網(wǎng)絡管理員入門 VPN基礎知識詳解一

2019-11-04 20:29:33

字體：大中小

供稿：網(wǎng)友

　　虛擬專用網(wǎng)絡(VPN)是一門新型的網(wǎng)絡技術，它為我們提供了一種通過公用網(wǎng)絡(如最大的公用因特網(wǎng))安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式。我們知道一個網(wǎng)絡連接通常由三個部分組成:客戶機、傳輸介質(zhì)和服務器。VPN網(wǎng)絡同樣也需要這三部分，不同的是VPN連接不是采用物理的傳輸介質(zhì)，而是使用一種稱之為“隧道”的東西來作為傳輸介質(zhì)的，這個隧道是建立在公共網(wǎng)絡或?qū)Ｓ镁W(wǎng)絡基礎之上的，如因特網(wǎng)或?qū)Ｓ肐ntranet等。同時要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡中必須配置有一臺基于Windows NT或Windows2000 Server(目前Windows系統(tǒng)是最為普及，也是對VPN技術支持最為全面的一種操作系統(tǒng))的VPN服務器，VPN服務器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(LAN)，另一方面要連接到因特網(wǎng)或其它專用網(wǎng)絡，這就要VPN服務器必須擁有一個公用的ip地址，也就是說企業(yè)必須先擁有一個合法的Internet或?qū)Ｓ镁W(wǎng)域名。當客戶機通過VPN連接與專用網(wǎng)絡中的計算機進行通信時，先由NSP(網(wǎng)絡服務提供商)將所有的數(shù)據(jù)傳送到VPN服務器，然后再由VPN服務器將所有的數(shù)據(jù)傳送到目標計算機。因為在VPN隧道中通信能確保通信通道的專用性，并且傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮、加密的，所以VPN通信同樣具有專用網(wǎng)絡的通信安全性。整個VPN通信過程可以簡化為以下4個通用步驟:
　　
　　(1) 客戶機向VPN服務器發(fā)出請求;
　　
　　(2) VPN服務器響應請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的用戶身份驗證響應信息發(fā)送到VPN服務器;
　　
　　(3) VPN服務器根據(jù)用戶數(shù)據(jù)庫檢查該響應，假如賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問權(quán)限;假如該用戶擁有遠程訪問的權(quán)限，VPN服務器接受此連接;
　　
　　(4) 最后VPN服務器將在身份驗證過程中產(chǎn)生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡。
　　
　　1. VPN的優(yōu)勢
　　
　　VPN網(wǎng)絡給用戶所帶來的好處主要表現(xiàn)在以下幾個方面:
　　
　　(1) 節(jié)約成本
　　
　　這是VPN網(wǎng)絡技術的最為重要的一個優(yōu)勢，也是它取勝傳統(tǒng)的專線網(wǎng)絡的要害所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠程接入服務器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。開銷的降低發(fā)生在4個領域之中:
　　
　　移動通訊費用的節(jié)省:這主要是針對于有許多職工需要移動辦公的企業(yè)來說的，因為這樣對于出差在外地的移動用戶來說只需要接入本地的ISP就可以與公司內(nèi)部的網(wǎng)絡進行互連，大大減少了長途通信費。企業(yè)可以從他們的移動辦公用戶的電話費用上看到立竿見影的好處。
　　
　　專線費用的節(jié)省:采用VPN的費用比起租用專線來要低40～60%，而無論是在性能、可治理性和可控性方面兩者都沒有太大的差別。通過向虛擬專線中加入語音或多媒體流量，企業(yè)還可以進一步獲得成本的節(jié)約。這一點對于過去有過租用象DDN之類的專線的企業(yè)用戶就會有更深刻的感受了，租用DDN一個小小的64k就得每月花費幾千上萬元費用，采用VPN后不僅這方面的費用會大大減少(但通常不能全免，因為在企業(yè)與NSP之間這一段還得租用NSP的專用線路，但這已是相當短的了)，而且還可能會在帶寬上有更大的優(yōu)勢，因為現(xiàn)在的VPN技術可以支持寬帶技術了。
　　
　　設備投資的節(jié)省:VPN答應將一個單一的廣域網(wǎng)接口用作多種用途，從分支機構(gòu)的互聯(lián)到合作伙伴通過外聯(lián)網(wǎng)(Extranet)的接入。因此，原先需要流經(jīng)不同設備的流量可以統(tǒng)一地流經(jīng)同一設備。由此帶來的好處便是企業(yè)不再像原先那樣需要大量的廣域網(wǎng)接口了，也不必再像以前那樣頻繁地進行周期性的硬件升級了，這樣就可大大減少了企業(yè)固定設備的投資，這對于是、小型企業(yè)來說是非常之重要的。此外，VPN還使企業(yè)得以繼續(xù)對其要害業(yè)務型的舊有系統(tǒng)進行有效利用，從而達到保護軟硬件投資的目的。
　　
　　支持費用的節(jié)省:通過減少Modem池的數(shù)量，企業(yè)自身支持費用可以被降至最低。原先用來對遠程用戶進行支持的、經(jīng)常超負荷工作的企業(yè)支持熱線(通常還需由專人負責)被NSP幫助桌面系統(tǒng)所取代。而且，由于NSP幫助桌面系統(tǒng)可以完全實現(xiàn)從總部中心端進行治理，因此VPN可以極大地降低對遠程網(wǎng)絡的安裝和配置成本。在降低費用方面主要表現(xiàn)為:遠程用戶可以只通過向當?shù)氐腎SP申請賬戶登錄到因特網(wǎng)，以因特網(wǎng)作為隧道與遠程企業(yè)內(nèi)部專用網(wǎng)絡相連。這樣采用撥號方式的遠程用戶則不需要采用長途撥號，企業(yè)總部也可只支付ISP本地網(wǎng)絡使用費，在長途通信費用方面就會大幅度降低，據(jù)專業(yè)分析機構(gòu)調(diào)查顯示，采用VPN與傳統(tǒng)的撥號方式相比可以節(jié)約通訊成本可達50%-80%。與租用專線方式相比更具有明顯的費用優(yōu)勢，一般VPN每條連接的費用成本只相當于租用專線的 40%到 60%;VPN還答應一個單一的WAN接口服務多種用途，因此用戶端只需要極少的 WAN接口和設備。而且由于VPN是可以完全治理，并且能夠從中心網(wǎng)站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網(wǎng)絡接口所需的設備上的開銷。另外，由于VPN獨立于初始的協(xié)議，這就使得遠端的接入用戶可以繼續(xù)使用傳統(tǒng)的設備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
　　
　　(2) 增強的安全性
　　
　　目前VPN主要采用四項技術來保證數(shù)據(jù)通信安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰治理技術(Key Management)、身份認證技術(Authentication)。
　　
　　在用戶身份驗證安全技術方面，VPN是通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法來進行驗證，這些驗證方法包括:密碼身份驗證協(xié)議 (PAP)、質(zhì)詢握手身份驗證協(xié)議 (CHAP)、Shiva 密碼身份驗證協(xié)議 (SPAP)、Microsoft 質(zhì)詢握手身份驗證協(xié)議 (MS-CHAP) 和可選的可擴展身份驗證協(xié)議 (EAP);
　　
　　在數(shù)據(jù)加密和密鑰治理方面VPN采用微軟的點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)進行加密，并采用公、私密鑰對的方法對密鑰進行治理。MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開銷。以上的身份驗證和加密手段由遠程VPN服務器強制執(zhí)行。對于采用撥號方式建立VPN連接的情況下，VPN連接可以實現(xiàn)雙重數(shù)據(jù)加密，使網(wǎng)絡數(shù)據(jù)傳輸更安全。
　　
　　還有，對于敏感的數(shù)據(jù)，可以使用VPN連接通過VPN服務器將高度敏感的數(shù)據(jù)服務器物理地進行分隔，只有企業(yè)Intranet上擁有適當權(quán)限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網(wǎng)絡中受到保護的資源。
　　
　　(3) 網(wǎng)絡協(xié)議支持
　　
　　VPN支持最常用的網(wǎng)絡協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡中的客戶機都可以很輕易地使用VPN。這意味著通過VPN連接可以遠程運行依靠于非凡網(wǎng)絡協(xié)議的應用程序。新的VPN技術可以全面支持如AppleTalk、DECNet、SNA等幾乎所有的局域網(wǎng)協(xié)議，應用更加全面。
　　
　　(4) 輕易擴展
　　
　　假如企業(yè)想擴大VPN的容量和覆蓋范圍，企業(yè)需做的事情很少，而且能及時實現(xiàn)，因為這些工作都可以交由專業(yè)的NSP來負責，從而可以保證工程的質(zhì)量，更可以省去一大堆麻煩。企業(yè)只需與新的NSP簽約，建立賬戶;或者與原有的NSP重簽合約，擴大服務范圍。VPN路由器還能對工作站自動進行配置。
　　
　　(5) 可隨意與合作伙伴聯(lián)網(wǎng)
　　
　　在過去，企業(yè)假如想與合作伙伴連網(wǎng)，雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。這樣相當麻煩，不便于企業(yè)自身的發(fā)展，也就是租用的專線在靈活性方面是非常不夠。有了VPN之后，這種協(xié)商也毫無必要，真正達到了要連就連，要斷就斷，可以實現(xiàn)靈活自如的擴展和延伸。
　　
　　(6) 完全控制主動權(quán)
　　
　　借助VPN，企業(yè)可以利用ISP的設施和服務，同時又完全把握著自己網(wǎng)絡的控制權(quán)。比方說，企業(yè)可以把撥號訪問交給ISP去做，由自己負責用戶的查驗、訪問權(quán)、網(wǎng)絡地址、安全性和網(wǎng)絡變化治理等重要工作。
　　
　　(7) 安全的IP地址
　　
　　因為VPN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時，因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡地址。因此遠程專用網(wǎng)絡上指定的地址是受到保護的。IP地址的不安全性也是在早期的VPN沒有被充分重視的根本原因之一。
　　
　　(8) 支持新興應用
　　
　　許多專用網(wǎng)對許多新興應用預備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應用。VPN則可以支持各種高級的應用，如IP語音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等，而且隨著網(wǎng)絡接入技術的發(fā)展，新型的VPN技術可以支持諸如ADSL、Cable Modem之類的寬帶技術。
　　
　　上面介紹了VPN的主要優(yōu)勢，那么哪些用戶適合采用VPN網(wǎng)絡連接呢?綜合VPN技術的特點，可以得出主要有以下四類用戶適合采用VPN進行網(wǎng)絡連接:
　　
　　a. 網(wǎng)絡接入位置眾多，非凡是單個用戶和遠程辦公室站點多，例如多分支機構(gòu)企業(yè)用戶、遠程教育用戶;
　　
　　b. 用戶/站點分布范圍廣，彼此之間的距離遠，遍布全球各地，需通過長途電信，甚至國際長途手段聯(lián)系的用戶，如一些跨國公司;
　　
　　c. 帶寬和時延要求相對適中，如一些提供IDG服務的ISP;
　　
　　d. 對線路保密性和可用性有一定要求的用戶，如大企業(yè)用戶和政府網(wǎng)。
　　
　　根據(jù)VPN的應用平臺可分為:軟件平臺、專用硬件平臺及輔助硬件平臺三類。
　　
　　(1)軟件平臺VPN
　　
　　當對數(shù)據(jù)連接速率較低要求不高，對性能和安全性要求不強時，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實現(xiàn)簡單的VPN的功能，如checkpoint software 和Aventail Corp等公司的產(chǎn)品。甚至可以不需要另外購置軟件，僅依靠微軟的Windows操作系統(tǒng)，非凡是自windows 2000版

上一篇：網(wǎng)管成長歷程——IP地址規(guī)劃之分配篇1(圖)

下一篇：NAT(地址翻譯)的相關概念及其工作原理