虛擬專用網(wǎng)(VPN)工作原理

引言

在過去幾十年中，世界發(fā)生了很大的變化。現(xiàn)在很多公司除了處理本地或地區(qū)性事務(wù)外，還要考慮全球市場和物流的問題。很多公司在全國甚至全球都設(shè)有分支機(jī)構(gòu)，而這些公司都需要做的一件事情就是：找到能夠與分公司進(jìn)行快速、安全和可靠通信的方式，而不管這些分公司設(shè)在何處。

直到最近為止，要想實(shí)現(xiàn)這個目的，還只能通過利用租用線路的方式來維護(hù)廣域網(wǎng)（WAN）。租用線路的范圍從ISDN（集成服務(wù)數(shù)字網(wǎng)絡(luò)，速度為128Kbps）到OC3（光學(xué)載波第3級，速度為155Mbps）光纖，這為公司提供了一種可以將其專用網(wǎng)絡(luò)擴(kuò)展到臨近地理位置之外的方法。與互聯(lián)網(wǎng)等公用網(wǎng)絡(luò)相比，WAN在可靠性、性能和安全性方面都具有明顯的優(yōu)勢。但要維護(hù)一個 WAN，尤其是通過租用線路來維護(hù)時，費(fèi)用是非常昂貴的，而且成本通常還會隨著分公司之間距離的增加而增加。

隨著互聯(lián)網(wǎng)的興起，企業(yè)開始尋求利用互聯(lián)網(wǎng)來擴(kuò)展他們的網(wǎng)絡(luò)。首先出現(xiàn)的是Intranet（企業(yè)內(nèi)部互聯(lián)網(wǎng)），這是一種專供公司員工使用而設(shè)計的站點(diǎn)，受密碼保護(hù)。現(xiàn)在，很多公司都搭建了自己的VPN（虛擬專用網(wǎng)），以滿足遠(yuǎn)程員工和分公司的需求。

從原理上來說，VPN就是利用公用網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）把遠(yuǎn)程站點(diǎn)或用戶連接到一起的專用網(wǎng)絡(luò)。與使用實(shí)際的專用連接（例如租用線路）不同，VPN使用的是通過互聯(lián)網(wǎng)路由的“虛擬”連接，把公司的專用網(wǎng)絡(luò)同遠(yuǎn)程站點(diǎn)或員工連接到一起。在本文中，您將了解到VPN的基礎(chǔ)知識，以及基本的VPN組件、技術(shù)、隧道技術(shù)和安全性。

VPN由什么組成？

一個設(shè)計良好的VPN可以給公司帶來很多好處。例如，它可以：

• 擴(kuò)展地理連接
• 改進(jìn)安全性
• 降低運(yùn)營成本（同傳統(tǒng)WAN相比）
• 降低遠(yuǎn)程用戶的傳輸時間和傳送成本
• 提高生產(chǎn)效率
• 簡化網(wǎng)絡(luò)拓?fù)?
• 可與全球網(wǎng)絡(luò)連接
• 提供遠(yuǎn)距離工作支持
• 提供寬帶網(wǎng)絡(luò)兼容性
• 提供更快的ROI（投資回報）——同傳統(tǒng)WAN相比

一個設(shè)計良好的VPN需要什么功能？它應(yīng)當(dāng)集成：

• 安全性
• 可靠性
• 可伸縮性
• 網(wǎng)絡(luò)管理
• 策略管理

VPN有三種類型。在下面幾部分中，我們將詳細(xì)地介紹這些類型。

遠(yuǎn)程訪問VPN

常見的VPN有兩種。遠(yuǎn)程訪問也稱為虛擬專用撥號網(wǎng)絡(luò)（VPDN），它是一種用戶到LAN的連接，通常用于員工需要從各種遠(yuǎn)程位置連接到專用網(wǎng)絡(luò)的公司。一般來說，公司都會把搭建大型遠(yuǎn)程訪問VPN的工作外包給企業(yè)服務(wù)提供商（ESP）。ESP首先建立一個網(wǎng)絡(luò)訪問服務(wù)器（NAS），并向遠(yuǎn)程用戶提供用于他們計算機(jī)的桌面客戶端軟件。然后，遠(yuǎn)程工作者就可以通過撥打免費(fèi)號碼連接NAS，并使用他們的VPN客戶端軟件訪問公司網(wǎng)絡(luò)。

典型的需要使用遠(yuǎn)程訪問VPN的公司是擁有數(shù)百個銷售人員的大型公司。遠(yuǎn)程訪問VPN能夠通過第三方服務(wù)提供商在公司專用網(wǎng)絡(luò)和遠(yuǎn)程用戶之間實(shí)現(xiàn)加密的安全連接。

站點(diǎn)到站點(diǎn)式VPN

利用專用設(shè)備和大規(guī)模加密，公司可以通過公用網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）連接到多個固定的站點(diǎn)。站點(diǎn)到站點(diǎn)式VPN有以下兩種類型：

• 基于Intranet——如果公司有一個或多個遠(yuǎn)程位置想要加入到一個專用網(wǎng)絡(luò)中，他們可以建立一個Intranet VPN，以便將LAN連接到另一個LAN。
• 基于Extranet——如果公司同其他公司（例如合作伙伴、供應(yīng)商或客戶）的關(guān)系緊密，他們可以建立一個Extranet VPN，以便將LAN連接到另一個LAN，同時讓所有公司都能在一個共享環(huán)境中工作。

模擬演示：每個局域網(wǎng)都是一個孤島

假設(shè)您生活在廣袤海洋中的一個島上。您周圍還有很多其他的島嶼，有一些離得非常近，有一些則離得比較遠(yuǎn)。若要去其他島，通常的方式應(yīng)該是從您的島乘船前往要去的地方。當(dāng)然，乘船也就意味著您幾乎沒有什么隱私——無論您做什么別人都能看到。

現(xiàn)在我們把每個島看成一個專用局域網(wǎng)，而海洋就是互聯(lián)網(wǎng)。乘船旅行就像通過互聯(lián)網(wǎng)連接到Web服務(wù)器或其他設(shè)備。您無法控制互聯(lián)網(wǎng)的線路和路由器，就像您無法控制船上的其他人一樣。顯然，如果您要使用公用資源連接兩個專用網(wǎng)絡(luò)的話，這種方式是無法保障安全性的。

繼續(xù)我們的模擬演示。假設(shè)您所在的島現(xiàn)在決定建造一座通往另一個島嶼的橋，這樣人們可以更方便、更安全地直接來往于兩個島之間。即使您要連接的兩個島離得非常近，建造和維護(hù)一座橋的成本還是很高的，但您又特別想找到一種安全可靠的方式前往其他島，所以您不顧一切地建了這座橋。您所在的島可能還想同另外一個離得稍遠(yuǎn)的島建立連接，但最終發(fā)現(xiàn)無法承擔(dān)那么高的成本。

這同使用租用線路的情況非常類似。橋（租用線路）獨(dú)立于海洋（互聯(lián)網(wǎng)），但它讓您能夠連接各個島嶼（局域網(wǎng)）。很多公司選擇這種路由方式，是因?yàn)樗鼈冃枰踩煽康剡B接自己的遠(yuǎn)程分公司。不過，如果分公司離得非常遠(yuǎn)，那么成本會高得難以承受，這和建造跨度很大的橋的情況一樣。

那么，VPN在這中間又有什么作用呢？還是使用我們的模擬演示。我們可以給兩個島上的每位居民一艘小型潛水艇。假設(shè)您的潛水艇具有一些驚人的特性：

• 它很快。
• 您到哪里都可以方便地帶著它。
• 它可以讓其他任何船只或潛水艇都看不到您。
• 它很可靠。
• 只要買了第一艘潛水艇，以后再買其他潛水艇時只需很少的錢。

盡管這兩個島上的居民還是和其他人一樣在海上航行，但他們卻可以隨時穿梭往返，而不會存在隱私和安全性的問題。這就是VPN的工作原理。利用互聯(lián)網(wǎng)作為媒介連接到專用LAN，網(wǎng)絡(luò)的每個遠(yuǎn)程成員都可以通過一種安全可靠的方式進(jìn)行通信。與租用線路相比，VPN還可以更方便地擴(kuò)大范圍，從而適應(yīng)更多用戶和不同位置的需求。事實(shí)上，可伸縮性正是VPN相對于典型租用線路的主要優(yōu)勢。與成本隨著距離的增加而增加的租用線路不同，地理位置的遠(yuǎn)近對VPN的影響是微乎其微的。

VPN安全性：防火墻

一個設(shè)計良好的VPN可以使用多種方法來保護(hù)連接和數(shù)據(jù)的安全性：

• 防火墻
• 加密技術(shù)
• IPSec
• AAA服務(wù)器

在接下來的幾部分中，我們將分別介紹這些方法。首先從防火墻說起。

防火墻在專用網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間提供了一道強(qiáng)大的屏障。您可以設(shè)置防火墻來限制開放端口的數(shù)量以及允許通過防火墻的數(shù)據(jù)包類型和協(xié)議。有些VPN產(chǎn)品，例如思科公司的1700路由器，可以通過運(yùn)行相應(yīng)的Cisco IOS進(jìn)行升級，從而具備防火墻功能。在安裝VPN之前，您應(yīng)該先部署好一個功能強(qiáng)大的防火墻，但防火墻也可以用于終止VPN會話。

VPN安全性：加密技術(shù)

加密是指一臺計算機(jī)把要發(fā)送給另一臺計算機(jī)的所有數(shù)據(jù)編碼為只有后者才能解碼的格式的過程。大多數(shù)計算機(jī)加密系統(tǒng)都屬于以下兩種類型之一：

• 對稱密鑰加密
• 公鑰加密

在對稱密鑰加密中，每臺計算機(jī)都有一個密鑰（代碼），用于對通過網(wǎng)絡(luò)發(fā)送到另一臺計算機(jī)的信息包進(jìn)行加密。對稱密鑰要求您知道將要進(jìn)行通信的計算機(jī)是哪一臺，以便在每臺計算機(jī)上安裝密鑰。對稱密鑰加密實(shí)際上與密碼相同，兩臺計算機(jī)都必須知道密碼才能對信息進(jìn)行解碼。這個代碼提供了用于對信息進(jìn)行解碼的密鑰。下面是一個簡單的例子：您創(chuàng)建一條經(jīng)過編碼的消息，并將原消息中的每個字母都替換為其在字母表中后兩位的字母，然后發(fā)送給朋友。這樣“A”變成了“C”，“B”變成了“D”。您告訴自己信任的朋友說代碼是“后移兩位”。這樣您的朋友收到消息時就可以進(jìn)行解碼，從而得知消息的內(nèi)容。任何其他看到該消息的人看見的只是無意義的內(nèi)容。

公鑰加密方法結(jié)合使用了私鑰和公鑰。私鑰只有您自己的計算機(jī)知道，而公鑰則由您的計算機(jī)提供給其他任何希望進(jìn)行安全通信的計算機(jī)。若要解碼被加密的消息，計算機(jī)必須使用發(fā)送方的計算機(jī)提供的公鑰以及它自己的私鑰。Pretty Good Privacy（PGP）是一種非常流行的公鑰加密實(shí)用工具，它幾乎可對任何數(shù)據(jù)進(jìn)行加密。

VPN安全性：IPSec

網(wǎng)絡(luò)協(xié)議安全性協(xié)議（IPSec）提供了增強(qiáng)的安全功能，例如更好的加密算法和更全面的身份驗(yàn)證。

IPSec具有兩種加密模式：隧道和傳輸。隧道模式對每個數(shù)據(jù)包的標(biāo)題和有效負(fù)載都加密，而傳輸模式僅加密有效負(fù)載。只有兼容IPSec的系統(tǒng)才能使用這種協(xié)議。此外，所有設(shè)備都必須使用一個公共密鑰，而且每個網(wǎng)絡(luò)的防火墻都必須具有相似的安全策略設(shè)置。IPSec可以加密各種設(shè)備之間的數(shù)據(jù)，例如：

• 路由器到路由器
• 防火墻到路由器
• 個人計算機(jī)到路由器
• 個人計算機(jī)到服務(wù)器

VPN安全性：AAA服務(wù)器

AAA服務(wù)器（驗(yàn)證、授權(quán)和計費(fèi)）用于在遠(yuǎn)程訪問VPN環(huán)境中實(shí)現(xiàn)更加安全的訪問。當(dāng)撥號客戶端要求建立會話的請求傳入后，該請求會被代理發(fā)送給AAA服務(wù)器。然后，AAA服務(wù)器會檢查以下事項(xiàng)：

• 您是誰（驗(yàn)證）
• 您可以做什么（授權(quán)）
• 您實(shí)際做了什么（計費(fèi)）

計費(fèi)信息尤其適用于跟蹤客戶端的使用情況，以便進(jìn)行安全審核、開票或報告目的。

安裝VPN

根據(jù)VPN類型的不同（遠(yuǎn)程訪問或站點(diǎn)到站點(diǎn)），您需要在建立VPN之前事先部署一些組件。這些組件可能包括：

• 每位遠(yuǎn)程用戶的桌面軟件客戶端
• 專用硬件，例如VPN集中器或安全PIX防火墻
• 用于撥號服務(wù)的專用VPN服務(wù)器
• 服務(wù)提供商用于遠(yuǎn)程用戶VPN訪問的NAS（網(wǎng)絡(luò)訪問服務(wù)器）
• VPN網(wǎng)絡(luò)和策略管理中心

由于安裝VPN并沒有一個廣泛接受的標(biāo)準(zhǔn)，因此很多公司自主開發(fā)了一站式解決方案。在下面幾部分中，我們將討論思科系統(tǒng)公司（最著名的網(wǎng)絡(luò)技術(shù)公司之一）提供的幾種解決方案。

VPN集中器

Cisco VPN集中器融合了最先進(jìn)的加密技術(shù)和身份驗(yàn)證技術(shù)，專門為創(chuàng)建遠(yuǎn)程訪問VPN而設(shè)計。它們提供了高實(shí)用性、高性能和可伸縮性，并包括稱為可伸縮加密處理模塊（SEP）的組件，讓用戶可以方便地提高容量和吞吐量。集中器是以模型形式提供的，可以滿足任何企業(yè)規(guī)模的需求，從最多只有100位遠(yuǎn)程訪問用戶的小型企業(yè)到最多10,000位并發(fā)遠(yuǎn)程用戶的大型組織。

專門針對VPN優(yōu)化的路由器

思科公司專門針對VPN優(yōu)化的路由器提供了可伸縮性、路由功能、安全性和 QoS（服務(wù)質(zhì)量）。以 Cisco IOS（互聯(lián)網(wǎng)操作系統(tǒng)）軟件為基礎(chǔ)，他們提供了一種路由器，可以滿足從通過中心站點(diǎn)VPN聚合訪問的小型辦公室/家庭辦公室到大規(guī)模企業(yè)的各種環(huán)境需求。

PIX防火墻

PIX（專用互聯(lián)網(wǎng)交換）防火墻是一項(xiàng)很了不起的技術(shù)，它把動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、代理服務(wù)器、數(shù)據(jù)包過濾、防火墻和VPN功能全部集成到單個硬件中。

與使用Cisco IOS不同，該設(shè)備具有一個高度簡化的操作系統(tǒng)，擁有處理各種協(xié)議的能力，從而通過跟蹤IP來獲得極好的穩(wěn)定性和表現(xiàn)。

隧道技術(shù)

大多數(shù)VPN都依靠隧道技術(shù)來建立可通過互聯(lián)網(wǎng)訪問的專用網(wǎng)絡(luò)。從實(shí)質(zhì)上來說，隧道技術(shù)就是將整個數(shù)據(jù)包放入另一個數(shù)據(jù)包中，并將后者通過網(wǎng)絡(luò)發(fā)送出去的過程。網(wǎng)絡(luò)和數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)的入口點(diǎn)和出口點(diǎn)（我們稱為隧道接口）都能夠理解外部數(shù)據(jù)包的協(xié)議。

隧道技術(shù)需要使用三種不同協(xié)議：

• 運(yùn)載協(xié)議——網(wǎng)絡(luò)作為信息傳輸媒介的協(xié)議
• 封裝協(xié)議——用于封裝原始數(shù)據(jù)的協(xié)議（GRE、IPSec、L2F、PPTP、L2TP）
• 乘客協(xié)議——將要攜帶的原始數(shù)據(jù)（IPX、NetBeui、IP）

隧道技術(shù)對于VPN具有重要意義。例如，您可以將使用某種不受互聯(lián)網(wǎng)支持的協(xié)議（例如NetBeui）的數(shù)據(jù)包放入IP數(shù)據(jù)包中，然后通過互聯(lián)網(wǎng)將其安全地發(fā)送出去。您也可以將使用專有（不可路由）IP地址的數(shù)據(jù)包放入使用一個通用唯一的IP地址的數(shù)據(jù)包中，從而通過互聯(lián)網(wǎng)擴(kuò)展專有網(wǎng)絡(luò)。

隧道技術(shù)的動畫演示

隧道技術(shù)：站點(diǎn)到站點(diǎn)

在站點(diǎn)到站點(diǎn)式VPN中，通常使用GRE（通用路由封裝）作為封裝協(xié)議，它提供了如何封裝乘客協(xié)議的框架，以便在運(yùn)載協(xié)議（通常是基于IP的協(xié)議）中傳輸乘客協(xié)議。這包括有關(guān)要封裝的數(shù)據(jù)包的類型信息，以及客戶端和服務(wù)器之間的連接信息。隧道模式中的IPSec有時也用來取代GRE，充當(dāng)封裝協(xié)議。IPSec適用于遠(yuǎn)程訪問VPN和站點(diǎn)到站點(diǎn)式VPN。但必須要兩個隧道接口都支持 IPSec才能使用IPSec。

隧道技術(shù)：遠(yuǎn)程訪問

在遠(yuǎn)程訪問VPN時，隧道技術(shù)通常使用PPP來實(shí)現(xiàn)。作為TCP/IP堆棧的一部分，PPP（端對端協(xié)議）在主機(jī)通過網(wǎng)絡(luò)同遠(yuǎn)程系統(tǒng)通信時會作為其他IP協(xié)議的載體。遠(yuǎn)程訪問VPN隧道技術(shù)能否實(shí)現(xiàn)取決于PPP。

下面列出的各種協(xié)議都是使用PPP的基本結(jié)構(gòu)建立的，它們都用于遠(yuǎn)程訪問 VPN。

• L2F（第二層轉(zhuǎn)發(fā)）——L2F由思科公司開發(fā)，它可以使用PPP支持的任何身份驗(yàn)證架構(gòu)。
• PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）——PPTP由PPTP Forum開發(fā)，PPTP Forum 是一個聯(lián)盟，其成員包括US Robotics、Microsoft、3COM、Ascend和ECI Telematics。PPTP支持40位和128位加密，并可以使用PPP支持的任何身份驗(yàn)證架構(gòu)。
• L2TP（第二層隧道協(xié)議）——L2TP是由PPTP Forum各成員、思科公司和IETF（互聯(lián)網(wǎng)工程工作組）聯(lián)手打造的產(chǎn)品。它結(jié)合了PPTP和L2F的功能，且完全支持IPSec。

L2TP可以用作站點(diǎn)到站點(diǎn)式VPN以及遠(yuǎn)程訪問VPN的隧道協(xié)議。事實(shí)上，L2TP可以在下列設(shè)備之間建立隧道：

• 客戶端和路由器
• NAS和路由器
• 路由器和路由器

您可以把隧道想像成是通過UPS把計算機(jī)遞送給您的情形。供應(yīng)商UPS公司用盒子（封裝協(xié)議）包裝好計算機(jī)（乘客協(xié)議），然后把它放到停在自己倉庫（隧道入口）中的一輛UPS卡車（運(yùn)載協(xié)議）上。這輛卡車（運(yùn)載協(xié)議）通過高速公路（互聯(lián)網(wǎng)）駛達(dá)您家（隧道出口），并把計算機(jī)交付給您。您打開盒子（封裝協(xié)議），并取出計算機(jī)（乘客協(xié)議）。隧道技術(shù)的原理就是這么簡單！

可以看出，VPN是公司用于連接各地員工和合作伙伴的很好的方式。