VPN的典型应用场景及使用要点介绍.doc

资源描述

VPN的典型应用场景及使用要点介绍优秀博客 2010-04-17 22:40:36 阅读58 评论0 字号：大中小订阅前天有个网友问到VPN的问题，天缘本文就来专题介绍一下VPN的应用问题，网络上很多文章都是长篇大论，对于新手来讲根本不知道如何下手，天缘本文先介绍一下VPN的应用场景分类，稍后会根据VPN应用中关注的重点问题再写些专题文章，天缘的目标就是一切从简，很多新手要完全消化这些内容，可能还是需要GG一下一些“长篇大论”，权且作为准备知识。本文只对VPN的应用场景进行总体介绍，让大家了解一下VPN的概况，知道这些拓扑结构，即使在实际使用中遇到一些配置问题也可以树藤摸瓜，逐个解决。本文没有对具体设置方法进行图解，如果需要天缘后续会对Windows 7或Linux平台的相关VPN设置焦点问题进行详细介绍。一、VPN的概念及实现方式 VPN就是虚拟专用网的简称，利用公共网络将多个私有网络或网络节点联系起来，具有良好的保密和抗干扰性。既然是虚拟的自然就有虚拟的特性在里头，如果不考虑VPN的拆装便利性，那么 VPN肯定没有真正的专用网好，只因为VPN完全走公共网络。VPN的出现更多是成本和便利上的考虑，其应用市场目前还算比较完善，当然还存在很多问题。下面来看一下VPN的应用场景（网络拓扑）。 VPN的整体分成三大部分：Server部分、VPN数据通道部分和Client部分，Client部分可能包含一个或多个Client。VPN数据通道部分也称隧道部分，因为走的是公网无需多说，典型结构参见下图（大概样子^_^）。 VPN有3种网络连接结构：Access VPN（远程访问VPN）、Intranet VPN（企业内部VPN）和Extranet VPN（企业扩展VPN），这3种结构的VPN分别对应于传统的远程访问网络、企业内部的Intranet以及企业和合作伙伴的网络所构成的 Extranet。VPN连接实现方式有L2F、PPTP、L2TP、GRE、IPSEC等方式，考量VPN连接特点的角度有：可伸缩性、安全性、服务质量（QOS）、可管理型和可靠性，下表列出几种连接方式： OSI层简称名称特点备注第二层隧道协议 L2F 二层转发协议支持多种传输协议，如IP、ATM、帧中继 Cisco、Nortel等公司支持。第二层隧道协议 PPTP 点到点隧道协议该协议将PPP数据包封装在IP数据包内通过IP网络（如Internet或Intranet）进行传送。PPTP协议可看作是PPP协议的一种扩展， Microsoft、Ascend、3COM等公司支持。第二层隧道协议 L2TP 第二层隧道协议它结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接由IETF起草并由Cisco、Microsoft、Ascend、3COM等公司支持，是二层隧道协议的工业标准，一般用于远程接入VPN接入第二层隧道协议 MPLS 多协议标签高度的可伸缩性，稳固的Qos。搭建VPN主要工作一般由运营商或服务提供商来完成，VPN成员资格由服务商决定。第三层隧道协议 GRE 通用路由封装协议只规定了对数据包的封装方法，即如何用一种网络协议去封装另一种网络协议。没有网络安全机制一般需要与IPSec一起使用。第三层隧道协议 IPSEC 通用路由封装协议是一个工业标准网络安全协议（非独立协议），为IP网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。新一代Internet安全标准IPSec协议，实际使用需要对客户机进行VPN部署。 IPSec只能工作在IP网络上。如要在非IP网络上使用需要与L2TP或GRE等隧道协议结合使用。注：对于没有接触过OSI的网友可以这样简单的理解，以上协议都是一种打包协议，也就是把上一层的数据以某种方式进行再打包后进行分发过程，打包方式不同（协议不同）带来的加密或通用效果就有所差异。二、VPN的场景搭建 A、Server端固定IP时的典型场景 1、软件VPN 在路由器上将固定IP映射到某台计算机上，然后在这台计算机上设置启用VPN服务，然后Client端计算机可以通过访问固定IP就会自动登陆到这台Server计算机，再通过这台Server计算机访问局域网中其他计算机的资源。如果 Server端有多台PC终端，如需要共享上网主Server可能需要双网卡。 2、硬件VPN 硬件VPN就是使用带有VPN 功能的路由器，在Client端和Server端的出口都使用VPN路由器，对路由器进行路由设置，这样2个路由器之间会自动建立VPN，因为 Server IP是固定的，所以Client路由器会自动寻找总部IP并建立VPN，这样Client下的电脑无需如何设置，就可以直接访问Server内部网络。 B、 Server端动态IP时的典型场景对于动态IP环境下创建VPN，必须使用类似花生壳这类的动态映射技术，并绑定域名，花生壳一般都是安装在VPN服务器上，也可以在内网专门做个域名解析主机映射到服务器上，不过一般没这个必要。常见场景如下图（来源于GG搜索）：设置方法： 1、VPN Server计算机上安装花生壳，并进行路由器VPN端口映射，花生壳会在大网IP变化时自动通知动态域名解析提供方更新。 2、使用独立域名或二级域名进行动态IP绑定（两个部分：一是服务提供商方面设置，二是花生壳客户端设置）。 3、设置启用VPN服务（Windows、 Linux等上面都有），激活路由和远程访问、接入地址段指派、权限设置。常见注意事项： 1、 VPN端口需要在路由器进行映射设置，防火墙中也要开放许可。 2、远程访问策略是否设置正确非常重要，尤其是进行远程调试的时候。 3、如需同时访问局域网内其它主机，VPN Server需要开启路由功能并启用IP路由，不过一般会默认开启的。三、VPN代理的概念 VPN 服务/VPN代理是虚拟专用网VPN的延伸产物，是运营商或IP VPN服务商为商业用户提供的一种VPN代理服务，一方面可以拓展运营商或VPN服务商的产品延伸，另一方面也可以降低商业用户的运营成本，尤其是对于很多跨国企业，涉及到方方面面的问题，很多时候并非只有技术问题，这时候就只能依赖这些有一定垄断性的运营商或服务商提供的服务。——这个定义是天缘下的，是否恰当稍后再斟酌完善。除了上述的VPN服务之外，我们平常说的VPN代理更多是指通过代理商服务器搭建的VPN网络，直接在客户端设置 VPN拨号，实现高速加密访问全球网络（对方网络一般都不在终端用户的可控范围），在继承VPN安全可靠特性的同时可大幅提升网络传输速度。典型应用链接海外游戏服务器或翻A墙

展开阅读全文