烟草专卖Debian Linux VPN 技术综述与实现.docVIP

烟草专卖局（公司） PAGE 2 Debian Linux VPN 技术综述与实现 烟草专卖局（公司） 烟草专卖局 Debian Linux VPN 技术综述与实现 摘要： 随着烟草行业信息化建设的持续推进，公司内部数据处理、信息交换日益增多，在信息系统的服务器和主机上存放着越来越多的数据。这些数据与企业的经营管理活动密切关联，成为企业领导者管理决策、企业员工日常工作的重要依据，在企业发展中起到了重要作用。正因如此，公司领导者和员工外出办公期间对企业内部资源的访问需求日益增加，希望在外期间能和在本地办公室一样方便地访问内部网络，处理事务，如何安全、快速、方便的远程访问公司内部资源成为信息部门需要解决的当务之急。而VPN（Virtual Private Network，虚拟专用网）成为值得期待的解决方案。 关键词：VPN、虚拟专用网、PPTP、远程接入、安全连接。 一、VPN简介： VPN（Virtual Private Network，虚拟专用网）是随着互联网的应用而迅速发展起来的一种新技术，它通过对网络数据的封包和加密，实现在公用互联网络上建立专用通道传输私有数据。它是一种介于公用网和专用网之间的逻辑性“虚拟”网络，给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。它的出现已有好几年的历史。现在有越来越多的网络设备开发商投入到VPN设备的开发与研究。 二、VPN基本原理 一般来说两台具有独立IP并连接上互联网的计算机只要知道对方的IP地址，是可以直接通信的。但是位于这两台计算机之后的网络是不能直接互联的，原因是这些私有的网络和公用网络使用了不同的地址空间或协议，即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。 由于VPN连接的特点，私有网络的通信内容会在公用网络上传输，出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行，这样在两个私有网络之间建立VPN通道是需要一个专门的过程，依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个VPN系统。一个完整的VPN系统一般包括以下三个单元： 1、VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求，处理数据打包和解包工作，并要求VPN服务器已经连入Internet，并且拥有一个独立的公网IP。 ?2、VPN客户端。一台计算机或其它设备用来发起VPN连接的请求，也处理数据的打包和解包工作，并要求VPN客户机已经连入Internet。 3、VPN数据通道。一条建立在公用网络上的数据连接。 三、VPN应用的几种常用协议： PPTP点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络（例如 Internet）建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯，然后在要跨越公司 IP 网络或公共 IP 网络（如 Internet）发送的 IP 头中对其进行封装。 L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F （Cisco的第二层转发协议）开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。 IPSec 隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏（或封装）在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目标）。封装的数据包到达目的地后，会删除封装，原始数据包头用于将数据包路由到最终目的地。 SSL VPN协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协