IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 如何建造一個虛擬專用網(wǎng)

如何建造一個虛擬專用網(wǎng)

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

VPN是通過因特網(wǎng)上將局域網(wǎng)擴(kuò)展到遠(yuǎn)程網(wǎng)絡(luò)和遠(yuǎn)程計算機(jī)用戶的一種成本效益極佳的辦法。它最大的優(yōu)點在于異地子網(wǎng)間的通信就象在一個子網(wǎng)內(nèi)一樣安全,虛擬專用網(wǎng)絡(luò)由此而得名。

VPN的三個基本要素

1. IP封裝

VPN系統(tǒng)的第一個基本要素是使用IP封裝。若一個IP包包含其他IP包時,就稱為IP封裝。IP封裝可以使兩個實際上分離的網(wǎng)絡(luò)計算機(jī)看上去像比鄰的——相互之間只是由一個路由器分開,但是它們是通過許多網(wǎng)絡(luò)路由器和網(wǎng)關(guān)分開的,這些路由器和網(wǎng)關(guān)也可能不用同一個地址空間。

例如,若有兩個使用PPTP(Point-to-Point Tunneling Protocol)的RAS(Remote Access Service)服務(wù)器連接的IP網(wǎng)絡(luò),一個局域網(wǎng)的網(wǎng)絡(luò)地址是10.1.1,另一個是10.1.2。每個網(wǎng)絡(luò)上的RAS服務(wù)器都提供到Internet的連接。一個RAS服務(wù)器有一個局域網(wǎng)的IP地址10.1.1.1和一個ISP分配的因特網(wǎng)地址250.121.13.12,而另一個RAS服務(wù)器的局域網(wǎng)地址是10.1.2.1,ISP分配的因特網(wǎng)地址是110.121.112.34。這時若10.1.1網(wǎng)絡(luò)中的一個計算機(jī),假設(shè)為10.1.1.23,需向10.1.2網(wǎng)絡(luò)中的一個計算機(jī),假設(shè)為10.1.2.99,發(fā)送一個IP包。其通信過程為:

1) 發(fā)送方的計算機(jī)首先注意到,目標(biāo)地址10.1.2.99的網(wǎng)絡(luò)部分與它自己的網(wǎng)絡(luò)地址不匹配。

2) 發(fā)送方不將包直接發(fā)送給目標(biāo)地址,而是將包發(fā)送給自己子網(wǎng)缺省的網(wǎng)關(guān)地址10.1.1.1。

3) 這個10.1.1網(wǎng)絡(luò)上的RAS服務(wù)器讀這個包。

4) 網(wǎng)絡(luò)10.1.1上的RAS服務(wù)器判斷出這個包應(yīng)被放到10.1.2網(wǎng)絡(luò)的子網(wǎng)上。

5) RAS服務(wù)器加密這個包,并用另一個包將它封裝起來。

6)路由器從它的網(wǎng)絡(luò)接口上發(fā)送這個封裝的包(這個接口連接到因特網(wǎng)上,假設(shè)地址為24.121.13.12)到10.1.2網(wǎng)絡(luò)子網(wǎng)的RAS服務(wù)器的因特網(wǎng)地址110.121.112.34上。

7)10.1.2網(wǎng)絡(luò)子網(wǎng)的RAS服務(wù)器從它的因特網(wǎng)接口讀這個封裝和加密的包。

8)10.1.2網(wǎng)絡(luò)子網(wǎng)的RAS服務(wù)器解密這個封裝的IP包,驗證它是一個有效的IP包,也就是它沒有被改動過并且來自可靠的地方。

9)10.1.2網(wǎng)絡(luò)子網(wǎng)的RAS服務(wù)器從它的適配器上將這個包發(fā)送到網(wǎng)絡(luò)子網(wǎng)的目標(biāo)地址10.1.2.99。

10)目標(biāo)計算機(jī)讀這個包。

這就是一個簡單的VPN的IP封裝過程。

2. 加密的身份認(rèn)證

密碼身份認(rèn)證用來安全有效地驗證遠(yuǎn)程用戶的身份,這樣系統(tǒng)就可以判斷出適合這個用戶的安全級別。如VPN可使用密碼身份認(rèn)證來決定用戶是否可以參與到加密通道中。

3. 數(shù)據(jù)有效負(fù)載加密

數(shù)據(jù)有效負(fù)載加密用來加密被封裝的數(shù)據(jù)。

國內(nèi)外的VPN產(chǎn)品

VPN是一項新興技術(shù)。它比專用廣域網(wǎng)便宜,但比局域網(wǎng)慢,也不如單獨的局域網(wǎng)或廣域網(wǎng)安全。目前國內(nèi)外許多大的網(wǎng)絡(luò)安全產(chǎn)品公司都推出了自己的VPN產(chǎn)品,這些VPN產(chǎn)品大部分都和自己的防火墻產(chǎn)品結(jié)合到一起,但也有一些公司的VPN產(chǎn)品是單獨的。國內(nèi)的產(chǎn)品有天融信公司SJW11網(wǎng)絡(luò)密碼機(jī)(VPN)產(chǎn)品,東大阿爾派公司即將推出的NetEye VPN等。

關(guān)鍵詞標(biāo)簽:虛擬專用網(wǎng)

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量