沈建苗
概括起来,VPN就是通过共享即公用网络在两台机器或两个网络之间建立的专用连接。实际上,VPN技术使组织可以安全地通过因特网将网络服务延伸至远程用户、分支机构和合作公司。换而言之,VPN把因特网变成了模拟的专用WAN。
诱人之处在于,因特网的触角伸及全球,如今使用网络成了大多数用户和组织的标准惯例。因而,可以快速、经济而安全地建立通信链路。
VPN的工作原理
把因特网用作专用广域网,组织就要克服两个主要障碍。首先,网络经常使用多种协议如IPX和NetBEUI进行通信,但因特网只能处理IP流量。所以,VPN就需要提供一种方法,将非IP协议从一个网络传送到另一个网络。
其次,网上传输的数据包以明文格式传输。因而,只要看得到因特网流量,也能读取包内所含数据。如果公司希望利用因特网传输重要的商业机密信息,这显然是一个问题。
VPN克服这些障碍的办法就是采用了隧道技术:数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输。
为了阐述这一概念,不妨假设你在一个网络上运行NetWare,而该网络上的客户机想连接至远程NetWare服务器。
传统NetWare使用的主要协议是IPX。所以,使用普通第2层VPN模型的话,发往远程网络的IPX包就先到达隧道发起设备??这设备可能是远程接入设备、路由器,甚至是台式机(如果是远程客户机至服务器连接的话),它为包作好网上传输的准备。
源网络上的VPN隧道发起器与目标网络上的VPN隧道终结器进行通信。两者就加密方案达成一致,然后隧道发起器对包进行加密,确保安全(为了加强安全,应采用验证过程,以确保连接用户拥有进入目标网络的相应权限。大多数现有的VPN产品支持多种验证方式。)
最后,VPN发起器将整个加密包封装成IP包。好了,现在不管原先传输的是何种协议,它都能在纯IP因特网上传输。又因为包进行了加密,谁也无法读取原始数据。
在目标网络这头,VPN隧道终结器收到包后去掉IP信息,然后根据达成一致的加密方案对包进行解密,将随后获得的包发给远程接入服务器或本地路由器,它们再把隐藏的IPX包发到网络,最终发往相应目的地。
协议方法
目前,业界有几种VPN协议浮出了水面,它们就是L2TP、IPsec和SOCKS 5。因为提供隧道功能,这些协议无异是建立VPN链路要用到的基本模块。有些协议功能重复,有些提供了类似但互补的功能。选购解决方案时需要进一步调查每种协议。与此同时,简要介绍一下这些协议:
L2TP又叫第2层隧道协议,它结合了思科的第2层转发(L2F)和微软的点对点隧道协议(PPTP)。L2TP支持任何路由协议,包括IP、IPX和AppleTalk。它还支持任何WAN主干网技术,包括帧中继、ATM、X.25和SONET。
L2TP的一个关键就是使用了PPTP。微软的这种协议是PPP的一种延伸,它属于Windows 95/98/NT的远程接入特性的一部分。所以,总的说来,大多数PC客户机随机配置了隧道功能。PPTP为Windows客户机和服务器之间的远程接入传输提供了封装网络层流量的连贯一致的方法。该协议并没有限定采用某种加密方案,但微软点对点加密(MPPE)提供了微软的一系列操作系统包含的远程接入功能。
L2TP的L2F部分使远程客户机可以通过ISP和NSP链路进行验证及连接至网络。除了基本的VPN功能外,L2TP可以从单一客户机建立多条隧道。其实,远程客户机可以同时建立通向不同系统的隧道连接??譬如连接至企业数据库应用和公司内联网。
IPsec的全名是因特网协议安全,它基本上是为IP VPN提供安全特性的一组协议。作为一种第3层功能,IPsec无法为其它第3层协议如IPX和SNA实现服务。IPsec提供了确保IP包机密性和真实性的一种手段。该协议兼容一系列标准加密方案和加密协商过程,并且兼容不同的安全系统,包括数字签名、数字证书、公钥基础设施和认证授权。
IPsec的工作方式是将原始的IP数据包封装成新的IP包,IP包添加了验证和安全报头。报头含有远程端所需的信息,远程端会参与安全协商过程,对包内所含数据进行验证和解密。
IPsec的吸引力在于互操作性。IPsec并不指定某种专用方式进行验证和加密。相反,兼容许多系统和标准。IPsec还是其它VPN协议的一个补充。例如,IPsec能够进行加密协商和验证;L2TP VPN收到内部数据包后,就会开始建立隧道,从而把封装包传送到另一个VPN端点。
VPN的另一种方案是最先由Aventail开发的SOCKS 5。SOCKS 5与L2TP和IPsec稍有不同:它采用代理服务模式,并工作在TCP套接层。若要使用SOCKS 5,系统就得配置SOCKS 5客户软件。此外,组织还要运行SOCKS 5服务器。
SOCKS 5模型的工作方式如下:首先,SOCKS 5客户机收到客户机发来的服务请求后转发给SOCKS 5服务器,服务器对照安全数据库核查请求。如果请求被许可,SOCKS 5服务器就会与客户机之间建立一条经过验证的话路,并且为客户机充当代理,执行请求操作。SOCKS 5的优点在于,它使网络管理员可以对代理流量实行特定控制。因为工作在TCP层,SOCKS 5使你可以指定哪些应用能够通过防火墙进入因特网、哪些应用不能。
VPN为何吸引人?
供应商能够如数家珍地列举VPN技术提供的一系列优点,而且随着VPN产品的逐渐成熟,会出现更多优点。
节省成本恐怕是VPN的最大卖点。如果使用因特网远距离分配网络服务,那么可以避免购置价格昂贵的租用线路通向分支机构或合作公司。还可以避免为拔号调制解调器或远地之间的ISDN话路支付长途电话费。相反,用户和系统只无须连接至本地ISP,其余的话路则交给分布广泛的因特网处理即可。至于与成本有关的另一个方面,你可以避免投资另外的WAN设备,而是利用已安装的现有网络设施。
VPN的另一个优点是,它是满足移动用户需求的理想方式。VPN使拥有VPN客户机、接入网络的任何用户都可以连接至企业网,获取网络服务。由于现在因特网接入很普遍,你在建立远程移动接入时就用不着两头兼顾用户和位置。
同理,因为使用网络很常见,你可以迅速、经济地部署网络到网络的方案。无需为每个站点购买及配置数据线路和WAN接口,只要利用每个站点的网络连接就能建成链路。这在当前的商业环境下尤其具有优势,因为合作公司也在连接网络以提高共享商业操作的速度和效率。
隧道技术的工作原理:VPN设备收到要求在网上传送包的指令后,会与目标网络上的VPN设备就加密方案进行协商,然后对包进行相应加密。接着,VPN设备将加密包封装成IP包,通过网络发送至目标网络。一旦包到达,接收方VPN终结设备就会进行相反的处理过程,使包可以继续发往内部网络上的目的地。
文章来源:赛迪网
|