VPN技術(shù)詳解（二）

VPN技術(shù)詳解（二）

引言

虛擬專用網(wǎng)絡(luò)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。

?

（圖1）

虛擬專用網(wǎng)絡(luò)允許遠(yuǎn)程通訊方，銷售人員或企業(yè)分支機(jī)構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務(wù)器建立連接。虛擬專用網(wǎng)絡(luò)對(duì)用戶端透明，用戶好象使用一條專用線路在客戶計(jì)算機(jī)和企業(yè)服務(wù)器之間建立點(diǎn)對(duì)點(diǎn)連接，進(jìn)行數(shù)據(jù)的傳輸。

　　虛擬專用網(wǎng)絡(luò)技術(shù)同樣支持企業(yè)通過Internet等公共互聯(lián)網(wǎng)絡(luò)與分支機(jī)構(gòu)或其它公司建立連接，進(jìn)行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網(wǎng)建立的連接。

　　雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)上，但是用戶在使用VPN時(shí)感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通訊，所以得名虛擬專用網(wǎng)絡(luò)。

　　使用VPN技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作廣泛分布的情況下，員工需要訪問中央資源，企業(yè)相互之間必須進(jìn)行及時(shí)和有效的通訊的問題。

　　如果希望企業(yè)員工無論身處何地都能夠與企業(yè)計(jì)算資源建立連接，企業(yè)必須采用一個(gè)可靠性高、擴(kuò)展性強(qiáng)的遠(yuǎn)程訪問解決方案。一般的，企業(yè)有如下選擇：

1.管理信息系統(tǒng)（MIS）部門驅(qū)動(dòng)方案。建立一個(gè)內(nèi)部的MIS部門專門負(fù)責(zé)購買，安裝和維護(hù)企業(yè)modem池和專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

2.增值網(wǎng)絡(luò)（VAN）方案。企業(yè)雇傭一個(gè)外部公司負(fù)責(zé)購買，安裝和維護(hù)modem池和遠(yuǎn)程通訊網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

　　從費(fèi)用，可靠性，管理和便于連接等幾方面來看，這兩種方案都不能最大程度的滿足企業(yè)對(duì)網(wǎng)絡(luò)安全性或擴(kuò)展性的要求。因此，選擇一種基于Internet技術(shù)的廉價(jià)方案取代企業(yè)花費(fèi)在modem池和專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的投資就顯得極為重要。

虛擬專用網(wǎng)絡(luò)的基本用途

通過Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問
　　虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問企業(yè)資源。

　　與使用專線撥打長途或（1-800）電話連接企業(yè)的網(wǎng)絡(luò)接入服務(wù)器（NAS）不同，虛擬專用網(wǎng)絡(luò)用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接在撥號(hào)用戶和企業(yè)VPN服務(wù)器之間創(chuàng)建一個(gè)跨越Internet或其它公共互聯(lián)網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)。

通過Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連

　　可以采用以下兩種方式使用VPN連接遠(yuǎn)程局域網(wǎng)絡(luò)。

1.使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。
　　不需要使用價(jià)格昂貴的長距離專用電路，分支機(jī)構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。VPN軟件使用與當(dāng)本地ISP建立的連接和Internet網(wǎng)絡(luò)在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)。

2.使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。
　　不同于傳統(tǒng)的使用連接分支機(jī)構(gòu)路由器的專線撥打長途或（1-800）電話連接企業(yè)NAS的方式，分支機(jī)構(gòu)端的路由器可以通過撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越Internet的虛擬專用網(wǎng)絡(luò)。

　　應(yīng)當(dāng)注意在以上兩種方式中，是通過使用本地設(shè)備在分支機(jī)構(gòu)和企業(yè)部門與Internet之間建立連接。無論是在客戶端還是服務(wù)器端都是通過撥打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費(fèi)用。建議作為VPN服務(wù)器的企業(yè)端路由器使用專線連接本地ISP。VPN服務(wù)器必須一天24小時(shí)對(duì)VPN數(shù)據(jù)流進(jìn)行監(jiān)聽。

連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)

　　在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可能存儲(chǔ)有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個(gè)企業(yè)網(wǎng)絡(luò)斷開形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門的重要信息，但是由于物理上的中斷，使其他部門的用戶無法，造成通訊上的困難。

　　采用VPN方案，通過使用一臺(tái)VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個(gè)企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對(duì)流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器，但是企業(yè)網(wǎng)絡(luò)管理人員通過使用VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。