虛擬專用網(VPN)工作原理
引言
在過去幾十年中,世界發生了很大的變化?,F在很多公司除了處理本地或地區性事務外,還要考慮全球市場和物流的問題。很多公司在全國甚至全球都設有分支機構,而這些公司都需要做的一件事情就是:找到能夠與分公司進行快速、安全和可靠通信的方式,而不管這些分公司設在何處。
直到最近為止,要想實現這個目的,還只能通過利用租用線路的方式來維護廣域網(WAN)。租用線路的范圍從ISDN(集成服務數字網絡,速度為128Kbps)到OC3(光學載波第3級,速度為155Mbps)光纖,這為公司提供了一種可以將其專用網絡擴展到臨近地理位置之外的方法。與互聯網等公用網絡相比,WAN在可靠性、性能和安全性方面都具有明顯的優勢。但要維護一個 WAN,尤其是通過租用線路來維護時,費用是非常昂貴的,而且成本通常還會隨著分公司之間距離的增加而增加。
隨著互聯網的興起,企業開始尋求利用互聯網來擴展他們的網絡。首先出現的是Intranet(企業內部互聯網),這是一種專供公司員工使用而設計的站點,受密碼保護?,F在,很多公司都搭建了自己的VPN(虛擬專用網),以滿足遠程員工和分公司的需求。
思科系統公司供圖 一個典型的VPN可能包括公司總部的主LAN、遠程分公司或分支機構的其他LAN以及從網絡外部連接進來的個人用戶。 |
從原理上來說,VPN就是利用公用網絡(通常是互聯網)把遠程站點或用戶連接到一起的專用網絡。與使用實際的專用連接(例如租用線路)不同,VPN使用的是通過互聯網路由的“虛擬”連接,把公司的專用網絡同遠程站點或員工連接到一起。在本文中,您將了解到VPN的基礎知識,以及基本的VPN組件、技術、隧道技術和安全性。
VPN由什么組成?
一個設計良好的VPN可以給公司帶來很多好處。例如,它可以:
- 擴展地理連接
- 改進安全性
- 降低運營成本(同傳統WAN相比)
- 降低遠程用戶的傳輸時間和傳送成本
- 提高生產效率
- 簡化網絡拓撲
- 可與全球網絡連接
- 提供遠距離工作支持
- 提供寬帶網絡兼容性
- 提供更快的ROI(投資回報)——同傳統WAN相比
一個設計良好的VPN需要什么功能?它應當集成:
- 安全性
- 可靠性
- 可伸縮性
- 網絡管理
- 策略管理
VPN有三種類型。在下面幾部分中,我們將詳細地介紹這些類型。
遠程訪問VPN
常見的VPN有兩種。遠程訪問也稱為虛擬專用撥號網絡(VPDN),它是一種用戶到LAN的連接,通常用于員工需要從各種遠程位置連接到專用網絡的公司。一般來說,公司都會把搭建大型遠程訪問VPN的工作外包給企業服務提供商(ESP)。ESP首先建立一個網絡訪問服務器(NAS),并向遠程用戶提供用于他們計算機的桌面客戶端軟件。然后,遠程工作者就可以通過撥打免費號碼連接NAS,并使用他們的VPN客戶端軟件訪問公司網絡。
典型的需要使用遠程訪問VPN的公司是擁有數百個銷售人員的大型公司。遠程訪問VPN能夠通過第三方服務提供商在公司專用網絡和遠程用戶之間實現加密的安全連接。
三種類型VPN的示例 |
站點到站點式VPN
利用專用設備和大規模加密,公司可以通過公用網絡(如互聯網)連接到多個固定的站點。站點到站點式VPN有以下兩種類型:
- 基于Intranet——如果公司有一個或多個遠程位置想要加入到一個專用網絡中,他們可以建立一個Intranet VPN,以便將LAN連接到另一個LAN。
- 基于Extranet——如果公司同其他公司(例如合作伙伴、供應商或客戶)的關系緊密,他們可以建立一個Extranet VPN,以便將LAN連接到另一個LAN,同時讓所有公司都能在一個共享環境中工作。
三種類型VPN的示例 |
模擬演示:每個局域網都是一個孤島
假設您生活在廣袤海洋中的一個島上。您周圍還有很多其他的島嶼,有一些離得非常近,有一些則離得比較遠。若要去其他島,通常的方式應該是從您的島乘船前往要去的地方。當然,乘船也就意味著您幾乎沒有什么隱私——無論您做什么別人都能看到。
現在我們把每個島看成一個專用局域網,而海洋就是互聯網。乘船旅行就像通過互聯網連接到Web服務器或其他設備。您無法控制互聯網的線路和路由器,就像您無法控制船上的其他人一樣。顯然,如果您要使用公用資源連接兩個專用網絡的話,這種方式是無法保障安全性的。
繼續我們的模擬演示。假設您所在的島現在決定建造一座通往另一個島嶼的橋,這樣人們可以更方便、更安全地直接來往于兩個島之間。即使您要連接的兩個島離得非常近,建造和維護一座橋的成本還是很高的,但您又特別想找到一種安全可靠的方式前往其他島,所以您不顧一切地建了這座橋。您所在的島可能還想同另外一個離得稍遠的島建立連接,但最終發現無法承擔那么高的成本。
這同使用租用線路的情況非常類似。橋(租用線路)獨立于海洋(互聯網),但它讓您能夠連接各個島嶼(局域網)。很多公司選擇這種路由方式,是因為它們需要安全可靠地連接自己的遠程分公司。不過,如果分公司離得非常遠,那么成本會高得難以承受,這和建造跨度很大的橋的情況一樣。
那么,VPN在這中間又有什么作用呢?還是使用我們的模擬演示。我們可以給兩個島上的每位居民一艘小型潛水艇。假設您的潛水艇具有一些驚人的特性:
- 它很快。
- 您到哪里都可以方便地帶著它。
- 它可以讓其他任何船只或潛水艇都看不到您。
- 它很可靠。
- 只要買了第一艘潛水艇,以后再買其他潛水艇時只需很少的錢。
在我們的模擬演示中,擁有潛水艇的每個人就 相當于有權訪問公司專用網絡的遠程用戶。 |
盡管這兩個島上的居民還是和其他人一樣在海上航行,但他們卻可以隨時穿梭往返,而不會存在隱私和安全性的問題。這就是VPN的工作原理。利用互聯網作為媒介連接到專用LAN,網絡的每個遠程成員都可以通過一種安全可靠的方式進行通信。與租用線路相比,VPN還可以更方便地擴大范圍,從而適應更多用戶和不同位置的需求。事實上,可伸縮性正是VPN相對于典型租用線路的主要優勢。與成本隨著距離的增加而增加的租用線路不同,地理位置的遠近對VPN的影響是微乎其微的。
VPN安全性:防火墻
一個設計良好的VPN可以使用多種方法來保護連接和數據的安全性:
- 防火墻
- 加密技術
- IPSec
- AAA服務器
在接下來的幾部分中,我們將分別介紹這些方法。首先從防火墻說起。
防火墻在專用網絡和互聯網之間提供了一道強大的屏障。您可以設置防火墻來限制開放端口的數量以及允許通過防火墻的數據包類型和協議。有些VPN產品,例如思科公司的1700路由器,可以通過運行相應的Cisco IOS進行升級,從而具備防火墻功能。在安裝VPN之前,您應該先部署好一個功能強大的防火墻,但防火墻也可以用于終止VPN會話。
VPN安全性:加密技術
加密是指一臺計算機把要發送給另一臺計算機的所有數據編碼為只有后者才能解碼的格式的過程。大多數計算機加密系統都屬于以下兩種類型之一:
- 對稱密鑰加密
- 公鑰加密
在對稱密鑰加密中,每臺計算機都有一個密鑰(代碼),用于對通過網絡發送到另一臺計算機的信息包進行加密。對稱密鑰要求您知道將要進行通信的計算機是哪一臺,以便在每臺計算機上安裝密鑰。對稱密鑰加密實際上與密碼相同,兩臺計算機都必須知道密碼才能對信息進行解碼。這個代碼提供了用于對信息進行解碼的密鑰。下面是一個簡單的例子:您創建一條經過編碼的消息,并將原消息中的每個字母都替換為其在字母表中后兩位的字母,然后發送給朋友。這樣“A”變成了“C”,“B”變成了“D”。您告訴自己信任的朋友說代碼是“后移兩位”。這樣您的朋友收到消息時就可以進行解碼,從而得知消息的內容。任何其他看到該消息的人看見的只是無意義的內容。
發送方的計算機使用對稱密鑰對文檔進行加密,然后又使用
接收方的計算機的公鑰對對稱密鑰進行加密。接收方的計算機
使用其私鑰來解碼對稱密鑰,然后使用對稱密鑰來解碼文檔。
公鑰加密方法結合使用了私鑰和公鑰。私鑰只有您自己的計算機知道,而公鑰則由您的計算機提供給其他任何希望進行安全通信的計算機。若要解碼被加密的消息,計算機必須使用發送方的計算機提供的公鑰以及它自己的私鑰。Pretty Good Privacy(PGP)是一種非常流行的公鑰加密實用工具,它幾乎可對任何數據進行加密。
VPN安全性:IPSec
網絡協議安全性協議(IPSec)提供了增強的安全功能,例如更好的加密算法和更全面的身份驗證。
思科系統公司供圖 利用IPSec的遠程訪問VPN |
IPSec具有兩種加密模式:隧道和傳輸。隧道模式對每個數據包的標題和有效負載都加密,而傳輸模式僅加密有效負載。只有兼容IPSec的系統才能使用這種協議。此外,所有設備都必須使用一個公共密鑰,而且每個網絡的防火墻都必須具有相似的安全策略設置。IPSec可以加密各種設備之間的數據,例如:
- 路由器到路由器
- 防火墻到路由器
- 個人計算機到路由器
- 個人計算機到服務器
VPN安全性:AAA服務器
AAA服務器(驗證、授權和計費)用于在遠程訪問VPN環境中實現更加安全的訪問。當撥號客戶端要求建立會話的請求傳入后,該請求會被代理發送給AAA服務器。然后,AAA服務器會檢查以下事項:
- 您是誰(驗證)
- 您可以做什么(授權)
- 您實際做了什么(計費)
計費信息尤其適用于跟蹤客戶端的使用情況,以便進行安全審核、開票或報告目的。
安裝VPN
根據VPN類型的不同(遠程訪問或站點到站點),您需要在建立VPN之前事先部署一些組件。這些組件可能包括:
由于安裝VPN并沒有一個廣泛接受的標準,因此很多公司自主開發了一站式解決方案。在下面幾部分中,我們將討論思科系統公司(最著名的網絡技術公司之一)提供的幾種解決方案。
VPN集中器
Cisco VPN集中器融合了最先進的加密技術和身份驗證技術,專門為創建遠程訪問VPN而設計。它們提供了高實用性、高性能和可伸縮性,并包括稱為可伸縮加密處理模塊(SEP)的組件,讓用戶可以方便地提高容量和吞吐量。集中器是以模型形式提供的,可以滿足任何企業規模的需求,從最多只有100位遠程訪問用戶的小型企業到最多10,000位并發遠程用戶的大型組織。
Cisco VPN3000集中器 |
專門針對VPN優化的路由器
思科公司專門針對VPN優化的路由器提供了可伸縮性、路由功能、安全性和 QoS(服務質量)。以 Cisco IOS(互聯網操作系統)軟件為基礎,他們提供了一種路由器,可以滿足從通過中心站點VPN聚合訪問的小型辦公室/家庭辦公室到大規模企業的各種環境需求。
Cisco 1750型模塊化接入路由器 |
PIX防火墻
PIX(專用互聯網交換)防火墻是一項很了不起的技術,它把動態網絡地址轉換、代理服務器、數據包過濾、防火墻和VPN功能全部集成到單個硬件中。
思科系統公司供圖 思科PIX防火墻 |
與使用Cisco IOS不同,該設備具有一個高度簡化的操作系統,擁有處理各種協議的能力,從而通過跟蹤IP來獲得極好的穩定性和表現。
隧道技術
大多數VPN都依靠隧道技術來建立可通過互聯網訪問的專用網絡。從實質上來說,隧道技術就是將整個數據包放入另一個數據包中,并將后者通過網絡發送出去的過程。網絡和數據包進出網絡的入口點和出口點(我們稱為隧道接口)都能夠理解外部數據包的協議。
隧道技術需要使用三種不同協議:
- 運載協議——網絡作為信息傳輸媒介的協議
- 封裝協議——用于封裝原始數據的協議(GRE、IPSec、L2F、PPTP、L2TP)
- 乘客協議——將要攜帶的原始數據(IPX、NetBeui、IP)
隧道技術對于VPN具有重要意義。例如,您可以將使用某種不受互聯網支持的協議(例如NetBeui)的數據包放入IP數據包中,然后通過互聯網將其安全地發送出去。您也可以將使用專有(不可路由)IP地址的數據包放入使用一個通用唯一的IP地址的數據包中,從而通過互聯網擴展專有網絡。
隧道技術的動畫演示
隧道技術:站點到站點
在站點到站點式VPN中,通常使用GRE(通用路由封裝)作為封裝協議,它提供了如何封裝乘客協議的框架,以便在運載協議(通常是基于IP的協議)中傳輸乘客協議。這包括有關要封裝的數據包的類型信息,以及客戶端和服務器之間的連接信息。隧道模式中的IPSec有時也用來取代GRE,充當封裝協議。IPSec適用于遠程訪問VPN和站點到站點式VPN。但必須要兩個隧道接口都支持 IPSec才能使用IPSec。
隧道技術:遠程訪問
在遠程訪問VPN時,隧道技術通常使用PPP來實現。作為TCP/IP堆棧的一部分,PPP(端對端協議)在主機通過網絡同遠程系統通信時會作為其他IP協議的載體。遠程訪問VPN隧道技術能否實現取決于PPP。
下面列出的各種協議都是使用PPP的基本結構建立的,它們都用于遠程訪問 VPN。
- L2F(第二層轉發)——L2F由思科公司開發,它可以使用PPP支持的任何身份驗證架構。
- PPTP(點對點隧道協議)——PPTP由PPTP Forum開發,PPTP Forum 是一個聯盟,其成員包括US Robotics、Microsoft、3COM、Ascend和ECI Telematics。PPTP支持40位和128位加密,并可以使用PPP支持的任何身份驗證架構。
- L2TP(第二層隧道協議)——L2TP是由PPTP Forum各成員、思科公司和IETF(互聯網工程工作組)聯手打造的產品。它結合了PPTP和L2F的功能,且完全支持IPSec。
L2TP可以用作站點到站點式VPN以及遠程訪問VPN的隧道協議。事實上,L2TP可以在下列設備之間建立隧道:
- 客戶端和路由器
- NAS和路由器
- 路由器和路由器
卡車相當于運載協議,盒子相當于封裝協議,計算機則是乘客協議。 |
您可以把隧道想像成是通過UPS把計算機遞送給您的情形。供應商UPS公司用盒子(封裝協議)包裝好計算機(乘客協議),然后把它放到停在自己倉庫(隧道入口)中的一輛UPS卡車(運載協議)上。這輛卡車(運載協議)通過高速公路(互聯網)駛達您家(隧道出口),并把計算機交付給您。您打開盒子(封裝協議),并取出計算機(乘客協議)。隧道技術的原理就是這么簡單!
可以看出,VPN是公司用于連接各地員工和合作伙伴的很好的方式。
評論
查看更多