【IT168 专稿】微软公司在它的新操作系统——Windows Server 2003家族中继续提供对VPN通信技术的支持,并且还增加了许多新的特性,使得微软的Windows VPN方案更加实用,安全性更强。下面先来了解VPN通信的基础知识。
虚拟专用网(VPN)是专用网络的延伸,它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。要模拟点对点链路,应压缩或包装数据,并加上一个提供路由信息的报头,该报头使数据能够通过共享或公用网络到达其终点。若要模拟专用链接,数据应加密以进行保密,没有加密密钥,在共享或公用网络上截取的数据包是无法破译的。封装和加密专用数据之处的链接是虚拟专用网(VPN)连接。VPN网络的基本结构如图1所示.
|
| 图1 |
在整个VPN通信中,主要有两种VPN通信方式,适用于两类不同用户选择使用,满足各方面用户与企业VPN服务器进行通信的需求。这两种VPN通信方式就是俗称的“远程访问VPN”和“路由器到路由器VPN”,前者也称之为“Access VPN”(远程访问VPN),后者又包括“Intranet VPN(企业内联VPN)”和“Extranet VPN(企业外联VPN)”。前者是采用Client-to-LAN(客户端到局域网)的模式,而后者所采用的是LAN-to-LAN(局域网到局域网)模式。前者适用于单机用户与企业VPN服务器之间的VPN通信连接,而后者适用于两个企业局域网VPN服务器之间的VPN通信连接。
在家里或者旅途中工作的用户可以使用远程访问VPN连接建立到组织服务器的远程访问连接,方法是使用公共网络(例如Internet)提供的基础结构。从用户的角度来讲,VPN是一种在计算机(VPN客户端)与企业服务器(VPN服务器)之间的点对点连接。VPN与共享或公用网络的具体基础结构无关,因为在逻辑上数据就象是通过专用的私有链接发送的。这种远程访问VPN连接只能是单向的,即由远程客户端向VPN服务器发起连接请求,VPN服务器端不可能向客户机发起连接请求。典型的网络结构如图2所示。
|
| 图2 |
在这种VPN中,VPN用户先呼叫ISP,与ISP建立连接之后,ISP服务器就呼叫建立点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 隧道的远程访问服务器。这些协议已自动安装到计算机。建立VPN连接之后,你就可以访问企业网络,单位也能够使用VPN连接来为地理位置分开的办公室建立路由连接,或者在保持安全通讯的同时通过公共网络,例如Internet,连接到其他单位。这里所用的就是“路收器到路由器VPN连接”,这种连接通常是双向的,即连接的双方用户都可以对对方发起VPN通信连接,所访问的资源通常也是对方整个网络资源。通过Internet被路由的VPN连接逻辑上作为专用的WAN链接来操作。通过远程访问和路由连接,组织可以使用VPN连接将长途拨号或租用线路换成本地拨号或者到Internet服务提供者(ISP)的租用线路。这种VPN连接的典型的网络结构如图3所示。
|
| 图3 |
以上两种VPN连接的逻辑等价图如图4所示。
|
| 图4 |
