劉 君

（武漢工程大學(xué)，湖北 武漢 430073）

VPN技術(shù)在跨越網(wǎng)絡(luò)區(qū)域中的應(yīng)用

劉 君

（武漢工程大學(xué)，湖北 武漢 430073）

本文探討靈活利用VPN技術(shù)，實(shí)現(xiàn)在在基于IP地址認(rèn)證的網(wǎng)絡(luò)模式中跨越區(qū)域限制。

VPN；IP地址認(rèn)證；網(wǎng)絡(luò)限制

1.引言

在許多網(wǎng)管出于特殊原因?qū)?nèi)網(wǎng)中部分區(qū)域?qū)嵤┰L問外網(wǎng)的限制，允許某些區(qū)域終端通過IP地址認(rèn)證訪問外網(wǎng)，有些區(qū)域的終端不給予認(rèn)證，禁止訪問 Internet，這對那些擁有合法賬號，卻經(jīng)常在限制區(qū)域和非限制區(qū)域之間活動的人員帶來一些不便。為了讓這個別的終端能訪問外網(wǎng)，很多人都想到了代理上網(wǎng)，而傳統(tǒng)的利用代理服務(wù)器上網(wǎng)又存在許多限制，例如有些應(yīng)用根本就不支持代理上網(wǎng)模式，本文基于這種情況，結(jié)合現(xiàn)在日趨成熟的虛擬專用網(wǎng)（VPN ,Virtual Private Network）技術(shù)，實(shí)現(xiàn)方便快捷的訪問外網(wǎng)。

2.VPN基本概念

VPN（虛擬專用網(wǎng)，Virtual Private Network），一般來講是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。而現(xiàn)在隨著VPN網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，VPN已經(jīng)不僅僅指通過Internet等大型IP互聯(lián)網(wǎng)構(gòu)建大企業(yè)、大集團(tuán)的私有專用網(wǎng)，而目前已經(jīng)有了更加廣闊的應(yīng)用空間，它可以建立穿透其他非IP網(wǎng)絡(luò)構(gòu)建某集團(tuán)的私有專用網(wǎng)絡(luò)，也可以是某小集體內(nèi)部某些部門間實(shí)現(xiàn)機(jī)密數(shù)據(jù)傳遞而建立的端到端的加密數(shù)據(jù)傳輸，甚至是兩個特殊終端進(jìn)行的機(jī)密信息交換。

3.VPN基本工作原理

VPN由三個部分組成：隧道技術(shù)、用戶認(rèn)證和數(shù)據(jù)加密。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在公共網(wǎng)絡(luò)上傳輸。用戶認(rèn)證是保證合法的用戶安全地通訊，并確保傳出的數(shù)據(jù)不被篡改。而數(shù)據(jù)加密則使數(shù)據(jù)在傳輸過程中不被非法閱讀，使得通訊雙方外的第三方無法獲知傳輸數(shù)據(jù)的內(nèi)容。VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN）。但在許多大型企業(yè)中可能同時具備這3種解決方案。而本文中的應(yīng)用，鑒于用例的特點(diǎn)，介紹使用第一種方案比較簡單實(shí)用，即遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）。

4.實(shí)現(xiàn)VPN的關(guān)鍵—隧道技術(shù)

網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，即網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。隧道技術(shù)是指包括數(shù)據(jù)封裝、傳輸和解包在內(nèi)的網(wǎng)絡(luò)技術(shù)體系。此外創(chuàng)建隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。

隧道的實(shí)現(xiàn)機(jī)制主要設(shè)計(jì)兩個方面，其一是所建立的虛連接是在第二層還是在第三層。第二層隧道協(xié)議對應(yīng) 0SI模型中的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位，主要有PPTP，L2TP和L2F等，主要優(yōu)點(diǎn)是協(xié)議簡單，易于加密，但由于其需要維護(hù)大量的 PPP會話連接狀態(tài)，故其傳輸效率和系統(tǒng)的擴(kuò)展均受到影響，但在少量VPN連接的應(yīng)該用案例中，采用這種方式比較靈活，如本文闡述的案例中用撥號的方式即使用了PPTP。第三層隧道協(xié)議對應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位，主要有GRE（General Routing Encapsulation，通用路由封裝）以及IPSec等，第三層隧道不需要像第二層隧道協(xié)議那樣維護(hù)大量的 ppp會話連接，因此其可靠性及擴(kuò)展性方面要優(yōu)于第二層隧道。

另外是在網(wǎng)絡(luò)是的什么層次上實(shí)現(xiàn)IP隧道的問題。目前較多的是IP協(xié)議實(shí)現(xiàn)IP隧道，但也有用UDP等協(xié)議來實(shí)現(xiàn)IP隧道的，如L2TP。對于IP隧道來說，當(dāng)在隧道的開啟處封裝及在隧道中止處還原裝配數(shù)據(jù)報時，進(jìn)行包的過濾、檢查非常方便，所以VPN網(wǎng)關(guān)通過“過濾型”隧道可直接融人“包過濾”防火墻機(jī)制，進(jìn)一步增強(qiáng)了VPN的安全性。[1]

5.實(shí)現(xiàn)Access VPN跨越網(wǎng)絡(luò)限制

如圖所示，非限制區(qū)內(nèi)的終端能夠通過認(rèn)證、授權(quán)、記賬（AAA，Authentication, Authorization and Accounting）系統(tǒng)來訪問 Internet，而在限制區(qū)內(nèi)的終端，用同樣的帳戶登錄認(rèn)證服務(wù)器時，服務(wù)器提醒“非法 IP”，“此用戶不允許在此IP上登錄”等信息。而限制區(qū)域的終端能夠通過路由網(wǎng)絡(luò)訪問非限制區(qū)域的終端，也即是說，限制區(qū)與非限制區(qū)內(nèi)的網(wǎng)絡(luò)是能相互ping通的。

有了以上的前提條件，如何能讓限制區(qū)的 IP“變成”合法IP呢，通俗的講，就是如何讓終端A獲得非限制區(qū)域的網(wǎng)段的IP地址，并且能夠用此獲得的IP地址如同局域網(wǎng)一般訪問非限制區(qū)域的IP終端。運(yùn)用VPN技術(shù)可以簡潔方便的實(shí)現(xiàn)。我們在非限制區(qū)的一臺服務(wù)器 B上安裝并啟用VPN撥入服務(wù)，通常Microsoft Windows server就可以勝任，本文的實(shí)踐就是以windows server2003實(shí)現(xiàn)。下面簡明扼要的介紹實(shí)現(xiàn)過程中的幾個主要環(huán)節(jié)。

第一，服務(wù)器端

首先開啟路由與遠(yuǎn)程訪問服務(wù)：進(jìn)入“開始”—“程序”—“管理工具”—“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”窗口，右擊本地計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”，在彈出的“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А敝悬c(diǎn)下一步，如果服務(wù)器是單網(wǎng)卡，只能選擇“自定義配置”選項(xiàng)，下一步，勾選“VPN訪問”選項(xiàng)，點(diǎn)下一步，在彈的對話框中點(diǎn)“完成”，系統(tǒng)會提示是否啟動服務(wù)，點(diǎn)擊“是”，系統(tǒng)會按剛才的配置啟動路由和遠(yuǎn)程訪問服務(wù)。[2]

設(shè)置客戶端IP地址：右擊本地服務(wù)器名，選擇“屬性”并切換到IP選項(xiàng)卡，如果內(nèi)網(wǎng)有DHCP Server則可用默認(rèn)設(shè)置，否則點(diǎn)選“靜態(tài)地址池”點(diǎn)“添加”，根據(jù)需要接入數(shù)量添加若干地址范圍，但要避免和本地已用IP地址沖突；如果非限制區(qū)域的IP地址來自于本網(wǎng)段以外設(shè)置的DHCP服務(wù)器，可以在服務(wù)器B上啟用DHCP中繼，轉(zhuǎn)發(fā)DHCP包到外部DHCP服務(wù)器請求地址。點(diǎn)“確定”回到“IP選項(xiàng)卡”點(diǎn)“確定” 應(yīng)用設(shè)置。

設(shè)置遠(yuǎn)程訪問策略：在“路由和遠(yuǎn)程訪問”窗口，右擊“遠(yuǎn)程訪問策略”，選擇“新建遠(yuǎn)程訪問策略”，在彈出的對話框中點(diǎn)“下一步”，填入方便記憶的“策略名”，點(diǎn)“下一步”，選擇“VPN”選項(xiàng)，點(diǎn)“下一步”，點(diǎn)“添加”把允許撥入的用戶組加入到這里，就完成了遠(yuǎn)程策略的設(shè)置。

第二，VPN客戶端設(shè)置

客戶端設(shè)置比較簡單，以Windows XP為例，打開網(wǎng)絡(luò)連接窗口，點(diǎn)擊“創(chuàng)建一個新的連接”彈出的向?qū)c(diǎn)擊“下一步”，選擇“連接到我的工作場所的網(wǎng)絡(luò)”點(diǎn)擊“下一步”，選擇“虛擬專用網(wǎng)絡(luò)連接”，點(diǎn)“下一步”，填寫好連接的名字后繼續(xù)，在vpn服務(wù)器選擇窗口填入服務(wù)器B的IP地址。繼續(xù)默認(rèn)就可以完成連接的創(chuàng)建。雙擊打開連接，輸入正確的賬戶密碼點(diǎn)擊連接后，顯示連接成功。

[1] 陳震.VPN技術(shù)及其應(yīng)用的研究[J].電腦知識與技術(shù)，2009，4.

[2] 陳國耿.利用Windows Server 2003搭建VPN服務(wù)器[J].醫(yī)學(xué)信息，2008，5.

TP393

A

1008-7427（2011）12-0160-01

2011-10-12