解决方案
VPN是两个具有VPN发起连接能力的设备(如PC或防火墙)通过Internet形成的一条安全的隧道(专业称之为SA——安全关联)。在隧道的发起端,用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端,接收到的数据经过拆封和解密之后安全地到达用户端。从而能在非安全的互联网上安全地传送私有数据来实现在广域网上的联网。VPN技术的效果类似于传统的租用专线联网方式(如:DDN),而专线联网一般只运用于银行等行业用户。
目前常见的VPN隧道协议分三种:PPTP点到点隧道协议,L2TP第二层隧道协议,IPSec网络层隧道协议。
IPSec方式的VPN则是目前普遍采用的VPN方式,绝大多数VPN设备都支持这种协议。IPSec SA(安全关联——IKE)VPN 隧道协商的步骤:
1.通信请求发送到VPN网关
2.IKE 阶段I——鉴别,使用preshared keys(预先共享关键字)或数字认证来互相鉴别对方,协商创建一个通信信道,并对该信道进行认证。一个共享的主密码是在IKE框架下由Diffie-Hellman公共密码运算法则产生的,这个主密码并且驱动产生下面阶段二的IPSec 密码。
3.IKE 阶段 II——协商,双方协商在IPSec SA中使用的加密和鉴别运算法则,主密码被用来产生为建立安全关联所需要的IPSec密码。一旦这个密码被创建和交换,就可以在VPN上保护用户数据。
4.安全数据传输
5.IPSec隧道终止
常见的VPN组网方式分三种:
1. 远程访问(Client to Gateway客户端到网关): 一般用于个人远程用户、出差员工等对公司集中资源的访问。
2.Intranet VPN(Gateway to Gateway网关到网关): 一般用于企业不同分支机构之间的互连。
3.Extranet VPN(Gateway to Gateway网关到网关): 用于合作伙伴/客户等与企业之间的安全互连。
在网友的方案需求里我们可以看出在外地的那个局域网相对很小,也许有几台电脑,也许只有一台笔记本,通过合作客户的ADSL上网或者拨号上网。所以我们将采用第一种VPN组网方式,也就是最小规模的VPN。这种组网方式相对简单一些,只需在总部有VPN服务器(如:WIN2000)或VPN网关(如:VPN路由器、VPN防火墙),而在外派部门的电脑上安装VPN客户端就可以了。对于处在总部地位的“会计师事务所”就应建起一个功能强大的VPN接入服务,以应对派出机构或人员的VPN接入服务,并且不至于因为VPN的加解密工作而降低太多的通信速率,所以应采用硬件的VPN网关作为VPN服务端。所以本例的实现方案是:VPN网关+VPN客户端。虽然也可以用WIN2000里提供的PPTP拨号VPN连接方式来实现,但这样的方式会占用大量的电脑服务器的资源,通信性能也会受到影响。
VPN虽然可以在一般的公共互联网上搭建局域网之间的广域联网,但还得有一个非常关键的条件,就是两端的局域网必需有合法公网IP。而我们知道若申请“固定”的公网IP同样得付一笔可观的费用,因此对于我们一般的宽带用户来说,最好的选择还是申请PPoE的ADSL,这种方式的接入虽然没有静态的公网IP,但至少有动态的公网IP,也就可以在动态IP公网上架设VPN,这就是“动态VPN”。这是近两年来较新的网络技术,也是我们普通用户能以低成本组建广域联网的重要手段。
要实现动态VPN,有动态公网IP是一个条件,但还有一个关键技术与之配套,这就是动态域名解析(DDNS)。因为动态公网IP在每次拨号之后IP都要改变,所以我们要申请个动态域名来“固化”这种IP与局域网的关系,标志局域网,使VPN两端的局域网能互相找到对方。有了“动态VPN”我们就可以在VPN隧道的两端均采用动态ADSL接入,用支持动态 VPN的网关设备建立起以总部为中心连接多个分支机构的VPN网络,实现在公网上传输企业内部数据、语音、视频等业务,把整个企业的网络扩展到INTERNET上。