5.4.1 虛擬專用網(wǎng)VPN

我們已經(jīng)學(xué)習(xí)了因特網(wǎng)的路由協(xié)議（5.3.1 因特網(wǎng)的路由協(xié)議（一）、5.3.2 因特網(wǎng)的路由協(xié)議（二）基于距離向量算法的RIP協(xié)議、5.3.3 因特網(wǎng)的路由協(xié)議（三）OSPF協(xié)議、5.3.4 因特網(wǎng)的路由協(xié)議（四）BGP協(xié)議）知道了路由器如何根據(jù)不同的路由協(xié)議來(lái)得到自己的路由表，這里我們要學(xué)習(xí)的是專用網(wǎng)絡(luò)互連技術(shù)。

所謂的專用網(wǎng)一般指企事業(yè)單位內(nèi)部的網(wǎng)絡(luò)，隨著經(jīng)濟(jì)全球化的發(fā)展越來(lái)越多的企業(yè)需要在全國(guó)乃至世界范圍內(nèi)建立多家分支機(jī)構(gòu)，傳統(tǒng)的專用網(wǎng)絡(luò)中各個(gè)子公司或辦事機(jī)構(gòu)之間信息傳送一般用租用專線的方式實(shí)現(xiàn)，這種連接方式最大的缺陷在于費(fèi)用比較昂貴、不夠靈活，隨著因特網(wǎng)技術(shù)的發(fā)展現(xiàn)代企業(yè)越來(lái)越多的企業(yè)青睞于構(gòu)建虛擬專用網(wǎng)（Virtual Private Network）簡(jiǎn)稱VPN。

一、虛擬專用網(wǎng)

虛擬專用網(wǎng)摒棄了專線的連接方式，而是利用公共網(wǎng)絡(luò)構(gòu)建的私人專用網(wǎng)絡(luò)。公共網(wǎng)絡(luò)可以是因特網(wǎng)或者是各種類型的廣域網(wǎng)比如幀中繼網(wǎng)、ATM網(wǎng)絡(luò)等，為了深入理解我們來(lái)舉個(gè)例子。如圖

假設(shè)一個(gè)企業(yè)有兩個(gè)部門，部門A和B，分布在不同的地點(diǎn)，可能處于不同的城市也可能處在不同的國(guó)家，為了實(shí)現(xiàn)企業(yè)內(nèi)部的專用網(wǎng)有效在兩個(gè)部門之間進(jìn)行通信和信息共享，我們可以直接將兩個(gè)部門接入到公共網(wǎng)絡(luò)中，利用公共網(wǎng)絡(luò)平臺(tái)來(lái)構(gòu)建虛擬專用網(wǎng)。利用VPN技術(shù)使得部門A和B之間的通信對(duì)于互聯(lián)網(wǎng)而言是不可見的，從而保證了專用要求的隱私性。

二、VPN的編址

在學(xué)習(xí)VPN工作原理之前我們先來(lái)學(xué)習(xí)一下VPN內(nèi)的編址

• VPN所提供的編址選擇與專用網(wǎng)絡(luò)一樣，可以選擇本地編址方案，也就是說(shuō)它既可以分配全球的網(wǎng)絡(luò)地址也可以使用私有地址（5.2.12 IP分組的轉(zhuǎn)發(fā)（三））。前面我們已經(jīng)說(shuō)過(guò)本地地址無(wú)需向因特網(wǎng)管理機(jī)構(gòu)申請(qǐng)，局限在內(nèi)部網(wǎng)絡(luò)中使用，由內(nèi)部網(wǎng)絡(luò)自行分配。而全球地址需要向因特網(wǎng)管理機(jī)構(gòu)申請(qǐng)，在IPv4地址緊缺的情況下，VPN大多是采用本地編址的方法。

  • 本地地址——僅在機(jī)構(gòu)內(nèi)部使用的IP地址，可以由本機(jī)構(gòu)自行分配，而不需要向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。本地地址又被成為私有地址只能用于內(nèi)部通信，也就是只能用于一個(gè)局域網(wǎng)內(nèi)部主機(jī)之間的通信，因?yàn)槊考覇挝欢伎梢允褂眠@些地址，

    作為因特網(wǎng)專門負(fù)責(zé)地址分配的機(jī)構(gòu)IANA明確規(guī)定了三塊地址塊空間只能用于專用互聯(lián)網(wǎng)內(nèi)部通信的IP地址空間也就是私有地址。（RFC1918）

    前綴	最低地址	最高地址
    10/8	10.0.0.0	10.255.255.255
    172.16/12	172.16.0.0	172.31.255.255
    192.168/16	192.168.0.0	192.168.255.255

  • 全球地址——全球唯一的IP地址，必須向因特網(wǎng)的管理機(jī)構(gòu)申請(qǐng)。

• 我們前面圖片為例，

  

  在兩個(gè)部門網(wǎng)絡(luò)組建的VPN中我們假設(shè)使用10.0.0.0進(jìn)行編址，部門A中的一臺(tái)主機(jī)X分配的地址是10.1.0.1，部門B主機(jī)Y分配的地址是10.2.0.3，因?yàn)檫@些地址都不屬于全球地址，所以因特網(wǎng)的路由器在轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)的時(shí)候如果發(fā)現(xiàn)報(bào)文攜帶的目的地址是這些地址的話它會(huì)認(rèn)為地址錯(cuò)誤直接丟棄，不做其他處理，那么如何利用公共網(wǎng)絡(luò)平臺(tái)來(lái)構(gòu)建專用網(wǎng)呢？

三、VPN工作原理

我們通過(guò)一個(gè)實(shí)例來(lái)介紹一下VPN的工作原理。如圖

部門A通過(guò)R1路由器接入到因特網(wǎng)，部門B通過(guò)R2路由器接入到因特網(wǎng)，假設(shè)部門A網(wǎng)絡(luò)中的一臺(tái)主機(jī)X向部門B網(wǎng)絡(luò)中的一臺(tái)主機(jī)Y發(fā)送數(shù)據(jù)報(bào)，X產(chǎn)生的數(shù)據(jù)報(bào)必將流經(jīng)因特網(wǎng)才能夠到達(dá)B網(wǎng)絡(luò)，這里會(huì)引發(fā)兩個(gè)問(wèn)題

1. X產(chǎn)生的數(shù)據(jù)報(bào)的首部中源IP地址10.1.0.1和目的IP地址10.2.0.3都屬于網(wǎng)絡(luò)內(nèi)部地址，數(shù)據(jù)報(bào)無(wú)法直接通過(guò)因特網(wǎng)傳輸。
2. 專用網(wǎng)絡(luò)注重通信的隱私性，希望專用網(wǎng)內(nèi)任意用戶之間的通信細(xì)節(jié)對(duì)于公網(wǎng)是不可見的，如何在開放的互聯(lián)網(wǎng)平臺(tái)上保護(hù)用戶的隱私，確保通信的私密性，這也是需要解決的問(wèn)題。

VPN是如何解決上述兩個(gè)問(wèn)題呢？

• 這里VPN的實(shí)現(xiàn)主要使用了兩種基本技術(shù)：隧道傳輸和加密技術(shù)。
• 為了實(shí)現(xiàn)VPN兩個(gè)網(wǎng)點(diǎn)之間的數(shù)據(jù)傳輸，需要在兩個(gè)網(wǎng)點(diǎn)的路由器之間建立一個(gè)傳輸?shù)乃淼?/strong>，當(dāng)然隧道是一個(gè)比較形象的說(shuō)法，它不代表路由器之間傳輸?shù)膶＞€，隧道傳輸僅僅是完成一個(gè)IP-in-IP協(xié)議再封裝的過(guò)程，即**VPN定義了兩個(gè)網(wǎng)絡(luò)的路由器之間通過(guò)Internet的一個(gè)隧道，并使用IP-in-IP封裝通過(guò)隧道轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。
• 此外VPN將源端產(chǎn)生的數(shù)據(jù)報(bào)加密以后封裝在外層數(shù)據(jù)報(bào)中來(lái)傳輸，即為了保證保密性，VPN把外發(fā)的數(shù)據(jù)報(bào)加密后，封裝在另一個(gè)數(shù)據(jù)包中傳輸。
• 隧道接受路由器將數(shù)據(jù)報(bào)解密，還原出內(nèi)層數(shù)據(jù)報(bào)，然后轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)。