基于Windows2000的VPN实现第一章引言1.1虚拟专用网络的出现随着信息化程度的不断推进,越来越多的企业开始享受信息化所带来的高效率和便利,这其中很多企业在全国各地都拥有自身的分支机构,但人数和规模较小。对于这些企业,对分支机构进行信息化建设的时候,会比较注意经济性的考虑,对成本比较敏感。一般不希望租用DDN等专线接入,希望使用较经济的PSTN拨号或者ADSL等接入形式,但这些只能提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,因此他们迫切需要一种经济的、安全的组网方式。虚拟专用网络的提出就是来解决这些问题。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。如图1-1所示。图1-1虚拟专用网的示意图虚拟专用网络允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明,用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接,进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通讯,所以得名虚拟专用网络。1.2虚拟专用网络的概述VPN--虚拟专用网(VirtualPrivateNetwork)是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的。基于Internet的VPN也称为IP-VPN。单纯仿真一条点到点的连接,数据只要经过封装,再加上一个提供路由信息的报头就可以了。而如果要仿真一条专线,为保证传输数据的安全,通常还要对数据进行加密处理。VPN连接必须同时包含数据封装和加密两方面。图1-2VPN示意图有了VPN,用户在家里或在路途中也可以利用Internet或其他公共网络对企业服务器进行远程访问。从用户的角度来看,VPN就是在用户计算机即VPN客户机和企业服务器即VPN服务器之间点到点的连接,由于数据通过一条仿真专线传输,用户感觉不到公共网络的实际存在,能够像在专线上一样处理企业内部信息。换言之,虚拟专用网不是真正的专用网络,但却能够实现专用网络的功能。VPN可以使企业通过公共网络在公司总部和各远程分部以及客户之间建立快捷,安全、可靠的信息通信。这种连接方式在概念上等同于传统广域网WAN的运作。VPN技术的出现,使企业不再依赖于昂贵的长途拨号以及长途专线服务,而代之以本地ISP提供的VPN服务。从企业中心站点铺设至当地ISP的专线要比传统WAN解决方案中的长途专线短得多,因而成本也低廉得多。1.2.1典型VPN的组成VPN的构成一个典型VPN的组成部分如图1-3所示:图1-3VPN的构成VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:可以是终端计算机也可以是路由器。隧道:数据传输通道,在其中传输的数据必须经过封装。VPN连接:在VPN连接中,数据必须经过加密。隧道协议:封装数据、管理隧道的通信标准。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享型网络。注:隧道里也可以发送未经加密的数据,但在这种情况下,专用数据没有经过加密处理而以易读形式在公共网络上传输,因而不属于VPN连接。1.2.2VPN与专线的区别与传统的电信专线网络相比,VPN虚拟专网具备以下优势廉价的网络接入VPN虚拟专网利用免费的Internet资源将企业在全省乃至全国的各分支机构进行互联,各节点全部采用本地电话或本地专线接入方式,大大节省了长途拨号及长途专线的连接费用(VPN与专线访问的比较如下表所示)。表1-1VPN与专线访问的比较图比较项目VPN远程拨号专线通平台Internet等公共基极IP网络PSDNDDS、微波等通费用低高高设备投资日常维护成本支持的用户类型低低移动用户、局域网较高高移动用户、局域网高高局域网系统扩...
