在fedora中深入淺出VPN技術

隨著網路通訊技術的發展和網路應用的不斷湧現，越來越多的使用者資料和公司資訊在互連網進行傳送。隨之而來的是越來越多的駭客和網路威脅，他們對這些機密、敏感的資料採用各種手段進行竊取、篡改和破壞，從而達到其不可告人的目的。因此，通訊資料的安全性受到前所未有的挑戰。鑒於這個目的，保證資料轉送安全的VPN技術應運而生。

　　VPN技術原理

　　虛擬私人網路可以協助遠端使用者、公司分公司、商業夥伴及供應商同公司的內部網建立可信的安全連線，並保證資料的安全傳輸。通過將資料流轉移到低成本的壓網路上，一個企業的虛擬私人網路解決方案將大幅度地減少使用者花費在城域網和遠程網路連接上的費用。同時，這將簡化網路的設計和管理，加速串連新的使用者和網站。另外，虛擬私人網路還可以保護現有的網路投資。隨著使用者的商務服務不斷髮展，企業的虛擬私人網路解決方案可以使使用者將精力集中到自己的生意上，而不是網路上。虛擬私人網路可用於不斷增長的移動使用者的全球網際網路接入，以實現安全連線;可用於實現企業網站之間安全通訊的虛擬專用線路，用於經濟有效地串連到商業夥伴和使用者的安全外連網虛擬私人網路。

　　虛擬私人網路至少應能提供如下功能：

　　加密資料，以保證通過公網傳輸的資訊即使被他人截獲也不會泄露。

　　資訊認證和身份認證，保證資訊的完整性、合法性，並能鑒別使用者的身份。

　　提供存取控制，不同的使用者有不同的存取權限。

　　VPN具有以下優點:

　　(1)降低成本:企業不必租用長途專線建設專網，不必大量的網路維護人員和裝置投資。利用現有的公用網組建的Intranet，要比租用專線或鋪設專線要節省開支，而且當距離越遠時節省的越多。如:某企業的北京與紐約分部之間的串連，不太可能自鋪專線;當一個遠端使用者在紐約想要連到北京的Intranet，用撥號訪問時，花的是國際長途話費;而用VPN技術時，只需在紐約和北京分別串連到當地的Internet就實現了互聯，雙方花的都是市話費。

　　(2)容易擴充:網路路由裝置配置簡單，無需增加太多的裝置，省時省錢。對於發展很快的企業來說，VPN就更是不可不用了。如果企業組建自己的專用網，在擴充網路分支時，要考慮到網路的容量，架設新鏈路，增加互聯裝置，升級裝置等;而實現了VPN就方便多了，只需串連到公用網上，對新加入的網路終端在邏輯上進行設定，也不需要考慮公用網的容量問題、裝置問題等。

　　(3)完全控制主動權:VPN上的設施和服務完全掌握在企業手中。例如，企業可以把撥號訪問交給NSP去做，由自己負責使用者的查驗、訪問權、網路地址、安全性和網路變化管理等重要工作。

　　二、 VPN的分類

　　VPN的分類方式比較混亂。不同的生產廠家在銷售它們的VPN產品時使用了不同的分類方式，它們主要是產品的角度來劃分的。不同的ISP在開展VPN業務時也推出了不同的分類方式，他們主要是從業務開展的角度來劃分的。而使用者往往也有自己的劃分方法，主要是根據自己的需求來進行的。下面簡單介紹從不同的角度對VPN的分類。

　　1.按接入方式劃分

　　這是使用者和電訊廠商最關心的VPN劃分方式。一般情況下，使用者可能是專線上(因特)網的，也可能是撥接的，這要根據擁護的具體情況而定。建立在IP網上的VPN也就對應的有兩種接入方式：專線接入方式和撥號接入方式。

　　(1)專線VPN：它是為已經通過專線接入ISP邊緣路由器的使用者提供的VPN解決方案。這是一種“永遠線上”的VPN，可以節省傳統的長途專線費用。

　　(2)撥號VPN(又稱VPDN)：它是向利用撥號PSTN或ISDN接入ISP的使用者提供的VPN業務。這是一種“按需串連”的VPN，可以節省使用者的長途電話費用。需要指出的是，因為使用者一般是漫遊使用者，是“按需串連的，因此VPDN通常需要做身份認證(比如利用CHAP和RADIUS)

　　2.按協議實作類別型劃

　　這是VPN廠商和ISP最為關心的劃分方式。根據分層模型，VPN可以在第二層建立，也可以在第三層建立(甚至有人把在更高層的一些安全性通訊協定也歸入VPN協議。)

　　(1)第二層通道通訊協定：這包括點到點隧道協議(PPTP)、第二層轉寄協議(L2F)，第二層通道通訊協定(L2TP)、多協議標記交換(MPLS)等。

　　(2)第三層隧道協議：這包括通用路由封裝協議(GRE)、IP安全(IPSec)，這是目前最流行的兩種三層協議。

　　第二層和第三層隧道協議的區別主要在於使用者資料在網路通訊協定棧的第幾層被封裝，其中GRE、IPSec和MPLS主要用於實現專線VPN業務，L2TP主要用於實現撥號VPN業務(但也可以用於實現專線VPN業務)，當然這些協議之間本身不是衝突的，而是可以結合使用的。

　　3.按VPN的發起方式劃分

　　這是客戶和IPS最為關心的VPN分類。VPN業務可以是客戶獨立自主實現的，也可以是由ISP提供的。

　　(1)發起(也稱基於客戶的)：VPN服務提供的其始點和終止點是面向客戶的，其內部技術構成、實施和管理對VPN客戶可見。需要客戶和通道伺服器(或網關)方安裝隧道軟體。客戶方的軟體發起隧道，在公司通道伺服器處終止隧道。此時ISP不需要做支援建立隧道的任何工作。經過對使用者身份符(ID)和口令的驗證，客戶方和通道伺服器極易建立隧道。雙方也可以用加密的方式通訊。隧道一經建立，使用者就會感覺到ISP不在參與通訊。

　　(2)伺服器發起(也稱客戶透明方式或基於網路的)：在公司中心部門或ISP處(POP、Point of presence)安裝VPN軟體，客戶無須安裝任何特殊軟體。主要為ISP提供全面管理的VPN服務，服務提供的起始點和終止點是ISP的POP，其內部構成、實施和管理對VPN客戶完全透明。

　　在上面介紹的隧道協議中，目前MPLS只能用於伺服器發起的VPN方式。

　　4.按VPN的服務類型劃分

　　根據服務類型，VPN業務大致分為三類：接入VPN(Access VPN)、內連網VPN(Intranet VPN)和外連網VPN(Extranet VPN)。通常情況下內連網VPN是專線VPN。

　　(1)接入VPN：這是企業員工或企業的小分公司通過公網遠端存取企業內部網路的VPN方式。遠端使用者一般是一台電腦，而不是網路，因此組成的VPN是一種主機到網路的拓撲模型。需要指出的是接入VPN不同於前面的撥號VPN，這是一個容易發生混淆的地方，因為遠程接入可以是專線方式接入的，也可以是撥號方式接入的。

　　(2)內連網VPN：這是企業的總部與分公司之間通過公網構築的虛擬網，這是一種網路到網路以對等的方式串連起來所組成的VPN.

　　(3)外連網VPN：這是企業在發生收購、兼并或企業間建立戰略聯盟後，使不同企業間通過公網來構築的虛擬網。這是一種網路到網路以不對等的方式串連起來所組成的VPN(主要在安全性原則上有所不同)。

　　5.按承載主體劃分

　　營運VPN業務的企業;既可以自行建設他們的VPN網路，也可以把此業務外包給VPN商。這是客戶和ISP最關心的問題。

　　(1)自建VPN：這是一種客戶發起的VPN.企業在駐地安裝VPN的用戶端軟體，在企業網邊緣安裝VPN網關軟體，完全獨立於營運商建設自己的VPN網路，電訊廠商不需要做任何對VPN的支援工作。企業自建VPN的好處是它可以直接控制VPN網路，與電訊廠商獨立，並且VPN接入裝置也是獨立的。但缺點是VPN技術非常複雜，這樣組建的VPN成本很高，QoS也很難保證。

　　(2)外包VPN：企業把VPN服務外包給電訊廠商，電訊廠商根據企業的要求規劃、設計、實施和營運客戶的VPN業務。企業可以因此降低組建和營運VPN的費用，而電訊廠商也可以因此開拓新的IP業務增值服務市場，獲得更高的收益，並提高客戶的保持力和忠誠度。筆者將目前的外包VPN劃分為兩種：基於網路的VPN和基於CE(使用者邊緣裝置)的管理型VPN(Managed VPN)。基於網路的VPN通常在電訊廠商網路的呈現點(POP)安裝電信級VPN交換裝置。基於CE的管理型VPN業務是一種受信的第三方負責設計企業所希望的VPN解決方案，並代表企業進行管理，所使用的安全網關(防火牆、路由器等)位於使用者一側。

　　6.按VPN業務層次模型劃分

　　這是根據ISP向使用者提供的VPN服務工作在第幾層來劃分的(注意不是根據隧道協議工作在哪一層劃分的)。

　　(1)撥號VPN業務(VPDN)：這是第一種劃分方式中的VPDN(事實上是按接入方式劃分的，因為很難明確VPDN究竟屬於哪一層)。

　　(2)虛擬租用線(VLL)：這是對傳統的租用線業務的模擬，用IP網路對租用線進行類比，而從兩端的使用者看來這樣一條虛擬租用線等價於過去的租用線。

　　(3)虛擬專用路由網(VPRN)業務：這是對第三層IP路由網路的一種模擬。可以把VPRN理解成第三層VPN技術。

　　(4)虛擬專用區域網路段(VPLS)：這是在IP廣域網路上模擬LAN的技術。可以把VPLS理解成一種第二層VPN技術。三、 使用OpenVPN

　　OpenVPN 是一個強大、高度可配置、基於ssl的 VPN (Virtual Private Network)Open Source 軟體。它具有多種的驗證方式以及許多強大的功能。OpenVPN工作在OSI模型的第2或第3層，使用SSL/TLS協議進行網路傳輸。支援多種客戶認證方法，如認證、smart cards，加上使用者名稱密碼的認證認證等。除此以外，還有強大的ACL功能限制客戶的資訊交換。

　　OpenVPN可以運行在多種作業系統中，包括：Linux, Windows 2000/XP and higher, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Solaris。通過使用OpenVPN，可以實現:

　　使用特定udp或tcp連接埠實現兩台主機的之間的VPN串連。

　　實現C/S結構，實現多台client通過server伺服器互連互連。

　　通過TLS/SSL加密保證資料轉送的安全。

　　通過資料的壓縮，提高資料轉送的速度。

　　主流Linux的安裝光碟片中已經內建了OpenVPN的安裝程式，在系統安裝的時候，使用者可以選擇進行安裝。如果系統安裝時沒有安裝，使用者也可以隨時使用安裝盤進行安裝。為了確認系統是否已經安裝該軟體，可以使用 1的命令，進行查看，圖中顯示結果表明系統已經安