網(wǎng)管員進階：VPN基礎(chǔ)知識

虛擬專用網(wǎng)絡(luò)(VPN)是一門新型的網(wǎng)絡(luò)技術(shù)，它為我們提供了一種通過公用網(wǎng)絡(luò)(如的公用因特網(wǎng))安全地對 企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。我們知道一個網(wǎng)絡(luò)連接通常由三個部分組成:客戶機、傳輸介質(zhì)和 服務(wù)器。VPN網(wǎng)絡(luò)同樣也需要這三部分，不同的是VPN連接不是采用物理的傳輸介質(zhì)，而是使用一種稱之為“隧道 ”的東西來作為傳輸介質(zhì)的，這個隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的，如因特網(wǎng)或?qū)Ｓ肐ntranet等。 同時要實現(xiàn)VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須配置有一臺基于Windows NT或Windows2000 Server(目前Windows系統(tǒng) 是最為普及，也是對VPN技術(shù)支持最為全面的一種操作系統(tǒng))的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng) 絡(luò)(LAN)，另一方面要連接到因特網(wǎng)或其它專用網(wǎng)絡(luò)，這就要VPN服務(wù)器必須擁有一個公用的IP地址，也就是說企 業(yè)必須先擁有一個合法的Internet或?qū)Ｓ镁W(wǎng)域名。當(dāng)客戶機通過VPN連接與專用網(wǎng)絡(luò)中的計算機進行通信時，先 由NSP(網(wǎng)絡(luò)服務(wù)提供商)將所有的數(shù)據(jù)傳送到VPN服務(wù)器，然后再由VPN服務(wù)器將所有的數(shù)據(jù)傳送到目標計算機。 因為在VPN隧道中通信能確保通信通道的專用性，并且傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮、加密的，所以VPN通信同樣具有專 用網(wǎng)絡(luò)的通信安全性。整個VPN通信過程可以簡化為以下4個通用步驟:
    (1)客戶機向VPN服務(wù)器發(fā)出請求;
    (2) VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的用戶身份驗證響應(yīng)信息發(fā)送到VPN服務(wù)器
    (3) VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠程訪問權(quán)限 ;如果該用戶擁有遠程訪問的權(quán)限，VPN服務(wù)器接受此連接;
    (4)最后VPN服務(wù)器將在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術(shù)進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。
     VPN的優(yōu)勢
    VPN網(wǎng)絡(luò)給用戶所帶來的好處主要表現(xiàn)在: 節(jié)約成本
    這是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個優(yōu)勢，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠程接入服務(wù)器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。開銷的降低發(fā)生在4個領(lǐng)域之中: