什么是VPN路由器
本文從具體概念,不同用戶的解決方案,以及它的接口和實現功能,全面細致的講解了VPN技術。
VPN 英文全稱Virtual Private Network,中文譯為:虛擬私人網絡,又稱為虛擬專用網絡。
顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或WINDOWS2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet(外部擴展)相對應。
VPN網關是實現局域網(LAN)到局域網連接的設備。從字面上我們就能夠知道它可以實現兩大功能:VPN和網關。廣義上講,支持VPN(虛擬專用網)的路由器和防火墻等設備都可以算作VPN網關。目前常見的VPN網關產品可以包括單純的VPN網關、VPN路由器、VPN防火墻、VPN服務器等產品。
典型的VPN網關產品應該具有以下性能:
它應集成包過濾防火墻和應用代理防火墻的功能。
企業級VPN產品是從防火墻產品發展而來,防火墻的功能特性己經成為它的基本功能集中的一部分。如果是一個獨立的產品,VPN與防火墻的協同工作會遇到很多難以解決的問題,有可能不同廠家的防火墻和VPN不能協同工作,防火墻的安全策略無法制定(這是由于VPN把IP數據包加密封裝的緣故)或者帶來性能的損失,如防火墻無法使用NAT功能等等。而如果采用功能整合的產品,則上述問題不存在或很容易解決。
VPN應有一個開放的架構
VPN部署在企業接入因特網的路由器之后,或者它本身就具有路由器的功能,因此,它己經成為保護企業內部資產安全最重要的門戶。阻止黑客入侵、檢查病毒、身份認證與權限檢查等很多安全功能需要VPN完成或在同VPN與相關產品協同完成。因此,VPN必須按照一個開放的標準,提供與第三方安全產品協同工作的能力。
有完善的認證管理
一個VPN系統應支持標準的認證方式,如RADIUS(Remote Authentication Dial In User Service,遠程認證撥號用戶服務)認證、基于PKI(Public Key Infrastructure,公鑰基礎設施)的證書認證以及逐漸興起的生物識別技術等等。對于一個大規模的VPN系統,PKI/KMI的密鑰管理中心,提供實體(人員、設備、應用)信息的LDAP目錄服務及采用標準的強認證技術(令牌、IC卡)是一個VPN系統成功實施和正常運行必不可少的條件。
VPN應提供第三方產品的接口
當用戶部署了客戶到LAN的VPN方案時,VPN產品應提供標準的特性或公開的API(應用程序編程接口),可以從公司數據庫中直接輸入用戶信息。否則,對于一個有數千甚至上萬的SOHO人員和移動辦公人員的企業來說,單獨地創建和管理用戶的權限是不可想像的。
VPN網關應擁有IP過濾語言,并可以根據數據包的性質進行包過濾。
數據包的性質有目標和源IP地址、協議類型、源和目的TCP/UDP端口、TCP包的ACK位、出棧和入棧網絡接口等。
一個完整的VPN系統一般包括以下幾個單元:
VPN服務器:一臺計算機或設備用來接收和驗證VPN連接的請求,處理數據打包和解包工作。
VPN客戶端:一臺計算機或設備用來發起VPN連接的請求,也處理數據的打包和解包工作。
VPN數據通道:一條建立在公用網絡上的數據連接。
注意所謂的服務器和客戶端在VPN連接建立之后在通信中的角色是相同的,它們的區別只在于連接是由誰發起的而已。
VPN可以實現哪些功能?
第一,DDN技術雖然可以實現企業間互連,但租金昂貴;ADSL寬帶雖然價格低廉,但其只能應用于企業接入Internet ,不能實現企業之間的互聯。VPN可以幫助實現既經濟又安全的企業間互聯,即企業可以通過無處不在的因特網來實現方便快捷的互訪。
第二,雖然INTERNET為企業實現數據訪問提供了方便,但其高度開放性和松散管理結構也使得企業面臨嚴重的網絡安全問題。用戶可以利用加密技術對經過 VPN 隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。
VPN的使用限制
第一,如果是在公司內部局域網與外部網絡之間搭建VPN,必須保證服務器和互聯網連接的網卡獲得的是一個公網地址,不是使用地址轉換技術。
第二,在安裝VPN服務器的一端必須要有固定IP地址,客戶端要事先知道服務器端的IP地址才能發起連接。而大多數用戶寬帶上網的IP地址都是變化的,所以必須把動態IP地址轉換成靜態。
使用動態IP的用戶,可以把動態域名解析服務和VPN方案相結合使用,把動態IP解析成靜態。
常用的VPN三種部署方案
1.采用純軟件方式,總部安裝VPN總部軟件網關,分部安裝VPN分部網關,移動用戶(包括在外的筆記本和遠程的單機)安裝VPN客戶端。這種方案有用微軟的NT系統和桌面系統來做的,也有第三方開發的VPN服務與客戶端軟件。
2.總部采用帶VPN功能防火墻,分部用帶VPN功能的寬帶路由器,移動用戶(包括在外的筆記本和遠程的單機)安裝防火墻帶的VPN客戶端。VPN防火墻這類設備相對一般的帶VPN功能的寬帶路由器來說比較專業。較著名的產品比如有:NetScreen,Nokia, 安氏等。這些產品都能支持100條以上的VPN,數據吞吐率有較高表現,適用于企業機構的網絡核心。
3.總部采用帶VPN功能寬帶路由器,分部能上寬帶的用帶VPN功能的寬帶路由器,移動用戶(包括在外的筆記本和遠程的單機)安裝WINDOWS帶的VPN客戶端。
對于較大的企業來說可以選擇第二種方案,在網絡性能方面有更高考慮。因為在使用VPN加解密技術后,數據的傳送速度將相應下降。小企業一般采用第三種方案就足夠了,市面上的產品豐常豐富。
【編輯推薦】
