VPN,全稱“虛擬專用網”。這是相對于實際的專有網絡而言的。實際的專有網絡比如銀行,政府機構,大型企業等等。通過租用專有的線路進行互聯。而VPN是通過公共互聯網傳播私有數據的一種技術。這種技術通常使用在如下的網絡:
圖 一 VPN網絡示例
下面首先簡單介紹一下各種VPN技術和各自長短。
GRE:通用路由封裝技術。這種技術是在IP數據包的外面再加上一個IP頭。通俗的說,就是把私有數據進行一下偽裝,加上一個“外套”,傳送到其他地方。因為企業私有網絡的IP地址通常是自己規劃,無法和外部互聯網進行正確的路由。而在企業網絡的出口,通常會有一個互聯網唯一的IP地址。這個地址可以在互聯網中唯一識別出來。GRE就是把目的IP地址和源地址為企業內部地址的數據報文進行封裝,加上一個目的地址為遠端機構互聯網出口的IP地址,源地址為本地互聯網出口的IP地址的IP頭,從而經過通過互聯網進行正確的傳輸。這種技術是最簡單的VPN技術。
L2tp :全稱二層隧道傳輸協議。這是一種在特定鏈路層實現的VPN技術。具體是把二層協議PPP的報文封裝在IP 報文中,進行傳輸。這種技術主要是提供了企業員工出差在外通過撥號網絡直接訪問企業內部網絡的方式。在Windows2000中,也提供了這項功能。但是,用戶要使用這種技術,必需ISP提供支持。
IPsec: 網絡安全協議。這個協議提供了互聯網的驗證,加密等功能,實現了數據的安全傳輸。同時,可以使用這種協議構建VPN網絡。原理也是對IP包進行封裝(可以提供多種方式),并且進行加密,然后在互聯網中進行傳輸。與前面兩種相比,這種技術提供了更好的安全性。但是,協議的復雜性導致了處理Ipsec 的網絡設備(如路由器)需要占用大量的資源,效率較低。如果使用專門的加密硬件,又會增加成本。
其他還有一些最新的技術,如MPLS VPN,但是都需要ISP提供相應的服務。
下面,以目前互聯網現狀最簡單,成本最低,最有效的VPN技術——GRE為例,說明如何實際的構造中小企業的VPN網絡。
現在,許多中小企業都有一個互聯網出口供上網,查找資料,處理郵件等。所使用的技術差不多都是NAT——網絡地址轉換。雖然,這種技術可以讓內部網絡訪問互聯網,卻不能訪問其他的內部網絡。
如下圖,公司的兩個機構原來都使用NAT訪問互聯網。上網路由器可以通過ISDN,普通撥號電話線,衛星專項等上網。如果原來是使用Linux或者Windows網關上網,要實現下面的功能,必須購買路由器(目前國產的地端路由器不過幾千元)。
分支A和分支B都有一個上網使用的公共IP地址。分支A的內部網段為 172.17.1.0/24 ,分支B內部網段為 172.17.20/24。現在需要實現分支A的計算機能訪問分支B的服務器Server B,分支B機能訪問分支A的服務器Server A。為了實現這個目的,我們需要在Router A 和Router B上進行相應的配置,其他一切不變。
在Router A上:
1 配置一個虛接口(邏輯的接口,不是實際的物理接口),配置IP地址,本例中為172.17.10.1/24。
2 然后配置通道的目的地址——193.64.2.1,配置通道的源地址——202.38.1.1。
3 配置路由:到網段172.17.2.0 255.255.255.0 的下一跳為172.17.10.2。
在Router B上:
1同樣配置一個虛接口,配置IP地址——172.17.10.2/24。
2然后配置通道的目的地址——202.38.1.1,配置通道的源地址——193.64.2.1。
3 配置路由:到網段172.17.1.0 255.255.255.0 的下一跳為172.17.10.1。
配置完成以后,從Router A如果可以ping 通 Router B 上的地址172.17.10.2,就大功告成了。分支A 和分支 B上就可以進行如專線一樣的聯網應用了。
