虚拟专用网络工作原理

ContentsIntroductionPrerequisitesRequirementsComponentsUsedConventions背景信息VPN有哪些组成要素打个比喻:每个LAN都是一座岛VPN技术VPN产品RelatedInformationIntroduction本文档介绍有关VPN的基础知识,例如基本VPN组件、技术、隧道和VPN安全性.
PrerequisitesRequirementsTherearenospecificrequirementsforthisdocument.
ComponentsUsedThisdocumentisnotrestrictedtospecificsoftwareandhardwareversions.
ConventionsRefertoCiscoTechnicalTipsConventionsformoreinformationondocumentconventions.
背景信息世界在过去几十年里发生了很大变化.
现在,许多企业不单单要应对本地或区域问题,还要考虑到全球市场和物流.
许多公司的工厂遍布整个国家/地区,甚至遍布全球.
但所有这些公司都有一个共同的需求,即:无论办公地点位于何处,都能通过某种途径,确保快速、安全和可靠地通信.

直到最近,实现可靠通信还意味着需要依靠租用线路来维持广域网(WAN)连接.
从综合业务数字网(ISDN,运行速率为144Kbps)到光纤载波等级3(OC3,运行速率为155Mbps)光纤等,租用线路通过各种介质为公司提供一种将专用网络扩展到临近地理区域之外的途径.
与互联网等公共网络相比,WAN在可靠性、性能和安全性方面都具有明显的优势;但是要维持WAN连接(特别是在使用租用线路的情况下),成本可能会相当高昂,而且随着各办公地点之间距离的增加,成本往往也会增加此外,如果组织中存在一些高度仰赖移动办公的人员(例如营销人员),并且可能经常需要远程连接公司网络并访问敏感数据,那么租用线路并不是一个切实可行的解决方案.

随着互联网的兴起,企业开始寻求利用互联网来扩展他们的网络.
首先是内联网,这是一种专供公司员工使用而设计的站点.
现在,很多公司都搭建了自己的虚拟专用网网络(VPN),以满足远程员工和远程办公地点的需求.
一个典型的VPN可能包括公司总部的主局域网(LAN)、远程办公地点或分支机构的其他LAN,以及从公司网络外部连接进来的个人用户.
VPN是一种使用公共网络(通常是互联网)将远程站点或用户连接起来的专用网络.
VPN不使用"真实"的专用连接(如租用线路),而是使用通过互联网实现的"虚拟"连接,将公司的专用网络与远程站点或员工连接到一起.
VPN有哪些组成要素常见的VPN有两种.
远程访问VPN-也称为虚拟专用拨号网络(VPDN).
这是一种用户到LAN的连接,用于员工需要从各种远程位置连接到专用网络的公司.
通常,如果公司希望搭建大型远程访问VPN,都会借助于互联网服务提供商(ISP)来向用户提供某种形式的互联网拨号账户.
然后,远程办公人员可以拨打1-800号码连接到互联网并使用VPN客户端软件访问公司网络.
比如说,拥有数百名销售人员的大型公司就是需要使用远程访问VPN的典型示例.
远程访问VPN能够通过第三方服务提供商在公司专用网络和远程用户之间实现加密的安全连接.

q站点间VPN-利用专用设备和大规模加密,公司可以通过公用网络(如互联网)连接多个固定站点.
每个站点只需要在本地建立与相同公共网络的连接,从而避免因使用长距离专用线路而产生高昂费用.
站点间VPN可进一步分为内联网或外联网.
在同一家公司的办公地点之间构建的站点间VPN称为内联网VPN,而用于将公司连接到其合作伙伴或客户的VPN称为外联网qVPN.
设计优良的VPN可使公司大大受益.
例如,它可以:扩展地理连接q降低运营成本(同传统WAN相比)q减少远程用户的交通时间和差旅费用q提高工作效率q简化网络拓扑q提供全球联网机会q提供远程办公支持q加快投资回报(ROI)速度(同传统WAN相比)q设计优良的VPN需要哪些功能它应当集成:安全q可靠性q可扩展性q网络管理q策略管理q打个比喻:每个LAN都是一座岛假设您生活在广袤海洋中的一个岛上.
您周围还有成千上万座其他岛屿,有一些离得非常近,有一些则离得很远.
要去其他岛,通常的方式是从您所在的岛乘船前往要去的地方.
当然,乘船也就意味着您几乎毫无隐私可言.
无论您做什么别人都能看到.
现在我们把每一个岛看成一个专用局域网,而海洋就是互联网.
乘船出行类似于通过互联网连接到某个Web服务器或另一台设备.
您无法控制组成互联网的电缆和路由器,正如您无法控制船上的其他人.
因此,如果您尝试利用公共资源连接两个私有网络,将很容易受到安全问题的困扰.

您所在的岛决定建造一座通往另一座岛的桥梁,以便两岛上的人可以更方便、更安全地直接往来.

即使要连接的两座岛靠得很近,建造和维护桥梁的费用仍会非常高昂单.
但是,由于您特别需要找到一种能在岛间安全可靠往来的通道,所以您不顾一切地建了这座桥.
您所在的岛可能还想同另外一个离得稍远的岛建立连接,但最终发现无法承担那么高的成本.
这同使用租用线路的情况非常类似.
桥(租用线路)独立于海洋(互联网),但它让您能够连接各座岛屿(LAN).
很多公司选择这种线路,是因为需要安全可靠地连接自己的远程办公地点.
不过,如果办公地点离得非常远,那么成本会高得难以承受,这和建造大跨度桥的情况一样.

那么,VPN在这个比喻中间又有什么作用呢我们可以给两个岛上的每位居民一艘小型潜水艇,并且这些潜水艇具有以下特点:速度快.
q无论您去哪里,都很容易随身携带.
q它可以让您完全隐身,其他任何船只或潜水艇都看不到您.
q可靠.
q只要买了第一艘潜水艇,以后再买其他潜水艇时只需很少的钱.
q尽管这两个岛上的居民还是和其他人一样在海上航行,但他们却可以随时穿梭往返,而不会存在隐私和安全性的问题.
这本质上便是VPN的工作原理.
您网络中的每位远程成员都可以将互联网用作连接到专用局域网的媒介,从而以安全、可靠的方式进行通信.
与租用线路相比,VPN还可以更方便地扩大范围,从而适应更多用户和不同地点的需求.
实际上,可扩展性是VPN相对于一般租用线路的一大优势.
与成本随着距离的增加而增加的租用线路不同,各办公地点地理位置的远近对搭建VPN的影响是微乎其微的.
VPN技术设计优良的VPN使用多种方法确保您的连接和数据安全.
数据保密性-这可能是任何VPN实施所提供的最重要的服务.
您的私有数据是通过公共网络传输的,因此为数据保密就显得至关重要.
这可以通过对数据进行加密来实现.
在加密过程中,需要提取一台计算机要发送给另一台计算机的所有数据,并将这些数据编码为只有另一台计算机才能解码的形式.
大多数VPN使用以下一种协议来提供加密.
IPsec-互联网协议安全协议(IPsec)提供增强的安全功能,例如更强的加密算法和更全面的身份验证.
IPsec有两种加密模式:隧道和传输.
隧道模式加密每个数据包的报头和负载,而传输模式仅加密负载.
只有符合IPsec标准的系统才能利用此协议.
此外,所有设备必须使用公共密钥或证书,并且必须设置非常类似的安全策略.
远程访问VPN用户可以使用一些形式的第三方软件包在用户PC上提供连接和加密.
IPsec支持56位(单DES)或168位(三重DES)加密.
PPTP/MPPE-PPTP由PPTP论坛(由USRobotics、Microsoft、3COM、Ascend和ECITelematics组成的联盟)开发.
PPTP支持多协议VPN,使用称为Microsoft点对点加密(MPPE)的协议进行40位和128位加密.
必须注意的一点是,PPTP本身不提供数据加密.
L2TP/IPsec-通常称为L2TPoverIPsec,它提供了IPsec协议在第2层隧道协议(L2TP)的隧道之上的安全性.
L2TP由PPTP论坛、思科和互联网工程任务组(IETF)合作开发.
主要用于使用Windows2000操作系统的远程访问VPN,因为Windows2000提供本地IPsec和L2TP客户端.
互联网服务提供商还可以为拨入用户提供L2TP连接,然后在其接入点和远程办公地点网络服务器之间使用IPsec来加密流量.
q数据完整性-除了公共网络中对数据进行加密,验证数据在传输过程中未被更改同样非常重要.
例如,IPsec中的一种机制能够确保数据包的加密部分或数据包的整个报头和数据部分未被篡改.
如果检测到篡改,数据包会被丢弃.
数据完整性还涉及对远程对等点进行验证.

q数据源身份验证-对所发送数据的来源进行身份验证具有重要意义.
这对防范许多依靠假冒发件人身份来发动的攻击非常必要.
q防重放-检测和拒绝数据包重放来防止欺骗.
q数据隧道/流量保密性-隧道传输过程是指将整个数据包封装在另一个数据包中并通过网络发送.
如果需要隐藏流量发起设备的身份,数据隧道会很有用.
例如,使用IPsec的设备会将属于多个主机的流量封装在一起,并在现有数据包的顶部添加自己的报头.
通过加密原始数据包和报头(以及在路由数据包时使用在顶部额外添加的第3层报头),隧道设备能够有效隐藏数据包的实际来源.
只有受信任的对等点在删除其他报头并解密原始报头后才能确定真正的来源.