引言
在過去幾十年中,世界發生了很大的變化。現在很多公司除了處理本地或地區性事務外,還要考慮全球市場和物流的問題。很多公司在全國甚至全球都設有分支機構,而這些公司都需要做的一件事情就是:找到能夠與分公司進行快速、安全和可靠通信的方式,而不管這些分公司設在何處。
直到最近爲止,要想實現這個目的,還只能通過利用租用線路的方式來維護廣域網(WAN)。租用線路的範圍從ISDN(集成服務數字網絡,速度爲128Kbps)到OC3(光學載波第3級,速度爲155Mbps)光纖,這爲公司提供了一種可以將其專用網絡擴展到臨近地理位置之外的方法。與互聯網等公用網絡相比,WAN在可靠性、性能和安全性方面都具有明顯的優勢。但要維護一個 WAN,尤其是通過租用線路來維護時,費用是非常昂貴的,而且成本通常還會隨着分公司之間距離的增加而增加。
虛擬專用網(***)工作原理
隨着互聯網的興起,企業開始尋求利用互聯網來擴展他們的網絡。首先出現的是Intranet(企業內部互聯網),這是一種專供公司員工使用而設計的站點,受密碼保護。現在,很多公司都搭建了自己的***(虛擬專用網),以滿足遠程員工和分公司的需求。
red-light-camera-loop.gif (9.65 KB)
2008-10-19 18:10
思科系統公司供圖
一個典型的***可能包括公司總部的主LAN、遠程分公司或分支機構的其他LAN以及從網絡外部連接進來的個人用戶。
從原理上來說,***就是利用公用網絡(通常是互聯網)把遠程站點或用戶連接到一起的專用網絡。與使用實際的專用連接(例如租用線路)不同,***使用的是通過互聯網路由的“虛擬”連接,把公司的專用網絡同遠程站點或員工連接到一起。在本文中,您將瞭解到***的基礎知識,以及基本的***組件、技術、隧道技術和安全性。
***由什麼組成?一個設計良好的***可以給公司帶來很多好處。例如,它可以:
擴展地理連接
改進安全性
降低運營成本(同傳統WAN相比)
降低遠程用戶的傳輸時間和傳送成本
提高生產效率
簡化網絡拓撲
可與全球網絡連接
提供遠距離工作支持
提供寬帶網絡兼容性
提供更快的ROI(投資回報)——同傳統WAN相比
一個設計良好的***需要什麼功能?它應當集成:
安全性
可靠性
可伸縮性
網絡管理
策略管理
***有三種類型。在下面幾部分中,我們將詳細地介紹這些類型。
遠程訪問***
常見的***有兩種。遠程訪問也稱爲虛擬專用撥號網絡(VPDN),它是一種用戶到LAN的連接,通常用於員工需要從各種遠程位置連接到專用網絡的公司。一般來說,公司都會把搭建大型遠程訪問***的工作外包給企業服務提供商(ESP)。ESP首先建立一個網絡訪問服務器(NAS),並向遠程用戶提供用於他們計算機的桌面客戶端軟件。然後,遠程工作者就可以通過撥打免費號碼連接NAS,並使用他們的***客戶端軟件訪問公司網絡。
典型的需要使用遠程訪問***的公司是擁有數百個銷售人員的大型公司。遠程訪問***能夠通過第三方服務提供商在公司專用網絡和遠程用戶之間實現加密的安全連接。 
***-type.jpg (65.92 KB)
2008-10-19 18:14
思科系統公司供圖
三種類型***的示例
站點到站點式***
利用專用設備和大規模加密,公司可以通過公用網絡(如互聯網)連接到多個固定的站點。站點到站點式***有以下兩種類型:
基於Intranet——如果公司有一個或多個遠程位置想要加入到一個專用網絡中,他們可以建立一個Intranet ***,以便將LAN連接到另一個LAN。
基於Extranet——如果公司同其他公司(例如合作伙伴、供應商或客戶)的關係緊密,他們可以建立一個Extranet ***,以便將LAN連接到另一個LAN,同時讓所有公司都能在一個共享環境中工作。
模擬演示:每個局域網都是一個孤島
假設您生活在廣袤海洋中的一個島上。您周圍還有很多其他的島嶼,有一些離得非常近,有一些則離得比較遠。若要去其他島,通常的方式應該是從您的島乘船前往要去的地方。當然,乘船也就意味着您幾乎沒有什麼隱私——無論您做什麼別人都能看到。
現在我們把每個島看成一個專用局域網,而海洋就是互聯網。乘船旅行就像通過互聯網連接到Web服務器或其他設備。您無法控制互聯網的線路和路由器,就像您無法控制船上的其他人一樣。顯然,如果您要使用公用資源連接兩個專用網絡的話,這種方式是無法保障安全性的。
繼續我們的模擬演示。假設您所在的島現在決定建造一座通往另一個島嶼的橋,這樣人們可以更方便、更安全地直接來往於兩個島之間。即使您要連接的兩個島離得非常近,建造和維護一座橋的成本還是很高的,但您又特別想找到一種安全可靠的方式前往其他島,所以您不顧一切地建了這座橋。您所在的島可能還想同另外一個離得稍遠的島建立連接,但最終發現無法承擔那麼高的成本。
這同使用租用線路的情況非常類似。橋(租用線路)獨立于海洋(互聯網),但它讓您能夠連接各個島嶼(局域網)。很多公司選擇這種路由方式,是因爲它們需要安全可靠地連接自己的遠程分公司。不過,如果分公司離得非常遠,那麼成本會高得難以承受,這和建造跨度很大的橋的情況一樣。
那麼,***在這中間又有什麼作用呢?還是使用我們的模擬演示。我們可以給兩個島上的每位居民一艘小型潛水艇。假設您的潛水艇具有一些驚人的特性:
它很快。
您到哪裏都可以方便地帶着它。
它可以讓其他任何船隻或潛水艇都看不到您。
它很可靠。
只要買了第一艘潛水艇,以後再買其他潛水艇時只需很少的錢。 
***-sub.jpg (7.12 KB)
2008-10-19 18:16
在我們的模擬演示中,擁有潛水艇的每個人就
相當於有權訪問公司專用網絡的遠程用戶。
儘管這兩個島上的居民還是和其他人一樣在海上航行,但他們卻可以隨時穿梭往返,而不會存在隱私和安全性的問題。這就是***的工作原理。利用互聯網作爲媒介連接到專用LAN,網絡的每個遠程成員都可以通過一種安全可靠的方式進行通信。與租用線路相比,***還可以更方便地擴大範圍,從而適應更多用戶和不同位置的需求。事實上,可伸縮性正是***相對於典型租用線路的主要優勢。與成本隨着距離的增加而增加的租用線路不同,地理位置的遠近對***的影響是微乎其微的。
***安全性:防火牆一個設計良好的***可以使用多種方法來保護連接和數據的安全性:
防火牆
加密技術
IPSec
AAA服務器 在接下來的幾部分中,我們將分別介紹這些方法。首先從防火牆說起。
防火牆在專用網絡和互聯網之間提供了一道強大的屏障。您可以設置防火牆來限制開放端口的數量以及允許通過防火牆的數據包類型和協議。有些***產品,例如思科公司的1700路由器,可以通過運行相應的Cisco IOS進行升級,從而具備防火牆功能。在安裝***之前,您應該先部署好一個功能強大的防火牆,但防火牆也可以用於終止***會話。
***安全性:加密技術加密是指一臺計算機把要發送給另一臺計算機的所有數據編碼爲只有後者才能解碼的格式的過程。大多數計算機加密系統都屬於以下兩種類型之一:
對稱密鑰加密
公鑰加密
在對稱密鑰加密中,每臺計算機都有一個密鑰(代碼),用於對通過網絡發送到另一臺計算機的信息包進行加密。對稱密鑰要求您知道將要進行通信的計算機是哪一臺,以便在每臺計算機上安裝密鑰。對稱密鑰加密實際上與密碼相同,兩臺計算機都必須知道密碼才能對信息進行解碼。這個代碼提供了用於對信息進行解碼的密鑰。下面是一個簡單的例子:您創建一條經過編碼的消息,並將原消息中的每個字母都替換爲其在字母表中後兩位的字母,然後發送給朋友。這樣“A”變成了“C”,“B”變成了“D”。您告訴自己信任的朋友說代碼是“後移兩位”。這樣您的朋友收到消息時就可以進行解碼,從而得知消息的內容。任何其他看到該消息的人看見的只是無意義的內容。
Flash: http://static.bowenwang.com.cn/flash/encryption-animation.swf
公鑰加密方法結合使用了私鑰和公鑰。私鑰只有您自己的計算機知道,而公鑰則由您的計算機提供給其他任何希望進行安全通信的計算機。若要解碼被加密的消息,計算機必須使用發送方的計算機提供的公鑰以及它自己的私鑰。Pretty Good Privacy(PGP)是一種非常流行的公鑰加密實用工具,它幾乎可對任何數據進行加密
***安全性:IPSec網絡協議安全性協議(IPSec)提供了增強的安全功能,例如更好的加密算法和更全面的身份驗證。 
***-diagram2.gif (31.08 KB)
2008-10-19 18:26
思科系統公司供圖
利用IPSec的遠程訪問***
IPSec具有兩種加密模式:隧道和傳輸。隧道模式對每個數據包的標題和有效負載都加密,而傳輸模式僅加密有效負載。只有兼容IPSec的系統才能使用這種協議。此外,所有設備都必須使用一個公共密鑰,而且每個網絡的防火牆都必須具有相似的安全策略設置。IPSec可以加密各種設備之間的數據,例如:
路由器到路由器
防火牆到路由器
個人計算機到路由器
個人計算機到服務器
***安全性:AAA服務器AAA服務器(驗證、授權和計費)用於在遠程訪問***環境中實現更加安全的訪問。當撥號客戶端要求建立會話的請求傳入後,該請求會被代理髮送給AAA服務器。然後,AAA服務器會檢查以下事項:
您是誰(驗證)
您可以做什麼(授權)
您實際做了什麼(計費)
計費信息尤其適用於跟蹤客戶端的使用情況,以便進行安全審覈、開票或報告目的。
***技術
根據***類型的不同(遠程訪問或站點到站點),您需要在建立***之前事先部署一些組件。這些組件可能包括:
每位遠程用戶的桌面軟件客戶端
專用硬件,例如***集中器或安全PIX防火牆
用於撥號服務的專用***服務器
服務提供商用於遠程用戶***訪問的NAS(網絡訪問服務器)
***網絡和策略管理中心
由於安裝***並沒有一個廣泛接受的標準,因此很多公司自主開發了一站式解決方案。在下面幾部分中,我們將討論思科系統公司(最著名的網絡技術公司之一)提供的幾種解決方案。
***集中器
Cisco ***集中器融合了最先進的加密技術和身份驗證技術,專門爲創建遠程訪問***而設計。它們提供了高實用性、高性能和可伸縮性,幷包括稱爲可伸縮加密處理模塊(SEP)的組件,讓用戶可以方便地提高容量和吞吐量。集中器是以模型形式提供的,可以滿足任何企業規模的需求,從最多隻有100位遠程訪問用戶的小型企業到最多10,000位併發遠程用戶的大型組織。 
***-v3000.gif (5.51 KB)
2008-10-19 18:27
專門針對***優化的路由器思科公司專門針對***優化的路由器提供了可伸縮性、路由功能、安全性和 QoS(服務質量)。以 Cisco IOS(互聯網操作系統)軟件爲基礎,他們提供了一種路由器,可以滿足從通過中心站點***聚合訪問的小型辦公室/家庭辦公室到大規模企業的各種環境需求。 
***-1750.gif (17.22 KB)
2008-10-19 18:29
PIX防火牆
PIX(專用互聯網交換)防火牆是一項很了不起的技術,它把動態網絡地址轉換、代理服務器、數據包過濾、防火牆和***功能全部集成到單個硬件中。 
***-pix.gif (8.5 KB)
2008-10-19 18:31
隧道技術
大多數***都依靠隧道技術來建立可通過互聯網訪問的專用網絡。從實質上來說,隧道技術就是將整個數據包放入另一個數據包中,並將後者通過網絡發送出去的過程。網絡和數據包進出網絡的入口點和出口點(我們稱爲隧道接口)都能夠理解外部數據包的協議。
隧道技術需要使用三種不同協議:
運載協議——網絡作爲信息傳輸媒介的協議
封裝協議——用於封裝原始數據的協議(GRE、IPSec、L2F、PPTP、L2TP)
乘客協議——將要攜帶的原始數據(IPX、NetBeui、IP)
隧道技術對於***具有重要意義。例如,您可以將使用某種不受互聯網支持的協議(例如NetBeui)的數據包放入IP數據包中,然後通過互聯網將其安全地發送出去。您也可以將使用專有(不可路由)IP地址的數據包放入使用一個通用唯一的IP地址的數據包中,從而通過互聯網擴展專有網絡。Flash: http://static.bowenwang.com.cn/flash/***-site.swf
隧道技術:站點到站點
在站點到站點式***中,通常使用GRE(通用路由封裝)作爲封裝協議,它提供瞭如何封裝乘客協議的框架,以便在運載協議(通常是基於IP的協議)中傳輸乘客協議。這包括有關要封裝的數據包的類型信息,以及客戶端和服務器之間的連接信息。隧道模式中的IPSec有時也用來取代GRE,充當封裝協議。IPSec適用於遠程訪問***和站點到站點式***。但必須要兩個隧道接口都支持 IPSec才能使用IPSec。
隧道技術:遠程訪問在遠程訪問***時,隧道技術通常使用PPP來實現。作爲TCP/IP堆棧的一部分,
PPP(端對端協議)在主機通過網絡同遠程系統通信時會作爲其他IP協議的載體。遠程訪問***隧道技術能否實現取決於PPP。
下面列出的各種協議都是使用PPP的基本結構建立的,它們都用於遠程訪問 ***。
L2F(第二層轉發)——L2F由思科公司開發,它可以使用PPP支持的任何身份驗證架構。
PPTP(點對點隧道協議)——PPTP由PPTP Forum開發,PPTP Forum 是一個聯盟,其成員包括US Robotics、Microsoft、3COM、Ascend和ECI Telematics。PPTP支持40位和128位加密,並可以使用PPP支持的任何身份驗證架構。
L2TP(第二層隧道協議)——L2TP是由PPTP Forum各成員、思科公司和IETF(互聯網工程工作組)聯手打造的產品。它結合了PPTP和L2F的功能,且完全支持IPSec。
L2TP可以用作站點到站點式***以及遠程訪問***的隧道協議。事實上,L2TP可以在下列設備之間建立隧道:
客戶端和路由器
NAS和路由器
路由器和路由器 
***-ups.jpg (9.91 KB)
2008-10-19 18:34
卡車相當於運載協議,盒子相當於封裝協議,計算機則是乘客協議。
您可以把隧道想像成是通過UPS把計算機遞送給您的情形。供應商UPS公司用盒子(封裝協議)包裝好計算機(乘客協議),然後把它放到停在自己倉庫(隧道入口)中的一輛UPS卡車(運載協議)上。這輛卡車(運載協議)通過高速公路(互聯網)駛達您家(隧道出口),並把計算機交付給您。您打開盒子(封裝協議),並取出計算機(乘客協議)。隧道技術的原理就是這麼簡單!
可以看出,***是公司用於連接各地員工和合作伙伴的很好的方式。