決策,如VPN技術和產品的選用、用戶認證、私有IP地址的分配和傳送、NAT、流量控制等等。
什么是VPN技術?
兩個人之間打電話,只要知道對方的電話號碼就可以了,按照同樣得道理來說,兩個網絡用戶只要知道對方的IP地址,就能夠互相訪問。實際上,由于公網和私網的不兼容性,這兩個用戶之間并不能自由地互相通信。VPN技術的出現,可以在這兩個用戶之間搭建一條專用通道,保證其聯通性。
VPN(Virtual Private Network)即虛擬專用網。它是在Internet網絡中建立一條虛擬的專用通道,讓兩個遠距離的網絡客戶能在一個專用的網絡通道中相互傳遞資料而不會被外界干擾或竊聽。
所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
按照以前的企業互連方式,企業與其子公司之間要拉一根專線,而每年卻需為這根專線支付昂貴的專線費,如若改用VPN方案,利用Internet組建私有網,將大筆的專線費用縮減為少量的市話費用和Internet費,如果愿意,企業甚至可以不必建立自己的廣域網維護系統,而將這一繁重的任務交由專業的ISP 來完成。
1、一個完整的VPN系統一般包括以下幾個單元:
VPN服務器:一臺計算機或設備用來接收和驗證VPN連接的請求,處理數據打包和解包工作。
VPN客戶端:一臺計算機或設備用來發起VPN連接的請求,也處理數據的打包和解包工作。
VPN數據通道:一條建立在公用網絡上的數據連接。
注意所謂的服務器和客戶端在VPN連接建立之后在通信中的角色是相同的,它們的區別只在于連接是由誰發起的而已。
2、VPN可以實現哪些功能?
第一,DDN技術雖然可以實現企業間互連,但租金昂貴;ADSL寬帶雖然價格低廉,但其只能應用于企業接入Internet ,不能實現企業之間的互聯。VPN可以幫助實現既經濟又安全的企業間互聯,即企業可以通過無處不在的因特網來實現方便快捷的互訪。
第二,雖然INTERNET為企業實現數據訪問提供了方便,但其高度開放性和松散管理結構也使得企業面臨嚴重的網絡安全問題。用戶可以利用加密技術對經過 VPN 隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。
3、VPN的使用限制
第一,如果是在公司內部局域網與外部網絡之間搭建VPN,必須保證服務器和互聯網連接的網卡獲得的是一個公網地址,不是使用地址轉換技術。
第二,在安裝VPN服務器的一端必須要有固定IP地址,客戶端要事先知道服務器端的IP地址才能發起連接。而大多數用戶寬帶上網的IP地址都是變化的,所以必須把動態IP地址轉換成靜態。
使用動態IP的用戶,可以把動態域名解析服務和VPN方案相結合使用,把動態IP解析成靜態。
4、常用的VPN三種部署方案
1.采用純軟件方式,總部安裝VPN總部軟件網關,分部安裝VPN分部網關,移動用戶(包括在外的筆記本和遠程的單機)安裝VPN客戶端。這種方案有用微軟的NT系統和桌面系統來做的,也有第三方開發的VPN服務與客戶端軟件。
2.總部采用帶VPN功能防火墻,分部用帶VPN功能的寬帶路由器,移動用戶(包括在外的筆記本和遠程的單機)安裝防火墻帶的VPN客戶端。VPN防火墻這類設備相對一般的帶VPN功能的寬帶路由器來說比較專業。較著名的產品比如有:NetScreen,Nokia,安氏等。這些產品都能支持100條以上的VPN,數據吞吐率有較高表現,適用于企業機構的網絡核心。
3.總部采用帶VPN功能寬帶路由器,分部能上寬帶的用帶VPN功能的寬帶路由器,移動用戶(包括在外的筆記本和遠程的單機)安裝WINDOWS帶的VPN客戶端。
對于較大的企業來說可以選擇第二種方案,在網絡性能方面有更高考慮。因為在使用VPN加解密技術后,數據的傳送速度將相應下降。小企業一般采用第三種方案就足夠了,市面上的產品豐常豐富。
京公網安備 11010602022017號