打印本文 关闭窗口 | |
虚拟专用网络VPN介绍和构建 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/9 21:31:40 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
VPN的三个基本要素 1. IP封装 VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时,就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的――相互之间只是由一个路由器分开,但是它们是通过许多网络路由器和网关分开的,这些路由器和网关也可能不用同一个地址空间。 例如,若有两个使用PPTP(Point-to-Point Tunneling Protocol)的RAS(Remote Access Service)服务器连接的IP网络,一个局域网的网络地址是10.1.1,另一个是10.1.2。每个网络上的RAS服务器都提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12,而另一个RAS服务器的局域网地址是10.1.2.1,ISP分配的因特网地址是110.121.112.34。这时若10.1.1网络中的一个计算机,假设为10.1.1.23,需向10.1.2网络中的一个计算机,假设为10.1.2.99,发送一个IP包。 1) 发送方的计算机首先注意到,目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。 2) 发送方不将包直接发送给目标地址,而是将包发送给自己子网缺省的网关地址10.1.1.1。 3) 这个10.1.1网络上的RAS服务器读这个包。 4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。 5) RAS服务器加密这个包,并用另一个包将它封装起来。 6)路由器从它的网络接口上发送这个封装的包(这个接口连接到因特网上,假设地址为24.121.13.12)到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上。 7)10.1.2网络子网的RAS服务器从它的因特网接口读这个封装和加密的包。 8)10.1.2网络子网的RAS服务器解密这个封装的IP包,验证它是一个有效的IP包,也就是它没有被改动过并且来自可靠的地方。 9)10.1.2网络子网的RAS服务器从它的适配器上将这个包发送到网络子网的目标地址10.1.2.99。 10)目标计算机读这个包。 这就是一个简单的VPN的IP封装过程。 2. 加密的身份认证 密码身份认证用来安全有效地验证远程用户的身份,这样系统就可以判断出适合这个用户的安全级别。如VPN可使用密码身份认证来决定用户是否可以参与到加密通道中。 3. 数据有效负载加密 数据有效负载加密用来加密被封装的数据。 |
|
打印本文 关闭窗口 |