使用GNU Virtual Private Ethernet.docxVIP

使用GNU Virtual Private Ethernet 传统虚拟专用网解决方案 大多数传统 VPN 解决方案通过支持单个连接进行工作。那个连接可能是从您的桌面计算机到您的办公室，这种连接可能会受到限制，只支持有限的传输协议，比如 TCP 和/或基于 UDP 的通信。 支持单个连接、甚至是一个网络和路由连接还不成问题，但当您向系统添加更多主机和/或更多网络时，系统将变得更加复杂。例如，如果一个 VPN 解决方案跨多个主机和多个网络，通过一系列不同的底层协议来提供通信，那么这个解决方案可能既复杂又耗资源。 图 1 展示了这样一个例子。使用常规 VPN 解决方案时，VPN Client 1 和 VPN Client 2 之间的通信只能通过 VPN Host 来路由所有网络流量才可能实现。这可能非常昂贵，特别是当各个主机全部位于同一个网络上，或通过 Internet 这样的公共接口进行通信时。 图 1. 典型 VPN??解决方案 如果您想要使用的应用程序是基于 TCP 或 UDP 的，那么协议限制不成问题。对于必须访问公司内联网（HTTP）或邮件服务（IMAP、SMTP）的情况，这些限制完全没有影响。但 VPN 解决方案中的路由和协议支持会受到一些限制。 使用 GNU Virtual Private Ethernet GNU Virtual Private Ethernet 支持在多个主机上配置和构建一个完全虚拟的网络。与典型 VPN 的 “点到点” 方法不同，GVPE 支持在虚拟网络中建立任意数量的主机，而且，您可以随时启用和停用那些主机。 GVPE 还可以通过非传统连接方法进行工作，但本文不会详细介绍这一点。例如，您可以通过本地 IP、HTTP（包括通过代理）、DNS 和 ICMP 来路由支持虚拟网络的网络流量。对于受内部限制，不能通过 HTTP 代理连接到外部世界和公共网络上的设备的计算机，可以使用这种技术来在那些计算机之间构建一个虚拟网络。 通过 GVPE 创建的网络接口也是一个通用网络设备，因此您可以通过这种连接路由非 IP 协议。另外，在虚拟网络上发送的信息将被自动路由到正确的主机并在虚拟网络中配置，如图 2 所示。 图 2. 使用 GVPE 的 VPN??解决方案 与传统 VPN 相比，包路由和包分发要灵活得多。更重要的是，由于主机间通信能够基于各种不同的传输协议，GVPE 可用于创建一个存在于公共云（比如 Amazon EC2 和 IBM Cloud）、内部云和网格解决方案、桌面机和客户机上的主机上的虚拟网络。图 3 展示了一个示例。 图 3?. 创建一个位于公共和专用网络上的虚拟网络 为方便起见，虚拟网络内的所有主机的配置信息都被共享，使得设置和扩展这个配置非常容易。 GVPE安全性 GNU Virtual Private Ethernet 的安全性通过 OpenSSL 库，借助公共/私有密匙机制进行处理。虚拟网络中的每个主机都被提供一个惟一的主机密匙，公共版本用于加密通信信道。 同时，由于虚拟专用网基于支持的、以太网级网络环境的，为每个主机都提供一个惟一的 MAC 地址，和一个本地以太网上的情况一样。这意味着您可以通过发送者（和接收者，如果必要的话）的 MAC 地址来验证信息的来源，额外提供了一级安全性。 但是，鉴于简洁性和速度因素，安全网络的身份验证和设置只通过公共/私有密匙处理，而不是通过一个典型的密码或挑战应答机制（challenge response mechanism）。这意味着您可以在启动过程中设置并启用一个 GVPE 安装，从而允许在出现故障或重新启动时重新创建虚拟网络，而不必手动设置连接。 GVPE安装 GVPE 可在在 Linux? 和许多 UNIX? 发行版上运行，但您可能需要安装其他网络驱动程序，以便创建一个动态网络设备。您可以查阅 gvpe.osdep 手册页，了解关于在各种平台上启用这个服务的更多信息，这样的平台包括 Solaris、Mac OS X 和 Windows?（使用 mingw 或 cygwin）。鉴于这个安装的目的，我们将使用 Linux。 安装 GVPE 之前，您必须确保您的内核已经配置为包含 TUN/TAP 网络内核驱动程序。您需要在您的内核配置中启用这个配置。几个桌面 Linux 安装，包括 Debian/Ubuntu 和 Fedora，可能已经启用了 TUN/TAP 驱动程序。 为了继续安装，您还需要事先安装 OpenSSL 和 OpenSSL 头部/库。另外，安装之前，您应该决定要使用的加密和摘要方法，以及您的 OpenSSL 安装将支持的组件。 GVPE 支持 aes-128、aes-192、aes-256 和 bf (blowfish) 密码，支持 sha