安全基础之全面了解虚拟专用网络VPN

网络的发展给我们带来了巨大的便利，很多工作都是通过网络完成的。现在又正值奥运期间，为了缓解交通压力，政府提倡在家办公。很多人也希望在家办公，但问题也随之而来，最普遍的问题就是："我想连到公司局域网，但是不行，听说要用vpn，可我不太懂。vpn是什么啊？"我想这是也是很多期望在家办公的人的疑问。

一 什么是VPN：

VPN的英文全称是"Virtual Private Network"，翻译过来就是"虚拟专用网络"。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

二 VPN的作用：

虚拟专用网（VPN）可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

三 VPN实现原理：

众所周知，由于公共IP的短缺，我们在组建局域网时，通常使用保留地址作为内部IP，这些保留地址Internet上是无法被路由的，所以在正常情况下我们无法直接通过Internet访问到在局域网内的主机。

为了实现这一目的，我们需要使用VPN隧道技术：

通常情况下，VPN网关采用双网卡结构，外网卡使用公共IP接入Internet。 如果网络一的终端A需要访问网络二的终端B，其发出的访问数据包的目标地址为终端B的IP (内部IP);

网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新的数据包(VPN数据包)，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址;网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网关;网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，在将负载通VPN技术反向处理还原成原始的数据包;网络二的VPN网关将还原后的原始数据包发送至目标终端，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就从终端A直接发过来的一样;从终端B返回终端A的数据包处理过程与上述过程一样，这样两个网络内的终端就可以相互通讯了。

通过上述说明我们可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN隧道通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包需要进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的的远端VPN网关地址。

四 VPN的分类：

VPN可分为传统意义的VPN和IP VPN。所谓传统意义上的VPN，即在DDN网或公用分组交换网或帧中继网上组建VPN，并具有一个共同的特点，即利用DDN网或公用分组交换网或帧中继网的部分网络资源如传输线路、网络模块、网络端口等划分成一个分区, 并设置相对独立的网络管理机构，对分区内数据量及各种资源进行管理，分区内的各节点共享分区内的网络资源，它们之间的数据处理和传送相对独立，就好像真正的专用网一样。所谓IP VPN是依靠ISP和其它NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术。其中，IETF草案基于IP VPN的理解是"使用IP机制仿真出一个私有的广域网"，即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓"虚拟"，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓"专用网络"，是指用户可以为自己制定一个最符合自己需求的网络。

传统意义VPN的分类：

根据VPN所起的作用，可以将VPN分为三类：VPDN、Intranet VPN和Extranet VPN.

1. VPDN（Virtual Private Dial Network)

在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN.实现过程如下：用户拨号NSP（网络服务提供商）的网络访问服务器NAS（Network Access Server），发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。

2. Intranet VPN

公司远程分支机构的LAN和公司总部LAN之间的VPN.通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。

3. Extranet VPN

在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN.由于不同公司网络环境的差异性，该产品必须能兼容不同的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置特定的访问控制表ACL（Access Control List），根据访问者的身份、网络地址等参数来确定他所相应的访问权限，开放部分资源而非全部资源给外联网的用户。

IP VPN的分类

按照网络连接方式的不同，一般把IP VPN分为以下三种类型。其中只有第一种与VPN的分类不同。

1、远程访问虚拟专网（Access VPN）

Access VPN与传统的远程访问网络相对应，它通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。在Access VPN方式下远端用户不再像传统的远程网络访问那样通过长途电话拨号到公司远程接入端口，而是拨号接入到远端用户本地的ISP，采用VPN技术在公众网上建立一个虚拟的通道。Access VPN能使用户随时随地以其所需的方式访问企业资源。Access VPN包括模拟拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。

2、企业内部虚拟专网（Intranet VPN）

3、扩展的企业内部虚拟专网(Extranet VPN）

未经允许不得转载：DOIT » 安全基础之全面了解虚拟专用网络VPN