虛擬專用網絡×××
虛擬專用網絡的功能是:在公用網絡上建立專用網絡,進行加密通訊。在企業網絡中有廣泛應用。×××網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。×××有多種分類方式,主要是按協議進行分類。×××可通過服務器、硬件、軟件等多種方式實現。
×××基本功能
×××屬於遠程訪問技術,簡單地說就是利用公用網絡架設專用網絡。例如某公司員工出差到外地,他想訪問企業內網的服務器資源,這種訪問就屬於遠程訪問。
在傳統的企業網絡配置中,要進行遠程訪問,傳統的方法是租用DDN(數字數據網)專線或幀中繼,這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對於移動用戶(移動辦公人員)與遠端個人用戶而言,一般會通過撥號線路(Internet)進入企業的局域網,但這樣必然帶來安全上的隱患。
讓外地員工訪問到內網資源,利用×××的解決方法就是在內網中架設一臺×××服務器。外地員工在當地連上互聯網後,通過互聯網連接×××服務器,然後通過×××服務器進入企業內網。爲了保證數據安全,×××服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密,就可以認爲數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣,但實際上×××使用的是互聯網上的公用鏈路,因此×××稱爲虛擬專用網絡,其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了×××技術,用戶無論是在外地出差還是在家中辦公,只要能上互聯網就能利用×××訪問內網資源,這就是×××在企業中應用得如此廣泛的原因。
工作原理
通常情況下,×××網關採取雙網卡結構,外網卡使用公網IP接入Internet。
網絡一(假定爲公網internet)的終端A訪問網絡二(假定爲公司內網)的終端B,其發出的訪問數據包的目標地址爲終端B的內部IP地址。
網絡二的×××網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬於網絡二的地址,則將該數據包進行封裝,封裝的方式根據所採用的×××技術不同而不同,同時×××網關會構造一個新×××數據包,並將封裝後的原數據包作爲×××數據包的負載,×××數據包的目標地址爲網絡二的×××網關的外部地址。
網絡二的×××網關將×××數據包發送到Internet,由於×××數據包的目標地址是網絡一的×××網關的外部地址,所以該數據包將被Internet中的路由正確地發送到網絡二的×××網關。
網絡二的×××網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的×××網關發出的,即可判定該數據包爲×××數據包,並對該數據包進行解包處理。解包的過程主要是先將×××數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。
網絡二的×××網關將還原後的原始數據包發送至目標終端B,由於原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。 從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通訊了。
通過上述說明可以發現,在×××網關對數據包進行處理時,有兩個參數對於×××通訊十分重要:原始數據包的目標地址(×××目標地址)和遠程×××網關地址。根據×××目標地址,×××網關能夠判斷對哪些數據包進行×××處理,對於不需要處理的數據包通常情況下可直接轉發到上級路由;遠程×××網關地址則指定了處理後的×××數據包發送的目標地址,即×××隧道的另一端×××網關地址。由於網絡通訊是雙向的,在進行×××通訊時,隧道兩端的×××網關都必須知道×××目標地址和與此對應的遠端×××網關地址。
分類標準
根據不同的劃分標準,×××可以按幾個標準進行分類劃分:
1、按×××的協議分類:
×××的隧道協議主要有三種,PPTP、L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱爲二層隧道協議;IPSec是第三層隧道協議。
2、按×××的應用分類:
Access ×××(遠程接入×××):客戶端到網關,使用公網作爲骨幹網在設備之間傳輸×××數據流量;
Intranet ×××(內聯網×××):網關到網關,通過公司的網絡架構連接來自同公司的資源;
Extranet ×××(外聯網×××):與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接。
3、按所用的設備類型進行分類:
網絡設備提供商針對不同客戶的需求,開發出不同的×××網絡設備,主要爲交換機、路由器和防火牆:
路由器式×××:路由器式×××部署較容易,只要在路由器上添加×××服務即可;
交換機式×××:主要應用於連接用戶較少的×××網絡;
防火牆式×××:防火牆式×××是最常見的一種×××的實現方式,許多廠商都提供這種配置類型
4.按照實現原理劃分:
重疊×××:此×××需要用戶自己建立端節點之間的×××鏈路,主要包括:GRE、L2TP、IPSec等衆多技術。
對等×××:由網絡運營商在主幹網上完成×××通道的建立,主要包括MPLS、×××技術。
實現方式
×××的實現有很多種方法,常用的有以下四種:
×××服務器:在大型局域網中,可以通過在網絡中心搭建×××服務器的方法實現×××。
軟件×××:可以通過專用的軟件實現×××。
硬件×××:可以通過專用的硬件實現×××。
集成×××:某些硬件設備,如路由器、防火牆等,都含有×××功能,但是一般擁有×××功能的硬件設備通常都比沒有這一功能的要貴。
常用×××技術
MPLS ×××是一種基於MPLS技術的IP ×××,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP ×××)。MPLS優勢在於將二層交換和三層路由技術結合起來,在解決×××、服務分類和流量工程這些IP網絡的重大問題時具有很優異的表現。因此,MPLS ×××在解決企業互連、提供各種新業務方面也越來越被運營商看好,成爲在IP網絡運營商提供增值業務的重要手段。MPLS ×××又可分爲二層MPLS ×××(即MPLS L2 ×××)和三層MPLS ×××(即MPLS L3 ×××)。
SSL ×××是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP協議)爲基礎的×××技術,工作在傳輸層和應用層之間。SSL ×××充分利用了SSL協議提供的基於證書的身份認證、數據加密和消息完整性驗證機制,可以爲應用層之間的通信建立安全連接。SSL ×××廣泛應用於基於Web的遠程安全接入,爲用戶遠程訪問公司內部網絡提供了安全保證。
IPSec ×××是基於IPSec協議的×××技術,由IPSec協議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基於IP通訊的數據安全性的機制。它爲Internet上傳輸的數據提供了高質量的、可互操作的、基於密碼學的安全保證。
各個系統下×××的登陸配置
Windows XP
建立一個新連接;
選擇“連接到我工作的地方的網絡”;
選擇“虛擬專用網絡連接”;
設定連接名稱(例如:×××);
輸入主機名稱或公網IP地址;
完成新增連接,勾選“將這個連接的快捷方式加到我的桌面”(以便日後連接);
輸入賬號,密碼,即可連接。
Windows 7
在畫面右下角,點選網絡連接,然後選擇“打開網絡共享中心”;
在彈出的對話窗口中,選擇“設置新的連接或網絡”;
選擇“連接到工作區”,然後選擇“使用我的Internet連接(×××),通過Internet使用虛擬專用網絡(×××)來連接”,然後單擊“我將稍後設置Internet連接”;
在“Internet 地址”裏,填上×××提供的IP地址。填好IP後,其它東西都不用管它,直接點擊下一步。目標名稱填寫“×××連接”;
填×××的用戶名和密碼,先不要填,點“創建”;
到這裏就完成的連接設置導向。點擊“關閉”。;
回到桌面右鍵點擊“網絡”->“屬性”,再點擊一下左邊的“更改適配器設置”;
找到剛纔建好的“×××連接”並雙擊打開;
填寫提供的×××用戶名和密碼,“域”可以不用填寫。然後點擊屬性->安全;
在“數據加密”這一項選中“可選加密(沒有加密也可以連接)”選好後點擊“確定”。×××類型自動,使用這些協議選擇CHAP,MS-CHAP v2;
整個Windows7 ×××過程都設置完成了。點擊“連接”就可以了。
Ubuntu
畫面右上角最右端圖標單擊,選擇“系統設置”
選擇“網絡”,選擇添加網絡,接口×××,創建。
Android
打開手機主菜單,選擇“設置”;
選擇“無線和網絡”;
選擇“虛擬專用網設置”;
選擇“添加虛擬專用網”;
選擇PPTP方式;
輸入虛擬專用網名稱(如×××);
填寫服務器域名,點擊“確定”。然後按menu鍵,保存設置;
點擊打開剛剛建好的連接,填寫用戶名和密碼,點擊“連接”。
iOS
點擊桌面上的“設置”圖標進入設置;
點擊“通用”進入通用設置;
點擊“網絡”,進入網絡設置;
點擊“×××”進入設置;
點擊“添加×××配置”;
在協議類型上選擇“PPTP”,在“描述”欄中填入“×××”,在服務器欄中填入服務器域名,在賬戶和密碼欄中填入用戶名和密碼,其他設置保持不變,然後點擊“存儲”。;
點擊“×××”開關,就會開啓連接,連接成功後,右上角會出現小圖標。
OS X
從任務欄菜單打開系統設置,選擇“網絡”;
在新對話框中選擇“添加”,然後從下拉菜單選擇“×××”;
從×××類型下拉菜單中選擇PPTP。填寫服務名稱,點擊“創建”按鈕;
在配置下拉菜單中選擇“增加配置”;
填寫服務器地址,用戶名;
點擊“認證配置”按鈕,在彈出的對話框中選擇“密碼”單選框,並輸入密碼;
回到主設置框,點擊“應用”保存設置即可。