千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖
打印 上一主题 下一主题

构建一个虚拟专用网...

[复制链接]
delon 发布于: 2003-2-25 15:56 334 次浏览 0 位用户参与讨论
跳转到指定楼层
构建一个虚拟专用网   采用传统的广域网建立跨地区的企业专网,往往需要租用昂贵的数字专线。能否找到一个既安全又廉价的实现办法呢?   虚拟专用网(VPN)   VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全,虚拟专用网络由此而得名。   VPN的三个基本要素   1. IP封装   VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时,就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一个路由器分开,但是它们是通过许多网络路由器和网关分开的,这些路由器和网关也可能不用同一个地址空间。   例如,若有两个使用PPTP(Point-to-Point Tunneling Protocol)的RAS(Remote Access Service)服务器连接的IP网络,一个局域网的网络地址是10.1.1,另一个是10.1.2。每个网络上的RAS服务器都提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12,而另一个RAS服务器的局域网地址是10.1.2.1,ISP分配的因特网地址是110.121.112.34。这时若10.1.1网络中的一个计算机,假设为10.1.1.23,需向10.1.2网络中的一个计算机,假设为10.1.2.99,发送一个IP包。其通信过程为:   1) 发送方的计算机首先注意到,目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。   2) 发送方不将包直接发送给目标地址,而是将包发送给自己子网缺省的网关地址10.1.1.1。   3) 这个10.1.1网络上的RAS服务器读这个包。   4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。   5) RAS服务器加密这个包,并用另一个包将它封装起来。   6)路由器从它的网络接口上发送这个封装的包(这个接口连接到因特网上,假设地址为24.121.13.12)到10.1.2网络子网的RAS服务器的因特网地址110.121.112.34上。   7)10.1.2网络子网的RAS服务器从它的因特网接口读这个封装和加密的包。   8)10.1.2网络子网的RAS服务器解密这个封装的IP包,验证它是一个有效的IP包,也就是它没有被改动过并且来自可靠的地方。   9)10.1.2网络子网的RAS服务器从它的适配器上将这个包发送到网络子网的目标地址10.1.2.99。   10)目标计算机读这个包。   这就是一个简单的VPN的IP封装过程。   2. 加密的身份认证   密码身份认证用来安全有效地验证远程用户的身份,这样系统就可以判断出适合这个用户的安全级别。如VPN可使用密码身份认证来决定用户是否可以参与到加密通道中。   3. 数据有效负载加密   数据有效负载加密用来加密被封装的数据。   国内外的VPN产品   VPN是一项新兴技术。它比专用广域网便宜,但比局域网慢,也不如单独的局域网或广域网安全。目前国内外许多大的网络安全产品公司都推出了自己的VPN产品,这些VPN产品大部分都和自己的防火墙产品结合到一起,但也有一些公司的VPN产品是单独的。 李 佳 北京四海商达科技发展有限公司 联系电话:010-82650096,82650098-8014 专业IBM产品供应商
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城