vpn远程访问概述.pdfVIP

实用文档 技术点详解 VPN 远程访问概述 为什么需要远程访问 很多企业随着业务的发展， 已经在异地建立分支机构， 或者许多员工出差至外地开展工作， 甚至 需要回家继续办公， 那么这些远程员工是否还能够连接到总部网络享受到统一的企业信息化管理 呢？我想， 大家必定会回答可以， 既然可以， 是通过什么技术实现的呢？或者说实现的时候要考 虑哪些因素呢？从上面的图中我们可以看到似乎有很多种异地网络用户， 布置这种技术似乎很困 难，我们先把图中网络单元可以分为 3 类： 1. 总部机构，总部在连接互联网绝大多数情况下使用固定出口以及固定地址，在一些极端情 况下可能会采用动态地址方式。 2. 远程分支机构，这类网络有固定的网络出口连接到互联网，互联网出口设备以及内部网络 都是完全受企业管理的，在图中，分支 1 和分支 2 都是这类，虽然网络出口是固定的，但 是出口地址是否固定和接入方式有关，比如租用光纤那么通常会从运营商获得一个固定地 址，如果是 ADSL则是动态的，远程分支机构的典型特征是以一个网络作为远程接入单位。 3. 出差员工，这类网络用户的特点是以用户 PC为远程网络单元， 为什么呢，因为这类用户的 互联网出口通常不受企业管理，比如出差员工在酒店通过酒店网络接入互联网、员工在家 上网、员工在酒店直接拨号到互联网等，这类用户的特征是以单台 PC作为远程接入单位。 这些异地网络用户访问总部网络，可能大家会认为很简单，直接访问总部网络的网段就可以了。 实际上， 企业网络通常使用私有地址， 是无法从互联网直接访问的， 那么我们可以通过什么手段 访问这些总部的私有网段吗？ 1. 使用专线，即每个异地网络用户单元使用一条专线连接到总部，那么在上图中，我们至少 需要 5 条专线，如果出差员工或者分支多起来需要更多专线，每条专线都价值不菲，而且 专线只能连接总部，无法访问互联网，显然这种方式对于非常注重成本的企业而言是不可 接受的。 . 实用文档 2. 既然总部和各个异地网络都连接到了互联网，能不能通过互联网把大家连起来呢？我们可 以看到各个网络单元的出口都是互联网公有地址，让这些地址互相访问不成问题，那么能 不能把访问内部私有网络的连接建立在这些共有连接上呢？答案当然可以，这就是今天要 讲的内容——虚拟私有网（ Virtual Private Network ），即在公共网络上建立虚拟的隧道， 模拟成专线，如下图所示。 那么如何建立这些隧道呢？要建立什么样的隧道？我们可以通过这张表来描述异地网络用户和 总部网络出口隧道的特点。 隧道端点 隧道内流量 隧道发起 安全性需求 是否穿 越 NAT 异地分支 分支出口 分支内网 总部和分支都 少量身份认证 不需要 总部出口 总部内网 可以发起 和加密 酒店、家庭办公 异地 PC 总 异地 PC 总 只能从 PC发起 大量动态身份 需要 部出口 部内网 认证和加密 远程拨号 PC 异地 PC 总 异地 PC 总 只能从 PC发起 大量动态身