您好!欢迎来到金万维 [登录] [免费注册]
动态域名教程

VPN技术简介

2009-06-12

作为VPN服务器实际上就是一台路由器,一般需要安装两块或以上的网卡,其中一块网卡负责和互联网连接。另一块网卡则连接内部网络。在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。

另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址,即接入的ISP不是使用地址转换技术。检测的办法如下:

在命令行输入ipconfig,检查和互联网连接的网卡的IP地址,如果其地址在下列范围之一则不是公网地址,ISP使用了地址转换技术提供接入服务。

10.0.0.0-10.255.255.255

172.16.0.0-172.31.255.255

192.168.0.0-192.168.255.255


前 言

随着当今社会的不断发展,网络技术可谓无所不在,信息技术的高速发展和信息量的飞速膨胀,使得诞生于70年代的Internet得以快速发展。如今无论是公司还是个人办公,都越来越离不开网络,许多企业和政府机构纷纷将自己的局域网连入Internet,然而,网络也带来了一系列问题:随着企业的不断扩大,分支机构越来越多,合作伙伴越来越多,移动用户也越来越多,企业希望能通过无处不在的因特网来实现方便快捷的访问,既经济又安全的企业间的互联成了一个很重要的问题。

目前,国内企业内部的信息化程度越来越高,很多企业都建有自己的局域网,并且部署了财务系统、ERP系统、OA系统等等,但建设和维护一个远程基础数据传输所需的昂贵费用却使绝大多数企业望而却步,如果采用DDN专线方式,昂贵的网络运营费用将给企业带来沉重的思想负担。它们只能通过远程拨号访问、简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求,严重制约了信息系统整体效能的发挥。另外,虽然INTERNET为企业实现数据访问提供了方便,但其高度开放性和松散管理结构也使得企业面临的网络安全问题益发尖锐,成了Internet作为商务网络必须跨越的重大障碍。在这样的背景下,企业迫切需要一种低成本的网络互联解决方案,以实现异地分支机构、合作伙伴或移动用户与企业总部之间畅通、安全地交换或共享业务数据。

网络技术迅猛发展,网络的规模越来越大。从局域网、广域网到全球最大的互联网Internet,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不说明人们在面临着网络技术迅猛发展的同时,也面临着对网络建设的挑战。如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得应有的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来,其已成为当前网络建设中亟待解决的问题。

DDN 技术虽然可以实现企业间互连,但租金昂贵;ADSL宽带虽然价格低廉,但其只能应用于企业接入Internet ,不能实现企业之间的互联。由于安全意识淡薄,同时又缺乏应有的安全防范措施,使得非法入侵、对数据进行篡改和窃听等事件时有发生。虽然一些企业也采取了相应的安全措施如建立自己的防火墙等,但是据报道有1/3的防火墙已被黑客攻破,许多安全措施也形同虚设。为了防止非法用户进入内部网络对数据进行存取和窃听,必须认真解决验证对方身份、防止抵赖、确保数据的真实性和完整性等安全问题。

有没有一种接入方式既可以访问Internet,又可以实现企业互连,同时接入费用低廉的方式呢?

为此,各种网络安全技术和产品应运而生,其中虚拟专用网VPN(Virtual Private Network)及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化、成本低等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势,据有关研究机构统计,企业通过使用VPN能比专用网节省60%的资金。

虚拟专用网VPN 技术早在1993年,欧洲虚拟专用网联盟(EVUA )就成立了,力图在全欧洲范围内推广VPN 。由于Internet 的迅猛发展为VPN 提供了技术基础,全球化的企业为VPN 提供了市场,使得VPN开始遍布全世界。尤其是近几年,VPN以迅猛发展之势博得了众多用户的喜爱和好评。据赛迪顾问预测,2005年,中国VPN市场需求将迅速增加,具体的数字可以说明这一点:2000年以来,这一市场以每年1-2倍的速度增长,2004年更是达到了2.5倍的增长速度,“保守一点,2005年也会保持这一速度。”

企业实际构建虚拟专用网络需要对一系列与互通和安全相关的问题作出决策,如VPN技术和产品的选用、用户认证、私有IP地址的分配和传送、NAT、流量控制等等。

什么是VPN技术?

两个人之间打电话,只要知道对方的电话号码就可以了,按照同样得道理来说,两个网络用户只要知道对方的IP地址,就能够互相访问。实际上,由于公网和私网的不兼容性,这两个用户之间并不能自由地互相通信。VPN技术的出现,可以在这两个用户之间搭建一条专用通道,保证其联通性。

VPN(Virtual Private Network)即虚拟专用网。它是在Internet网络中建立一条虚拟的专用通道,让两个远距离的网络客户能在一个专用的网络通道中相互传递资料而不会被外界干扰或窃听。

所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。

按照以前的企业互连方式,企业与其子公司之间要拉一根专线,而每年却需为这根专线支付昂贵的专线费,如若改用VPN方案,利用Internet组建私有网,将大笔的专线费用缩减为少量的市话费用和Internet费,如果愿意,企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的ISP 来完成。

1、一个完整的VPN系统一般包括以下几个单元:

VPN服务器:一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。

VPN客户端:一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。

VPN数据通道:一条建立在公用网络上的数据连接。

注意所谓的服务器和客户端在VPN连接建立之后在通信中的角色是相同的,它们的区别只在于连接是由谁发起的而已。

2、VPN可以实现哪些功能?

第一,DDN技术虽然可以实现企业间互连,但租金昂贵;ADSL宽带虽然价格低廉,但其只能应用于企业接入Internet ,不能实现企业之间的互联。VPN可以帮助实现既经济又安全的企业间互联,即企业可以通过无处不在的因特网来实现方便快捷的互访。

第二,虽然INTERNET为企业实现数据访问提供了方便,但其高度开放性和松散管理结构也使得企业面临严重的网络安全问题。用户可以利用加密技术对经过 VPN 隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。

3、VPN的使用限制

第一,如果是在公司内部局域网与外部网络之间搭建VPN,必须保证服务器和互联网连接的网卡获得的是一个公网地址,不是使用地址转换技术。

第二,在安装VPN服务器的一端必须要有固定IP地址,客户端要事先知道服务器端的IP地址才能发起连接。而大多数用户宽带上网的IP地址都是变化的,所以必须把动态IP地址转换成静态。

使用动态IP的用户,可以把动态域名解析服务和VPN方案相结合使用,把动态IP解析成静态。

4、常用的VPN三种部署方案

1.采用纯软件方式,总部安装VPN总部软件网关,分部安装VPN分部网关,移动用户(包括在外的笔记本和远程的单机)安装VPN客户端。这种方案有用微软的NT系统和桌面系统来做的,也有第三方开发的VPN服务与客户端软件。

2.总部采用带VPN功能防火墙,分部用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装防火墙带的VPN客户端。VPN防火墙这类设备相对一般的带VPN功能的宽带路由器来说比较专业。较著名的产品比如有:NetScreen,Nokia,安氏等。这些产品都能支持100条以上的VPN,数据吞吐率有较高表现,适用于企业机构的网络核心。

3.总部采用带VPN功能宽带路由器,分部能上宽带的用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装WINDOWS带的VPN客户端。

对于较大的企业来说可以选择第二种方案,在网络性能方面有更高考虑。因为在使用VPN加解密技术后,数据的传送速度将相应下降。小企业一般采用第三种方案就足够了,市面上的产品丰常丰富。