VPN技术的通俗解释与实验.pdfVIP

VPN 技术的通俗理解与实验 1.1 概述 VPN 的全称是Virtual Private Network ，翻译过来一般称为虚拟 专用网络。其主要作用就是利用公用网络（主要是互联网）将多个私 有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通 信的成本。 一般来说两台连接上互联网的计算机只要知道对方的IP 地址， 是可以直接同通信的。不过位于这两台计算机之后的网络是不能直接 互联的，原因是这些私有的网络和公用网络使用了不同的地址空间或 协议，即私有网络和公用网络之间是不兼容的。VPN 的原理就是在 这两台直接和公用连接的计算机之间建立一个条专用通道。连个私有 网络之间的通信内容经过这两台计算机或设备打包通过公用网络的 专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转 发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通 信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的 线路接头。 由于VPN 连接的特点，私有网络的通信内容会在公用网络上传 输，出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过 程的打包和解包工作则必须通过一个双方协商好的协议进行，这样在 两个私有网络之间建立VPN 通道是需要一个专门的过程，依赖于一 系列不同的协议。这些设备和相关的设备和协议组成了一个VPN 系 统。一个完整的VPN 系统一般包括以下几个单元： VPN 服务器，一台计算机或设备用来接收和验证 VPN 连接的 请求，处理数据打包和解包工作。 VPN 客户端，一台计算机或设备用来发起VPN 连接的请求， 也处理数据的打包和解包工作。 VPN 数据通道，一条建立在公用网络上的数据连接。 注意所谓的服务器和客户端在 VPN 连接建立之后在通信的角 色是一样的，服务器和客户端的区别在于连接是由谁发起的而已。这 个概念在两个网络之间的连接尤其明显。 1.2 应用情景 我们可以设想一下的情景：公司的总部在广州，有两个办事处 分别在香港和上海，两个办事处的网络需要和总部连接，同时办事处 之间也需要相互连接。解决这种问题以前只有一种办法就是分别申请 两条专线连接总部和两个办事处，两个办事处之前的通信通过总部转 发。长途专线的费用是非常昂贵的，在以前也只有银行、证券公司以 及大象企业才有能力负担。 有了互联网和VPN 技术之后解决办法可以变成这样，总部通过 一条专线和互联网连接，两个办事处分别在本地申请互联网的拨号连 接。然后通过在互联网上建立两条VPN 通道将三个网络连接起来。 这样可以省去长途专线费用。不过互联网的专线连接也不便宜，这种 解决方案暂时也只有大中型公司可以负担得起。 二、 规划VPN 接入环境 VPN 不但可以用于上述网络对网络的连接，也可以用于单台计 算机到网络的连接。在使用VPN 的时候我们需要规划一下我们应用 环境。 首先我们需要列出需要连接的节点以及节点的类型，以及之间 的访问关系，即由谁发起连接和向谁发起连接的问题。这样我们可以 确认在我们环境中确定哪些地方需要安装VPN 服务器，哪些地方仅 仅是配置客户端就可以了。 对于需要安装 VPN 服务器的地方我们需要一条比较高速的互 联网线路，一个固定的 IP 地址，或者使用花生壳配置一个固定的域 名。 下面的介绍时基于微软间操作系统进行的。微软的操作系统中 提供VPN 服务器功能的有Window 2000 Server 和Advance Server ， 以及比较久的NT Server 4.0 ，当然这些操作系统也可以作为VPN 的 客户端。其他的则全部都可以作为VPN 客户端。（Window95 必须安 装Dialup Network 1.3 组件）。 确定了服务器和客户端之后，我们还需要规划个节点的 IP 地 址。每个私有网络必须使用不同的地址段，在各自的地址段中必须划 分出一部分用于VPN 的接入。 以下的介绍我们都是围绕着Window2000 的配置进行的。