Keep on going, never give up.

VPN的典型应用场景及使用要点介绍

前天有个网友问到VPN的问题,天缘本文就来专题介绍一下VPN的应用问题,网络上很多文章都是长篇大论,对于新手来讲根本不知道如何下手,天缘本文先介绍一下VPN的应用场景分类,稍后会根据VPN应用中关注的重点问题再写些专题文章,天缘的目标就是一切从简,很多新手要完全消化这些内容,可能还是需要GG一下一些“长篇大论”,权且作为准备知识。

本文只对VPN的应用场景进行总体介绍,让大家了解一下VPN的概况,知道这些拓扑结构,即使在实际使用中遇到一些配置问题也可以树藤摸瓜,逐个解决。本文没有对具体设置方法进行图解,如果需要天缘后续会对Windows 7或Linux平台的相关VPN设置焦点问题进行详细介绍。

一、VPN的概念及实现方式

VPN就是虚拟专用网的简称,利用公共网络将多个私有网络或网络节点联系起来,具有良好的保密和抗干扰性。既然是虚拟的自然就有虚拟的特性在里头,如果不考虑VPN的拆装便利性,那么VPN肯定没有真正的专用网好,只因为VPN完全走公共网络。VPN的出现更多是成本和便利上的考虑,其应用市场目前还算比较完善,当然还存在很多问题。下面来看一下VPN的应用场景(网络拓扑)。

VPN的整体分成三大部分:Server部分、VPN数据通道部分和Client部分,Client部分可能包含一个或多个Client。VPN数据通道部分也称隧道部分,因为走的是公网无需多说,典型结构参见下图(大概样子^_^)。

VPN典型应用场景

VPN有3种网络连接结构:Access VPN(远程访问VPN)、Intranet VPN(企业内部VPN)和Extranet VPN(企业扩展VPN),这3种结构的VPN分别对应于传统的远程访问网络、企业内部的Intranet以及企业和合作伙伴的网络所构成的Extranet。VPN连接实现方式有L2F、PPTP、L2TP、GRE、IPSEC等方式,考量VPN连接特点的角度有:可伸缩性、安全性、服务质量(QOS)、可管理型和可靠性,下表列出几种连接方式:

OSI层 简称 名称 特点 备注
第二层隧道协议 L2F 二层转发协议 支持多种传输协议,如IP、ATM、帧中继 Cisco、Nortel等公司支持。
第二层隧道协议 PPTP 点到点隧道协议 该协议将PPP数据包封装在IP数据包内通过IP网络(如Internet或Intranet)进行传送。PPTP协议可看作是PPP协议的一种扩展, Microsoft、Ascend、3COM等公司支持。
第二层隧道协议 L2TP 第二层隧道协议 它结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接 由IETF起草并由Cisco、Microsoft、Ascend、3COM等公司支持,是二层隧道协议的工业标准,一般用于远程接入VPN接入
第二层隧道协议 MPLS 多协议标签 高度的可伸缩性,稳固的Qos。 搭建VPN主要工作一般由运营商或服务提供商来完成,VPN成员资格由服务商决定。
第三层隧道协议 GRE 通用路由封装协议 只规定了对数据包的封装方法,即如何用一种网络协议去封装另一种网络协议。没有网络安全机制 一般需要与IPSec一起使用。
第三层隧道协议 IPSEC 通用路由封装协议 是一个工业标准网络安全协议(非独立协议),为IP网络通信提供透明的安全服务,保护TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。 新一代Internet安全标准IPSec协议 ,实际使用需要对客户机进行VPN部署。
IPSec只能工作在IP网络上。如要在非IP网络上使用需要与L2TP或GRE等隧道协议结合使用。
          

  注:对于没有接触过OSI的网友可以这样简单的理解,以上协议都是一种打包协议,也就是把上一层的数据以某种方式进行再打包后进行分发过程,打包方式不同(协议不同)带来的加密或通用效果就有所差异。

二、VPN的场景搭建

A、Server端固定IP时的典型场景

1、软件VPN

在路由器上将固定IP映射到某台计算机上,然后在这台计算机上设置启用VPN服务,然后Client端计算机可以通过访问固定IP就会自动登陆到这台Server计算机,再通过这台Server计算机访问局域网中其他计算机的资源。如果Server端有多台PC终端,如需要共享上网主Server可能需要双网卡。

2、硬件VPN

硬件VPN就是使用带有VPN功能的路由器,在Client端和Server端的出口都使用VPN路由器,对路由器进行路由设置,这样2个路由器之间会自动建立VPN,因为Server IP是固定的,所以Client路由器会自动寻找总部IP并建立VPN,这样Client下的电脑无需如何设置,就可以直接访问Server内部网络。

B、Server端动态IP时的典型场景

对于动态IP环境下创建VPN,必须使用类似花生壳这类的动态映射技术,并绑定域名,花生壳一般都是安装在VPN服务器上,也可以在内网专门做个域名解析主机映射到服务器上,不过一般没这个必要。常见场景如下图(来源于GG搜索):

利用花生壳创建VPN

设置方法:
1、VPN Server计算机上安装花生壳,并进行路由器VPN端口映射,花生壳会在大网IP变化时自动通知动态域名解析提供方更新。

2、使用独立域名或二级域名进行动态IP绑定(两个部分:一是服务提供商方面设置,二是花生壳客户端设置)。

3、设置启用VPN服务(Windows、Linux等上面都有),激活路由和远程访问、接入地址段指派、权限设置。

常见注意事项:

1、VPN端口需要在路由器进行映射设置,防火墙中也要开放许可。

2、远程访问策略是否设置正确非常重要,尤其是进行远程调试的时候。

3、如需同时访问局域网内其它主机,VPN Server需要开启路由功能并启用IP路由,不过一般会默认开启的。

三、VPN代理的概念

VPN服务/VPN代理是虚拟专用网VPN的延伸产物,是运营商或IP VPN服务商为商业用户提供的一种VPN代理服务,一方面可以拓展运营商或VPN服务商的产品延伸,另一方面也可以降低商业用户的运营成本,尤其是对于很多跨国企业,涉及到方方面面的问题,很多时候并非只有技术问题,这时候就只能依赖这些有一定垄断性的运营商或服务商提供的服务。——这个定义是天缘下的,是否恰当稍后再斟酌完善。

除了上述的VPN服务之外,我们平常说的VPN代理更多是指通过代理商服务器搭建的VPN网络,直接在客户端设置VPN拨号,实现高速加密访问全球网络(对方网络一般都不在终端用户的可控范围),在继承VPN安全可靠特性的同时可大幅提升网络传输速度。典型应用链接海外游戏服务器或翻A墙。

 

参考资料:

花生壳的典型应用A:http://publish.it168.com/2003/0701/20030701002301.shtml

花生壳的典型应用B:http://www.hackbase.com/subject/2009-07-20/14850.html

手把手教你组建VPN:http://www.hackbase.com/subject/2009-07-20/14854.html

IP VPN的技术内幕:http://blog.chinaunix.net/u2/83505/showart_1339147.html

 

更多文章:

集线器、交换机、路由器、中继器及网关、网桥之间的区别

WiFi、WinMax、无线上网卡、无线路由器、无线AP之间的区别

CD/DVD相关名词解释及光盘刻录机选择向导

相关评论(0):  

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

订阅博客

最新文章

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载也必须遵循“署名-非商业用途-保持一致”的创作共用协议. 返回顶部
Copyright@2005-2016 Metsky.com, All rights Reserved.