1.2 VPN的兩種連接方式

根據(jù)客戶網(wǎng)絡(luò)接入方式的不同，VPN技術(shù)主要分為站點(diǎn)到站點(diǎn)（Site to Site）連接方式和遠(yuǎn)程訪問(wèn)（Remote Access）連接方式。

1.2.1 站點(diǎn)到站點(diǎn)（Site to Site）

站點(diǎn)到站點(diǎn)連接技術(shù)是一種主要的VPN連接方式，主要用于公司重要站點(diǎn)之間的連接。如圖1-1所示，兩個(gè)站點(diǎn)采用VPN技術(shù)虛擬地連接在一起，使得它們?cè)谕ㄐ艜r(shí)，就像通過(guò)普通網(wǎng)線一樣，可以訪問(wèn)到對(duì)方。站點(diǎn)到站點(diǎn)的VPN技術(shù)對(duì)于終端用戶而言是透明的，即用戶感覺不到VPN技術(shù)的存在，而是覺得相互訪問(wèn)的站點(diǎn)位于同一個(gè)內(nèi)網(wǎng)。

圖1-1 站點(diǎn)到站點(diǎn)VPN連接示意圖

站點(diǎn)到站點(diǎn)VPN連接技術(shù)主要包括下面幾種。

1．GRE

GRE（Generic Routing Encapsulation，通用路由封裝）協(xié)議能夠?qū)Ω鞣N網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的數(shù)據(jù)報(bào)文進(jìn)行封裝，被封裝的數(shù)據(jù)報(bào)文能夠在IP網(wǎng)絡(luò)中傳輸。GRE采用了Tunnel（隧道）技術(shù)，是VPN的三層隧道協(xié)議。由于GRE技術(shù)與本書重點(diǎn)講解的IPSec技術(shù)關(guān)系緊密，所以在本書的后續(xù)部分會(huì)對(duì)GRE進(jìn)行介紹。

2．IPSec VPN

IPsec VPN 是業(yè)界標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議，可以為 IP 網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù) TCP/IP 通信免遭竊聽和篡改，從而有效地抵御網(wǎng)絡(luò)攻擊。IPSec VPN 在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面極具優(yōu)勢(shì)，因此越來(lái)越受到企業(yè)用戶的青睞。本書將會(huì)在后文中詳細(xì)介紹IPSec VPN 技術(shù)。

3．MPLS VPN

MPLS VPN 是指采用MPLS 技術(shù)在寬帶IP 的骨干網(wǎng)絡(luò)上構(gòu)建企業(yè)IP 專網(wǎng)，以實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語(yǔ)音、圖像等多業(yè)務(wù)通信。MPLS VPN 結(jié)合區(qū)分服務(wù)、流量工程等相關(guān)技術(shù)，將公共網(wǎng)絡(luò)可靠的性能，良好的擴(kuò)展性，豐富的功能與專用網(wǎng)的安全、靈活、高效地結(jié)合在了一起，可以為用戶提供高質(zhì)量的服務(wù)。MPLS VPN 已經(jīng)超出了本書的范圍，感興趣的讀者可以參閱人民郵電出版社出版的《MPLS和VPN體系結(jié)構(gòu)》（第1卷、第2卷）等圖書。

1.2.2 遠(yuǎn)程訪問(wèn)（Remote Access）

站點(diǎn)到站點(diǎn)VPN連接技術(shù)只能滿足公司站點(diǎn)之間的連接，也就是說(shuō)客戶必須要在公司內(nèi)部才能使用這種技術(shù)來(lái)連接其他站點(diǎn)。如果客戶出差在外，希望在一個(gè)提供Internet連接的咖啡館、飛機(jī)場(chǎng)或者酒店連接到公司內(nèi)部，站點(diǎn)到站點(diǎn)VPN連接技術(shù)就不再適用了。在這種場(chǎng)合下，需要用到遠(yuǎn)程訪問(wèn)VPN連接技術(shù)。遠(yuǎn)程訪問(wèn)VPN一般需要預(yù)先在客戶計(jì)算機(jī)上安裝VPN客戶端（客戶端依據(jù)具體采用的實(shí)現(xiàn)技術(shù)，而有所不同），并且通過(guò)這個(gè)客戶端撥號(hào)到公司VPN網(wǎng)關(guān)。如果撥號(hào)成功，客戶就像通過(guò)一根網(wǎng)線虛擬地連接到公司VPN網(wǎng)關(guān)，然后獲取公司內(nèi)部網(wǎng)絡(luò)的一個(gè)地址，并且使用這個(gè)地址來(lái)訪問(wèn)公司的內(nèi)部服務(wù)器，如圖1-2所示。

圖1-2 遠(yuǎn)程訪問(wèn)VPN示意圖

遠(yuǎn)程訪問(wèn)VPN連接技術(shù)有如下幾種。

1．IPSec VPN

IPSec VPN 是一種全面的技術(shù)，它不僅適用于站點(diǎn)到站點(diǎn)VPN 連接方式，也能夠部署遠(yuǎn)程訪問(wèn)VPN。我們將在本書的第8章和第9章詳細(xì)介紹在Cisco路由器和ASA上的IPSec遠(yuǎn)程訪問(wèn)VPN。

2．VPDN

VPDN（Virtual Private Dial-up Networks，虛擬私有撥號(hào)網(wǎng)絡(luò)）是VPN 業(yè)務(wù)的一種，具體包含的技術(shù)包括PPTP、L2TP和PPPoE等，是基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)。即用戶以撥號(hào)接入方式連網(wǎng)，并通過(guò)CDMA 1x 分組網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，VPDN會(huì)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行封裝和加密，從而保障了傳輸數(shù)據(jù)的私密性，并使VPN達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別。VPDN是利用IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來(lái)的一種安全的虛擬專用網(wǎng)，是一種比較傳統(tǒng)的VPN技術(shù)。VPDN技術(shù)已經(jīng)超出了本書的內(nèi)容，本書并不對(duì)此技術(shù)進(jìn)行詳細(xì)介紹。

3．SSL VPN

SSL VPN 指的是基于安全套接層（Security Socket Layer，SSL）協(xié)議建立遠(yuǎn)程安全訪問(wèn)通道的VPN技術(shù)。它是近年來(lái)興起的VPN技術(shù)，其應(yīng)用隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而迅速發(fā)展。SSLVPN 技術(shù)已經(jīng)超出了本書的內(nèi)容，本書并不對(duì)此技術(shù)進(jìn)行詳細(xì)介紹。