浅谈VPN应用.docVIP

浅谈VPN应用 　　摘要随着互联网的发展,为适应现代跨区域组织网络应用的需要,虚拟专用网络(Virtual Private Network,以下简称VPN)提供了一种安全、低成本、易管理、切实可行的解决方案。探讨VPN技术的定义及其结构、优势、特点。结合实例讨论如何配置VPN服务器、设置用户权限等,并对VPN的未来发展趋势进行展望。 　　关键词VPN;隧道;应用 　　中图分类号TP3文献标识码A文章编号1673-9671-(2010)081-0040-02 　　 　　1VPN的定义 　　虚拟专用网(Virtual Private Network,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。虚拟专用网被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,以实现远程用户或分支机构对本企业内部网络的访问和资源共享。 　　2VPN的特点 　　1)拓展了地理空间的连通性:一个企业的分支机构或职员无论在哪里都能通过因特网访问公司内部网络。 　　2)具备完善的数据安保机制:VPN通过隧道协议和各种安全加密技术及鉴权、认证措施保证数据在公共网络上的安全。 　　3)具有良好的扩充性和灵活性。 　　4)具备完善的可管理性。包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 　　5)降低网络成本:相对传统的专线租用技术,如帧中继、ATM等,VPN节省了大量的专线租用费。 　　6)简化了网络拓扑结构。 　　7)提高了工作效率:用户通过因特网等公共网络可以很快组织起自己的私有网络,大大提高了工作效率。 　　8)灵活可扩充性:VPN可支持任何网络中的数据流和多种类型的传输媒介,满足同时传输语音、图像和数据等业务对高质量传输以及带宽增加的需求。 　　3VPN技术的应用 　　下面我们以西南石油大学南充与成都两校区的VPN具体应用做简要介绍。实验网络拓扑图(如图1所示)。 　　图1实验网络拓扑图 　　3.1拓扑环境描述和目的 　　实验环境描述: 　　1)南充和成都各有一个子网,南充校区使用的是C类网IP地址;成都校区使用的是B类网IP地址。网关指向防火墙内口 　　2)防火墙F300-Pro接口定义: 　　lan3接口→接Internet路由器 IP_WAN:218.6.128.114(由ISP提供) 　　lan1接口→接内网的交换机 IP_LAN: 192.168.10.1/24 　　内网的网络 Net_LAN:192.168.10.0/24 　　Internet的网关 GW_World:218.6.128.113(由ISP提供) 　　Lan5→为管理接口 IP_Manager:172.16.30.1 　　3)防火墙F50-Pro接口定义: 　　EXT接口→接Internet路由器 IP_WAN:125.70.254.66(由ISP提供) 　　INT接口→接内网的交换机 IP_LAN:172.16.10.1/24 　　内网的网络Net_LAN:172.16.10.0/24 　　Internet的网关 GW_World:125.70.254.65(由ISP提供) 　　DMZ接口→为管理接口 IP_Manager:172.16.30.2 　　实验达到的目的: 　　1)两台防火墙所连接的内部网络中的主机都可以上Internet; 　　2)两台防火墙之间建立VPN隧道; 　　3)分别位于两台防火墙内部的主机(192.168.10.10和172.16.10.50)可以相互Ping通,并可以相互拷贝文件。 　　3.2开始配置工作 　　首先利用Console口分别配置两台防火墙的管理接口lan5和DMZ的IP为:172.16.30.1和172.16.30.2; 　　用交叉网线连接到防火墙,并在PC设置IP为:172.16.30.10,在PC上Ping172.16.30.1和172.16.30.2可以看到: 　　Reply from172.16.30.1:bytes=32time=10msTTL=255 　　Reply from 172.16.30.2:bytes=32 time=10ms TTL=255; 　　运行防火墙管理器,在“安全编辑器”→“Default”里分别新建防火墙,名称为:FireWall_F300-pro和FireWall_F50-pro,在防火墙管理器里,“远程控制台”里选择您要控制的防火墙“FireWall_F300-pro”和“FireWall_F50-pro”,看到:Welcome,172.16.30.10:xxxx、Welcome,172.1