第一章VPN的概述1.1什么是VPNVPN的英文全称是“VirtualPrivateNetwork”,翻译成中文就是“虚拟专用网络”。它是在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或操作系统等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。1.2VPN的产生背景VPN的产生是伴随着企业全球化而进行的。随着Internet的商业化,大量的企业的内部网络与Internet相连,随着企业全球化的发展,不同地区企业内部的网络需要互联。以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络,以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些连接方式的价格非常昂贵,一般只有大型的企业可以承担。同时造成网络的重复建设和投资。Internet的发展,推动了采用基于公网的虚拟专用网的发展,从而使跨地区的企业的不同部门之间,或者政府的不同部门之间通过公共网络实现互联成为可能,可以使企业节省大量的通信费用和资金,也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会但是,如何保证企业内部的数据通过公共网络传输的安全性和保密性,以及如何管理企业网在公共网络的不同节点,成为企业非常关注的问题。VPN采用专用的网络加密和通信协议,可以使企业在公共网络上建立虚拟的加密通道,构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。1.3VPN标准的分类及各种VPN协议的比较VPN的分类方式比较混乱。不同的生产厂家在销售它们的VPN产品时使用了不同的分类方式,它们主要是产品的角度来划分的。而不同的ISP在开展VPN业务时也推出了不同的分类方式,他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法,主要是根据自己的需求来进行的。下面简单介绍一下按照协议类型对VPN的划分方式。1.3.1点到点隧道协议(PPTP)PPTP(Point-to-PointTunnelingProtocol)即点对点隧道协议,该协议由美国微软公司设计,用于将PPP分组通过IP网络封装传输。通过该协议,远程用户能够通过Windows操作系统以及其它装有点对点协议的系统安全访问公司网络,并能拨号连入本地ISP,通过Internet安全链接到公司网络。1.3.2第二层转发协议(L2F)第二层转发协议(L2F)用于建立跨越公共网络(如因特网)的安全隧道来将ISPPOP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。1.3.3第二层隧道协议(L2TP)第二层隧道协议(L2TP)是用来整合多协议拨号服务至现有的因特网服务提供商点。PPP定义了多协议跨越第二层点对点链接的一个封装机制。特别地,用户通过使用众多技术之一(如:拨号POTS、ISDN、ADSL等)获得第二层连接到网络访问服务器(NAS),然后在此连接上运行PPP。在这样的配置中,第二层终端点和PPP...
