发信人: yurer(孤星)
整理人: ipaq(2001-05-24 20:10:45), 站内信件
|
VPN的几个概念
1.公用名字空间和专用名字空间
名字空间指的是一个IP地址的范围。名字空间可被分为两类:公用名字空间和专用名字空间。在Internet中,公用名字空间在任何时候都只能有一个,但专用名字空间可以同时有几个共存。公用名字空间只包含全球唯一的IP地址,任何时候都不会有一台以上的主机可以同时使用公用名字空间中的同一个IP地址。专用名字空间是由Intranet唯一的IP地址组成。在一个专用名字空间中IP地址可以被几个Intranet同时使用。在公用名字空间和专用名字空间之间不存在重叠。
2.网络地址转换(NAT)
每个专用名字空间通过一个转换网关连接到Internet上,这个网关可以是一个网络地址转换服务器(NAT服务器),也可以是一个对几种熟知的应用协议做代理的应用网关。在专用名字空间和公用名字空间的连接点上,不管安装什么样的网络设备,它们都有能力进行网络地址转换(NAT)。现存在两种不同的NAT技术:传输层NAT和应用层NAT。在NAT中的网络地址转换机制属于传输层NAT。应用代理是一个应用层NAT。一些防火墙产品也可能没有NAT功能。但许多第三方的NAT产品可以与不同的防火墙实现无缝集成。
NAT通过IP地址的再利用减少了IP地址的需求。有一点值得注意的是,在一个不相容局部网中,在某个特定的时候,只有很小百分比的主机与该区域的外界进行通信。
NAT的基本操作如下。一组专用名字空间的地址从一定的IP地址范围内获取,而这些地址又能够被其他专用名字空间再利用。NAT有一个全球唯一的IP地址池。不管什么时候,一旦一台Intranet主机(比如它有一个长期的专用IP地址10.10.10.1)想要启动与另一台外部主机的通信,NAT服务器就临时捆绑一个全球唯一的IP地址(如38.229.41.199)到Intranet主机上。当该Intranet主机向外部主机发送一个包,其源IP地址就从专用地址改变为那个临时分配的公共地址(38.229.41.199)。同时,当一个带有目标地址38.229.41.199的包进入到这个Intranet时,NAT服务器将这个目标地址转换成10.10.10.1,然后将包注入Intranet。在这种意义上,利用专用名字空间可以解决IP地址衰竭的问题。
NAT存在的问题是:NAT假定了一个稀疏的端到端的信息流矩阵,否则NAT表将会很大,这样性能不好,并且节省不了全球唯一IP地址。NAT终止了一些在数据包中包含IP地址信息的应用程序。
虽然Ipv6已经作为一种新版的Internet协议提了出来。Ipv6将IP地址从32位增加到128位,以支持更多层次的地址组织,该组织有一个数量多得多的可寻址节点,并且是简单的自动地址分配。然而,IP头的变化太大,在全球的路由器被更新到支持Ipv6以前,具有Ipv6头的包不能在全球路由。相反,随着NAT的不断推广和应用,它终将获得用户的广泛认同和接受。
3.虚拟专用网(VPN)
通常,每个公司都能在公司局域网中配置一个专用名字空间。NAT服务器/应用网关是唯一可以用来划分名字空间界限的部分。然而,许多公司可能存在多个分支机构。每个分支机构又都有它自己的局域网,比如一个企业的总部可能在北京,但它可能会有上千个分支机构分布在全国甚至世界各地。在这种情况下,企业的IT(信息技术)主管将试图解决下述问题:如何在整个公司范围内构造并管理一个单一的专用名字空间。如果利用Internet,怎样确保在分支机构间传递信息的安全性?在Internet普及之前,许多公司采用租用专线的办法来保证信息的保密性和安全性。现在,越来越多的公司开始利用Internet以取代租用专线,因为费用上的差别实在诱人。在企业内部,一个职员如何登录他所需要的资源(如一个文件或网络设备)?他如何知道是哪个机构在维护信息?他如何知道远程主机的IP地址?如果某个主机有一个专用IP地址,他如何与之通信?如何让一个在家或外出的职员(远程用户)访问公司的Intranet?对那些远程用户,他们可以用拨号、ISDN或CableModem来访问Internet。此时IP地址由ISP分配,而这个IP地址并不是企业名字空间的一部分,这时他们如何能通过企业的防火墙去自由地访问内部信息又同时能保持其安全性?
虚拟专用网便是答案。虚拟专用网提供了一个虚拟的通信通道,从而跨越了不同的物理位置和不同的公用名字空间片段等的限制。它构成了一个虚拟的、由企业内部的所有信息实体组成的赛百(cyber)区。密码保护被应用在虚拟专用网中的信息流上。所以从外部看来,虚拟专用网是一种封闭、安全的信息区。
总的说来,虚拟专用网有以下特点:统一的资源定位机制;当信息通过公共的未保护网络(Internet)时,对这些信息采用密码保护;安装实施对VPN中的现存通信实体来说是透明的。通过将VPN功能和管理集中在专门的VPN组件中,VPN的大多数用户甚至可不需知道有VPN配置。
4.Intranet名字空间一致性
Intranet名字空间一致性是指所有通过VPN注入Intranet的数据包都必须有在Intranet专用名字空间中的IP地址,这要求远程用户应明确地或隐含地分配到一个虚拟IntranetIP地址。如果分配是明确的,那么在远端主机发送数据包时,这些数据包就有了一个虚拟的IP地址作为源地址。当分配是隐含时,来自远端主机的数据包所包含的IP地址不是分配的那一个,但这时在网关进行了NAT。所以,在数据包进入Intranet之后,它们的源IP地址就是被分配的虚拟地址。
这种要求主要考虑到以下两个原因:大多数的企业在有保护的Intranet环境中都有一些严格的路由规则。为了获得最大的安全性,一个外部的IP地址在这类Intranet中可能就不能路由。也有一些企业已经建立了防火墙方案,它们会选择安装一个独立的VPN服务器而不是买那种简单的VPN服务器和防火墙结合体的组件。在这种配置下,防火墙被配置成所有Intranet主机的默认网关。所有具有外部目标IP地址的数据包将被直接发送到防火墙。由于远程用户可能会有一个由ISP分配的动态IP地址,因此防火墙将很难从通常的数据包中区分出那些在路由到Internet之前必须被VPN服务器处理的数据包。给远端主机分配一个虚拟IP地址使得VPN服务器能够截取送到远端主机的数据包,并处理(如加密)该数据包,然后把它们送到防火墙。
保持Intranet名字空间的一致性是提供VPN服务而同时不需涉及现有路由配置的最好途径,而且VPN服务器和防火墙上的本地安全策略的配置也变得简单。
|
|