随着互联网的广泛应用,企业分支机构的联网应用也越来越多。但是,租用专线的费用是很多中小企业无法承受的。通过使用本文中介绍的VPN技术,可以轻易构建企业之间的联网应用。
VPN,全称“虚拟专用网”。这是相对于实际的专有网络而言的。实际的专有网络比如银行,政府机构,大型企业等等。通过租用专有的线路进行互联。而VPN是通过公共互联网传播私有数据的一种技术。这种技术通常使用在如下的网络:
图一 VPN网络示例
下面首先简单介绍一下各种VPN技术和各自长短。
GRE:通用路由封装技术。这种技术是在IP数据包的外面再加上一个IP头。通俗的说,就是把私有数据进行一下伪装,加上一个“外套”,传送到其他地方。因为企业私有网络的IP地址通常是自己规划,无法和外部互联网进行正确的路由。而在企业网络的出口,通常会有一个互联网唯一的IP地址。这个地址可以在互联网中唯一识别出来。GRE就是把目的IP地址和源地址为企业内部地址的数据报文进行封装,加上一个目的地址为远端机构互联网出口的IP地址,源地址为本地互联网出口的IP地址的IP头,从而经过通过互联网进行正确的传输。这种技术是最简单的VPN技术。
L2tp :全称二层隧道传输协议。这是一种在特定链路层实现的VPN技术。具体是把二层协议PPP的报文封装在IP 报文中,进行传输。这种技术主要是提供了企业员工出差在外通过拨号网络直接访问企业内部网络的方式。在Windows2000中,也提供了这项功能。但是,用户要使用这种技术,必需ISP提供支持。
IPsec: 网络安全协议。这个协议提供了互联网的验证,加密等功能,实现了数据的安全传输。同时,可以使用这种协议构建VPN网络。原理也是对IP包进行封装(可以提供多种方式),并且进行加密,然后在互联网中进行传输。与前面两种相比,这种技术提供了更好的安全性。但是,协议的复杂性导致了处理Ipsec 的网络设备(如路由器)需要占用大量的资源,效率较低。如果使用专门的加密硬件,又会增加成本。
其他还有一些最新的技术,如MPLS VPN,但是都需要ISP提供相应的服务。
