VPN基本概念解释.docx
《VPN基本概念解释.docx》由会员分享,可在线阅读,更多相关《VPN基本概念解释.docx(16页珍藏版)》请在冰豆网上搜索。
VPN基本概念解释
VPN基本概念解释
(孟海江 2001年10月18日09:
56)
当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候,采用传统的远程访问方式不但通讯费用比较高,而且在与内部专用网络中的计算机进行数据传输时,不能保证通信的安全性。
为了避免以上的问题,通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。
何为VPN
VPN(VirtualPrivateNetwork):
虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。
我们知道一个网络连接通常由三个部分组成:
客户机、传输介质和服务器。
VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:
Internet或Intranet。
要实现VPN连接,企业内部网络中必须配置有一台基于WindowsNT或Windows2000Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。
当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。
VPN使用三个方面的技术保证了通信的安全性:
隧道协议、身份验证和数据加密。
客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。
在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
VPN连接的示意图如下所示。
VPN带来的好处
降低费用:
首先远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
增强的安全性VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:
密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密。
以上的身份验证和加密手段由远程VPN服务器强制执行。
对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
网络协议支持:
VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。
这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
IP地址安全:
因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。
因此远程专用网络上指定的地址是受到保护的。
VPN使用的协议
VPN使用两种隧道协议:
点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
PPTP:
PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet进行多协议通信,它支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。
PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。
PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。
VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。
尤其是使用EAP后,通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。
另外还可以使用PPTP建立专用LAN到LAN的网络。
L2TP:
L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。
L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。
与PPTP不同的是,L2TP使用新的网际协议安全(IPSec)机制来进行身份验证和数据加密。
目前L2TP只支持通过IP网络建立隧道,不支持通过X.25、帧中继或ATM网络的本地隧道。
VPN的身份验证方法
前面已经提到VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP:
CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。
CHAP在响应时使用质询-响应机制和单向MD5散列。
用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发送到网络上。
MS-CHAP:
同CHAP相似,微软开发MS-CHAP是为了对远程Windows工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。
而且MS-CHAP不要求使用原文或可逆加密密码。
MS-CHAPv2:
MS-CHAPv2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
如果将VPN连接配置为用MS-CHAPv2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。
EAP:
EAP的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。
通过使用EAP,可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。
对于VPN来说,使用EAP可以防止暴力或词典攻击及密码猜测,提供比其他身份验证方法(例如CHAP)更高的安全性。
在Windows系统中,对于采用智能卡进行身份验证,将采用EAP验证方法;对于通过密码进行身份验证,将采用CHAP、MS-CHAP或MS-CHAPv2验证方法。
VPN的加密技术
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。
只有在MS-CHAP、MS-CHAPv2或EAP/TLS身份验证被协商之后,数据才由MPPE进行加密,MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。
对于L2TP服务器,将使用IPSec机制对数据进行加密IPSec是基于密码学的保护服务和安全协议的套件。
IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。
在保护密码和数据的L2TP连接建立之前,IPSec在计算机及其远程VPN服务器之间进行协商。
IPSec可用的加密包括56位密钥的数据加密标准DES和56位密钥的三倍DES(3DES)。
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
针对不同的用户要求,VPN有三种解决方案:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
网吧双网互联互通无需切换解决方案
·2005-09-2614:
45:
00·来源:
天极网
何谓“一吧双网”?
所谓“一吧双网”就是指在一个网吧内同时接入网通和电信两个运营商的网络。
之所以会出现“一吧双网”就是因为国内最早的“电信”被拆分成南北两大阵营,北方的叫网通,南方叫电信。
由于一些众所周知的原因吧,这两个国内最大的运营商之间的“互联互通”却做得实在不怎么样,使得国内南北两地互访、或者说网通电信间的互访带宽成了瓶颈。
而在这其中,由于网吧是一个靠网络来运营的实体,对于双网的互联互通要求很高,需要互相访问位于不同运营商所私有的电影和游戏资源。
因此应运而生的在网吧内同时接入两条宽带,分别是网通和电信,而具体的接入方法无外乎是用两台路由器、或者两台代理服务器来实现,客户机上网时要根据自己的需要来判断该使用哪条线路。
而这样做的缺点是显而易见的,会造成资源的严重浪费和网络的稳定性大大降低。
应对此现象的终极方案就是欣向NUR5028宽带路由器,该路由器是国内首家参考APNIC(亚太互联网中心)和CNNIC(中国互联网中心)的所有IP地址库进行路由预设置的宽带路由器。
通过该路由器,位于内网的用户可以在无任何特殊设置的情况下同时访问网通电信的私有资源。
实现目标
同一个网吧内,任意一台客户机上实现网通、电信同时接入,而无需进行切换则可同时快速访问两个运营商内容。
设计原则
网络系统设计遵循:
1、为同一网吧提供网通、电信同时接入,保证速度和带宽,保证最优质的访问。
2、在内网客户机器上无需手工切换,实现同时无差别访问网通、电信的私有资源
3、稳定性和安全性:
欣向5028/5058可以实现长时间、大负荷稳定在线运行,内置防火墙保证网吧可以有效抵御黑客及网络病毒攻击;
4、经济性和可扩展性:
网吧建设初期可以选择单线路或者双线路接入,后期可以通过增加运营商线路或者增加同运营商线路提高访问速度、资源、带宽等。
5、可维护与可管理性:
全中文配置界面,鼠标指点间轻松完全复杂配置。
适合对网络技术不是很熟悉的人员进行操作。
网络结构
产品方案技术详解
在基础软件方面,“欣向”NuR5058/NuR5028花费巨资引入了美国WINDRIVER公司的最新版嵌入式操作系统和网络协议栈。
其内核精干,稳定性、速度均达到了空前的高度。
“欣向”NuR5058的WAN口数量多达5个,“欣向”NuR5028的WAN口数量达3个,也就是说他可以同时接入5条或3条宽带。
多WAN口接入称不上有水平的技术,而完善的负载均衡机制才是多WAN接入技术的核心,才是有水平的真技术。
“欣向”NuR5058NuR5028支持网通、电信地址段,真正实现多WAN负载均衡!
软件策略上堪称豪华。
另外,“欣向”NuR5058/NuR5028的LAN口配备高达8个,它可以使接入服务器、级连交换机、网管电脑等多台设备同时进行一级级联。
“欣向”NuR5058/NuR5028拥有无可比及的巨大带机容量,它的设计能力为稳定带机3000台,并发连接达到十五万条。
更重要的一点,就是“欣向”NuR5058/NuR5028提供了网吧最盼望的功能。
就是稳定、快速同时接入网通和电信线路、全方位提供网络服务。
同时无差别访问网通的电影、电信的游戏。
对于一些大型网吧用户,自己在内网架设游戏服务器或者电影服务器的用户,“欣向”的双向端口映射功能更是方便至极。
内网用户直接通过公网域名或者IP都可以方便访问这些服务器。
此外,“欣向”路由器内置了性能强大的防火墙,入侵检测,自动过滤等。
经过以上配置的网吧真正实现了“一吧双网、互联互通、无需切换”这一目标,成为网吧运营者的终极组网方案,更是网吧玩家最理想的上网场所。
Windows中建立VPN链接实现远程互联
VPN,全称是虚拟专用网。
它是通过在Internet中建立一个临时的,安全的通道,将处于不同城市中的电脑连接起来,就像组成了一个局域网,操作非常方便。
许多企业需要建立这种链接来建立不同城市之间的网络连接。
现在,我们就来看一下VPN的建立和连接方法。
1、建立VPN服务器端
在充当服务器的电脑中依次打开:
开始→程序→管理工具→路由和远程访问,在出现的窗口左侧选中主机,在其上单击右键,在出现的右键菜单中选中“配置并启用路由和远程访问”。
(如图1)
图1
在出现的“路由和远程访问服务器安装向导”对话框中单击“下一步”按钮,然后勾选“虚拟专用网络(VPN)服务器”,并完成配置。
(如图2)
2、建立连接账户
为了能使用户进行VPN连接,必须使用户具有一定的权限。
依次打开:
开始→程序→管理工具→计算机管理。
在出现的对话框中,展开“本地用户和组”,选择“用户”,然后给其新添加一个用户。
此时,在右侧窗口中就能看到这个用户名了,但还要对其进行相应的设置,才能使客户端能够连接到服务器。
具体的设置方法是:
在用户属性对话框中,单击“拨入”选项卡,勾选“允许访问”复选框,最后确定即可。
(如图3)
3、建立VPN客户端
VPN的服务器端已经建立好了,下面要做的就是建立客户端,然后进行连接了。
当客户端为WindowsXP系统时,依次打开:
开始→控制面板→网络和Internet连接→网络连接→建立新的连接向导。
在出现的对话框中选择“连接到我的工作场所的网络”,单击“下一步”,然后勾选“虚拟专用网络连接“复选框,在“VPN服务器选择”中输入刚才建立VPN服务器端的IP地址(通常为公网IP),这样客户端就建立好了。
当客户端为Windows2000系统时,则是在“网络连接向导”中选择“通过Internet连接到专用网络”,(如图4)其它的设置与WindowsXP是一样的。
图4
4、连接VPN
在客户端双击刚才建立的连接,输入在服务器端所设置的用户名和密码,然后单击“连接”按钮,这样就和服务器端连接好了,这样处于不同城市的电脑就像连接在一个局域网里。
接下来,打开网上邻居,就可以看到不同区域内的主机了。
如何实现adslvpn
来源:
IT168作者:
未知
网友提问:
我是网络菜鸟,我们公司组建了一个局域网,现在在离公司大约12公里处设立了一个办事处,现在需要有新加一台电脑接入公司局域网来共享数据库。
你说运用哪种连接方便?
无线,有线?
最好可以通过INTERNET连接,这样费用省些。
这显然又是一个远距离联网的问题,其实网友的问题也提出了三种方案:
无线、有线、互联网,我们来一一分析。
方案一:
无线
无线桥接作远距离联网,目前也算是热门技术之一。
在大功率无线网桥和高增益的定向天线组合下,传输跨度有可能达50公里。
但是这个有一个重要的前提条件,就是定向天线要可以“对视”,中间没有任何阻隔。
如今城市中高楼大厦林立,就算现在可视,保不准哪一天,一座座突兀的大楼就挡在视线通路上,这个无线桥接的方案就得不到保证。
---(学电脑)
方案二:
有线
有线方案对于12公里的距离来说肯定只能布单模光纤了,这就更费工费时费钱了。
可以说想都不用想。
方案三:
互联网+VPN
互联网可以说是公用的广域网,已经有众多的电信运营商建立起四通八达的长距离网络,这为我们企业利用电信公司的网络来实现企业总分公司联网提供了可能。
特别是由于现在宽带接入互联网盛行,费用较为低廉,极大地方便我们企业总分机构的联网要求。
只要我们选择合适的技术,就可以实现远距离的总分公司局域网之间的联网。
这个合适的技术就是VPN(虚拟专网)。
VPN运用特殊的“隧道技术”在互联网上将分处两个异地的计算机联网起来,就象同处一个局域网那样。
这样就可以避免使用电信公司的广域网专线这种昂贵的联网方式,只要宽带接入方式就可以联网。
所以说,以宽带接入方式接入互联网来做公司机构联网在技术上是可行,费用上经济。
从上面分析,我们可以得出结论,通过互联网+VPN实现企业机构的远距离互联是目前企业联网的最佳方案。
但在具体的实现上,我们得采用合适的技术才能达到。
这些技术将包括:
动态IP、VPN、ADSL等。
在动态IP上实现VPN
传统的基于互联网的VPN解决方案需要VPN服务器和客户端两端有固定IP,或至少服务器端要有固定IP,客户端用动态IP。
固定IP的费用将使用宽带接入的费用急剧上升。
这给小企业增加了负担,也限制了VPN的应用。
这就是使人们想到用动态IP来实VPN联网的可能。
有需求就会用新的解决方案出现,那就是“基于动态IP宽带接入的VPN解决方案”,这使财力有限,VPN联网的规模也不是很大的小企业也可以建设VPN联网。
VPN服务器没有固定IP,每次从拨号得到的IP地址都不一样,要使VPN客户端能找到VPN服务器,就须解决VPN服务器的IP寻址问题,也就是如何使动态的IP与固定的服务器和客户端相关联,“固化”它们的关系,这是基于动态IP的VPN实现的关键技术所在。
针对动态IP的VPN应用环境,VPN设备制造商提供两种有代表性的技术解决方案,分别是:
DDNS动态VPN和目录服务动态VPN。
1.DDNS动态VPN
玩过花生壳的朋友都知道动态域名解析技术(DDNS),我们可以向提供DDNS服务的服务提供商申请一个二级域名、用户名和密码,并在使用动态IP接入Internet的设备(宽带路由器、VPN防火墙、电脑)设置这个静态的域名和用户名、密码等,当拨号接入后,互联网上的用户就可通过这个域名来访问这台设备,而不管它当时所得到的动态IP是什么。
VPN设备(包括服务器端和客户端)要通过DDNS服务来建立VPN通信,也要在VPN服务器和VPN客户端安装DDNS客户端软件,并填入各自申请到的域名、用户名和密码。
当它们的动态IP地址变更后,DDNS客户端软件会自动在DDNS服务器上通过验证来更新自己的当前IP地址。
因此,这时当VPN客户端向VPN服务器发起呼叫,要求建立VPN虚拟专网连接时,由DDNS将VPN服务器的域名解析为VPN服务器的当前合法IP地址,这样就可以建立VPN隧道连接。
目前在市场上宣称能使用动态IP来建立VPN的VPN设备大部分是基于DDNS技术来实现动态IP的“固化”,这也是一种最常见的动态VPN解决方案,也是最廉价的VPN方案。
这些VPN设备本身就是网关设备,执行宽带共享接入的NAT功能,它们多是在机子内部集成了某个第三方DDNS服务提供商的客户端软件。
如网件(NETGEAR)公司的VPN系列产品FVL328VPN防火墙就集成了网域公司的花生壳DDNS客户端。
基于DDNS的VPN简便易行,但可靠性无法保证,如果DDNS服务提供商停止服务或服务不稳定,会给用户的VPN无法运行。
2.目录服务动态VPN
目录服务技术通过分布在各地电信机房的目录服务器,在全国范围组成了一个目录服务器集群。
这些服务器存储了各个VPN设备的硬件信息,用户信息,当VPN设备开机拨号接入互联网时,它获得的动态IP会自动发往目录服务器,并存在目录服务器的数据库里,与它需要建立VPN的同组的VPN设备也是一样,同时VPN设备会定期将属于自己一个组的其他成员的IP地址下载到本地,这样就可依据各自当前的公网IP建立VPN。
以上海冰峰网络的目录服务技术为例,当冰峰的VPN设备启动时,首先进行PPPOE拨号,拨号成功后,即可获取当前使用的公网IP,随后自动搜索其内置的目录服务器列表,经冰峰独有的优先路径算法后,与指定的目录服务器进行数据交换,数据中主要包括VPN设备的身份认证,IP地址登记及IP地址下载三部分
(1)身份认证:
首先,目录服务器会VPN设备的身份进行认证,与目录服务器内置的设备信息库比对VPN设备提交的组信息、节点信息、license信息及硬件特征信息,比对一致则通过身份验证。
(2)IP地址登记:
确认了身份后,把该VPN设备的IP地址记录到目录服务器的地址库,假设与该VPN设备同组的其他设备也完成了身份验证和地址提交工作,那么,在目录服务器的地址库中就保存了所有VPN终端当前的IP地址。
(3)IP地址下载:
下载与该VPN设备同组的其他设备的IP地址,这样,这个VPN设备就知道了它同组的其他所有设备的IP地址。
在此之后,每次有设备IP地址变动是都会通知目录服务器,目录服务器再将变动通知同组的其他设备,这样,保证了每台设备上一直保存着最新的IP列表,同时IP地址的同步保证了VPN网络在发生异常时,最多10秒内自动愈合。
目前有国内有两家公司生产的VPN设备采用目录服务技术来实现基于动态IP的VPN,它们是上海冰锋网络公司(如:
R5000HVPN路由器报价:
27000元)和深圳迅博信息技术有限公司(如:
NG500VPN网关)。
这种通过目录服务器进行的IP地址交换,可有效避免使用动态域名服务方式产生的可靠性无法保证和恢复时间长的问题。
拨号ADSL的VPN解决方案
目前,通过ADSL虚拟拨号的宽带接入互联网方式因为相对高速和经济深受国内广大企业用户所喜爱和采用,所以动态VPN方案建立在拨号ADSL上具有普遍性和代表性,这样的方案也更具现实意义,因此本文仅介绍基于拨号ADSL的动态VPN。
当前,部分企业分支机构PC机较少,甚至仅有一台,如果针对单机投入硬件VPN设备,对于某些用户来讲,无疑不必要,资金投入也会带来负担,而这些用户同样需要接入总部实现远程系统互联。
就如同本文开头网友提的问题那样,需要一台在远距离的PC与总公司联网。
这样的需求,我们可选择即可提供VPN硬件设备,也提供VPN客户端软件的的厂家的产品,以VPN硬件设备来作为VPN服务器端,客户端软件作为VPN客户端。
下面我们将分别推介上述两种动态IPVPN实现方案的搭配方案,都是“VPN设备+VPN客户端软件”组合。
1.基于DDNS的动态VPN案例
(1)硬件设备——网件FVS338VPN防火墙(报价:
4900元)(图1)
图1
FVS338是一款多功能、高性价比的VPN防火墙产品,它集路由器、交换机、VPN、防火墙于一身。
266MHz处理器,16Mb内存,32Mb闪存。
8个10/100Mbps自适应LAN口,1个10/100Mbps自适应WAN口。
支持50个专用IPSecVPN隧道。
支持静态和动态RIPv1、RIPv2路由。
支持高级的状态包检测(SPI)防火墙技术。
支持为动态IP地址的VPN连接的完整域名(FQDN)技术。
美国网件公司创新地采用FQDN技术,并与国内著名花生壳动态域名服务进行捆绑,用户可以通过花生壳动态域名解析服务,利用动态IP地址的ADSL接入,大幅降低组建VPN网络的成本,成为国内中小型商用网络多分支机构VPN解决方案提供商的首选技术。
其它协议和功能还包括:
NAT、ICMP、PPPoE、DHCP、DMZ等等。
(2)软件——NETGEARVPNClient软件(图2)
图2
NETGEAR的ProsafeVPN客户端软件提供了简易的设置和无缝的兼容所有的NETGEARVPN防火墙产品线。
也能兼容其他业界领先的IPsecVPN解决方案。
VPN客户端
升级会员 