VPN技術(shù)簡介

作為VPN服務(wù)器實際上就是一臺路由器，一般需要安裝兩塊或以上的網(wǎng)卡，其中一塊網(wǎng)卡負責和互聯(lián)網(wǎng)連接。另一塊網(wǎng)卡則連接內(nèi)部網(wǎng)絡(luò)。在進行下面的配置之前首先必須檢測服務(wù)器和互聯(lián)網(wǎng)的連接是否正常。

另外很重要的一點就是必須保證服務(wù)器和互聯(lián)網(wǎng)連接的網(wǎng)卡獲得的是一個公網(wǎng)地址，即接入的ISP不是使用地址轉(zhuǎn)換技術(shù)。檢測的辦法如下：

在命令行輸入ipconfig，檢查和互聯(lián)網(wǎng)連接的網(wǎng)卡的IP地址，如果其地址在下列范圍之一則不是公網(wǎng)地址，ISP使用了地址轉(zhuǎn)換技術(shù)提供接入服務(wù)。

10.0.0.0-10.255.255.255

172.16.0.0-172.31.255.255

192.168.0.0-192.168.255.255

前 言

隨著當今社會的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)可謂無所不在，信息技術(shù)的高速發(fā)展和信息量的飛速膨脹，使得誕生于70年代的Internet得以快速發(fā)展。如今無論是公司還是個人辦公，都越來越離不開網(wǎng)絡(luò)，許多企業(yè)和政府機構(gòu)紛紛將自己的局域網(wǎng)連入Internet，然而，網(wǎng)絡(luò)也帶來了一系列問題：隨著企業(yè)的不斷擴大，分支機構(gòu)越來越多，合作伙伴越來越多，移動用戶也越來越多，企業(yè)希望能通過無處不在的因特網(wǎng)來實現(xiàn)方便快捷的訪問，既經(jīng)濟又安全的企業(yè)間的互聯(lián)成了一個很重要的問題。

目前，國內(nèi)企業(yè)內(nèi)部的信息化程度越來越高，很多企業(yè)都建有自己的局域網(wǎng)，并且部署了財務(wù)系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)等等，但建設(shè)和維護一個遠程基礎(chǔ)數(shù)據(jù)傳輸所需的昂貴費用卻使絕大多數(shù)企業(yè)望而卻步，如果采用DDN專線方式，昂貴的網(wǎng)絡(luò)運營費用將給企業(yè)帶來沉重的思想負擔。它們只能通過遠程撥號訪問、簡單的FTP傳輸?shù)仁侄蝸砭S系不同地域信息系統(tǒng)之間數(shù)據(jù)交換的最低要求，嚴重制約了信息系統(tǒng)整體效能的發(fā)揮。另外，雖然INTERNET為企業(yè)實現(xiàn)數(shù)據(jù)訪問提供了方便，但其高度開放性和松散管理結(jié)構(gòu)也使得企業(yè)面臨的網(wǎng)絡(luò)安全問題益發(fā)尖銳，成了Internet作為商務(wù)網(wǎng)絡(luò)必須跨越的重大障礙。在這樣的背景下，企業(yè)迫切需要一種低成本的網(wǎng)絡(luò)互聯(lián)解決方案，以實現(xiàn)異地分支機構(gòu)、合作伙伴或移動用戶與企業(yè)總部之間暢通、安全地交換或共享業(yè)務(wù)數(shù)據(jù)。

網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)的規(guī)模越來越大。從局域網(wǎng)、廣域網(wǎng)到全球最大的互聯(lián)網(wǎng)Internet，從封閉式的、自成體系的網(wǎng)絡(luò)系統(tǒng)環(huán)境到開放式的網(wǎng)絡(luò)系統(tǒng)環(huán)境，這一切無不說明人們在面臨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的同時，也面臨著對網(wǎng)絡(luò)建設(shè)的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設(shè)計網(wǎng)絡(luò)系統(tǒng)，選擇什么樣的網(wǎng)絡(luò)系統(tǒng)、拓撲結(jié)構(gòu)、服務(wù)器、客戶機、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫軟件，由哪些供應(yīng)商提供以上所說的網(wǎng)絡(luò)系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)的作用，取得應(yīng)有的經(jīng)濟效益，這已不僅涉及簡單的部件組合，而且需要技術(shù)和管理知識有機結(jié)合起來，其已成為當前網(wǎng)絡(luò)建設(shè)中亟待解決的問題。

DDN 技術(shù)雖然可以實現(xiàn)企業(yè)間互連，但租金昂貴；ADSL寬帶雖然價格低廉，但其只能應(yīng)用于企業(yè)接入Internet ，不能實現(xiàn)企業(yè)之間的互聯(lián)。由于安全意識淡薄，同時又缺乏應(yīng)有的安全防范措施，使得非法入侵、對數(shù)據(jù)進行篡改和竊聽等事件時有發(fā)生。雖然一些企業(yè)也采取了相應(yīng)的安全措施如建立自己的防火墻等，但是據(jù)報道有1/3的防火墻已被黑客攻破，許多安全措施也形同虛設(shè)。為了防止非法用戶進入內(nèi)部網(wǎng)絡(luò)對數(shù)據(jù)進行存取和竊聽，必須認真解決驗證對方身份、防止抵賴、確保數(shù)據(jù)的真實性和完整性等安全問題。

有沒有一種接入方式既可以訪問Internet，又可以實現(xiàn)企業(yè)互連，同時接入費用低廉的方式呢？

為此，各種網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品應(yīng)運而生，其中虛擬專用網(wǎng)VPN（Virtual Private Network）及其相關(guān)技術(shù)經(jīng)過多年的實踐、發(fā)展和完善，以其方便性、安全性、標準化、成本低等優(yōu)勢脫穎而出，逐步成為實現(xiàn)企業(yè)網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)手段，是目前和今后一段時間內(nèi)企業(yè)構(gòu)建廣域網(wǎng)絡(luò)的發(fā)展趨勢，據(jù)有關(guān)研究機構(gòu)統(tǒng)計，企業(yè)通過使用VPN能比專用網(wǎng)節(jié)省60％的資金。

虛擬專用網(wǎng)VPN 技術(shù)早在1993年，歐洲虛擬專用網(wǎng)聯(lián)盟（EVUA ）就成立了，力圖在全歐洲范圍內(nèi)推廣VPN 。由于Internet 的迅猛發(fā)展為VPN 提供了技術(shù)基礎(chǔ)，全球化的企業(yè)為VPN 提供了市場，使得VPN開始遍布全世界。尤其是近幾年，VPN以迅猛發(fā)展之勢博得了眾多用戶的喜愛和好評。據(jù)賽迪顧問預(yù)測，2005年，中國VPN市場需求將迅速增加，具體的數(shù)字可以說明這一點：2000年以來，這一市場以每年1-2倍的速度增長，2004年更是達到了2.5倍的增長速度，“保守一點，2005年也會保持這一速度。”

企業(yè)實際構(gòu)建虛擬專用網(wǎng)絡(luò)需要對一系列與互通和安全相關(guān)的問題作出決策，如VPN技術(shù)和產(chǎn)品的選用、用戶認證、私有IP地址的分配和傳送、NAT、流量控制等等。

什么是VPN技術(shù)?

兩個人之間打電話，只要知道對方的電話號碼就可以了，按照同樣得道理來說，兩個網(wǎng)絡(luò)用戶只要知道對方的IP地址，就能夠互相訪問。實際上，由于公網(wǎng)和私網(wǎng)的不兼容性，這兩個用戶之間并不能自由地互相通信。VPN技術(shù)的出現(xiàn)，可以在這兩個用戶之間搭建一條專用通道，保證其聯(lián)通性。

VPN（Virtual Private Network）即虛擬專用網(wǎng)。它是在Internet網(wǎng)絡(luò)中建立一條虛擬的專用通道，讓兩個遠距離的網(wǎng)絡(luò)客戶能在一個專用的網(wǎng)絡(luò)通道中相互傳遞資料而不會被外界干擾或竊聽。

所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。

按照以前的企業(yè)互連方式，企業(yè)與其子公司之間要拉一根專線，而每年卻需為這根專線支付昂貴的專線費，如若改用VPN方案，利用Internet組建私有網(wǎng)，將大筆的專線費用縮減為少量的市話費用和Internet費，如果愿意，企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的ISP 來完成。

1、一個完整的VPN系統(tǒng)一般包括以下幾個單元：

VPN服務(wù)器：一臺計算機或設(shè)備用來接收和驗證VPN連接的請求，處理數(shù)據(jù)打包和解包工作。

VPN客戶端：一臺計算機或設(shè)備用來發(fā)起VPN連接的請求，也處理數(shù)據(jù)的打包和解包工作。

VPN數(shù)據(jù)通道：一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。

注意所謂的服務(wù)器和客戶端在VPN連接建立之后在通信中的角色是相同的，它們的區(qū)別只在于連接是由誰發(fā)起的而已。

2、VPN可以實現(xiàn)哪些功能？

第一，DDN技術(shù)雖然可以實現(xiàn)企業(yè)間互連，但租金昂貴；ADSL寬帶雖然價格低廉，但其只能應(yīng)用于企業(yè)接入Internet ，不能實現(xiàn)企業(yè)之間的互聯(lián)。VPN可以幫助實現(xiàn)既經(jīng)濟又安全的企業(yè)間互聯(lián)，即企業(yè)可以通過無處不在的因特網(wǎng)來實現(xiàn)方便快捷的互訪。

第二，雖然INTERNET為企業(yè)實現(xiàn)數(shù)據(jù)訪問提供了方便，但其高度開放性和松散管理結(jié)構(gòu)也使得企業(yè)面臨嚴重的網(wǎng)絡(luò)安全問題。用戶可以利用加密技術(shù)對經(jīng)過 VPN 隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。

3、VPN的使用限制

第一，如果是在公司內(nèi)部局域網(wǎng)與外部網(wǎng)絡(luò)之間搭建VPN，必須保證服務(wù)器和互聯(lián)網(wǎng)連接的網(wǎng)卡獲得的是一個公網(wǎng)地址，不是使用地址轉(zhuǎn)換技術(shù)。

第二，在安裝VPN服務(wù)器的一端必須要有固定IP地址，客戶端要事先知道服務(wù)器端的IP地址才能發(fā)起連接。而大多數(shù)用戶寬帶上網(wǎng)的IP地址都是變化的，所以必須把動態(tài)IP地址轉(zhuǎn)換成靜態(tài)。

使用動態(tài)IP的用戶，可以把動態(tài)域名解析服務(wù)和VPN方案相結(jié)合使用，把動態(tài)IP解析成靜態(tài)。

4、常用的VPN三種部署方案

1．采用純軟件方式，總部安裝VPN總部軟件網(wǎng)關(guān)，分部安裝VPN分部網(wǎng)關(guān)，移動用戶（包括在外的筆記本和遠程的單機）安裝VPN客戶端。這種方案有用微軟的NT系統(tǒng)和桌面系統(tǒng)來做的,也有第三方開發(fā)的VPN服務(wù)與客戶端軟件。

2．總部采用帶VPN功能防火墻，分部用帶VPN功能的寬帶路由器，移動用戶（包括在外的筆記本和遠程的單機）安裝防火墻帶的VPN客戶端。VPN防火墻這類設(shè)備相對一般的帶VPN功能的寬帶路由器來說比較專業(yè)。較著名的產(chǎn)品比如有：NetScreen，Nokia，安氏等。這些產(chǎn)品都能支持100條以上的VPN，數(shù)據(jù)吞吐率有較高表現(xiàn)，適用于企業(yè)機構(gòu)的網(wǎng)絡(luò)核心。

3．總部采用帶VPN功能寬帶路由器，分部能上寬帶的用帶VPN功能的寬帶路由器，移動用戶（包括在外的筆記本和遠程的單機）安裝WINDOWS帶的VPN客戶端。

對于較大的企業(yè)來說可以選擇第二種方案，在網(wǎng)絡(luò)性能方面有更高考慮。因為在使用VPN加解密技術(shù)后，數(shù)據(jù)的傳送速度將相應(yīng)下降。小企業(yè)一般采用第三種方案就足夠了，市面上的產(chǎn)品豐常豐富。