Total Pageviews

Tuesday, 26 February 2013

白话VPN

摘要

您只要花3分钟即可了解什么是VPN以及VPN的作用。如果您对VPN的原理感兴趣,就可再多花10分钟看1-2-3怎么把布什从首都机场接到钓鱼台国宾馆。

Heads, you live. Tails, you die.

“那么,系统的全部功能都演示完了,大家还有什么问题么?”Clark 的语气仍旧那么平静,可是心跳却不由得快了几分。这太奇怪了!在这个系统交付使用前的演示会上,那些大领导们居然没有一个插嘴的。是系统太完美了么,还是 自己平静的语调让他们都已昏昏欲睡?这些国企的大领导,平时比谁都难找,即使找到了也是心不在焉的,但是越到项目后期就越容易起妖蛾子,今天这气氛就有些 不对头,Clark的心里不祥的预感越来越强烈。
“嗯,很不错。”对方的总经理终于发话了,“上次会议中我们提到的几个比较重要的问题都对应得不错。只是,有一件事我忘了跟你说,我们需要让全国的13家分公司也可以使用这套系统。”
“而且为了安全性,不能把服务器暴露在公网上。”对方的系统管理员连忙强调。
总经理向系统管理员点了点头,接着说:“这个新需求的费用自然由我公司支付,只是这个系统上线的时间——”
“系统上线的时间不需更改。”Clark微微一笑,“因为贵公司的需求只要使用VPN技术就可以实现,而且不需要修改现有系统。”

这就是VPN

经过与对方的网络管理员的沟通,Clark惊喜的发现,原来该公司正在使用的“耐特死可怜”牌防火墙已经自带了VPN功能,不但随机赠送VPN客户端安装 光盘,还提供了简体中文版的《威屁恩安装与配置手册》,真是体贴的不得了。经过网管的一番配置与调试,Clark的笔记本已经可以使用VPN了,下面的一 组图是Clark测试VPN的过程。

1. 在公司的局域网内部登录信息系统。




















2. 在公网上无法访问公司局域网内的系统服务器。




















3. 在公网上使用VPN连入公司的局域网,就可以使用局域网内的系统服务器了。而且,如果网络管理员允许,你可以访问局域网内的任何一台计算机,也可以使用打印机,总之感觉上就跟身在局域网之内没什么两样。




































什么是VPN

VPN是Virtual Private Network(虚拟专用网)的缩写。这个词怪怪的,“网”比较好理解,就是网络嘛,但是“虚拟”是怎么虚的?“专用”又是什么意思?在解释这个绕口的词之前,不妨先来看看什么是“虚拟专用马路”,因为布什就要来了。

接布什

话说布什就要来华访问了,安全工作自然是马虎不得,特别是将布什由首都机场接到钓鱼台国宾馆这一工作更是重中之重,而能当此重任的,自然只有号称“全球最聪明的中国人”的我了。我一共作了三种方案:使用专用马路、使用公用马路和使用虚拟专用马路

使用专用马路

这个方案计划在地下70米处挖掘一条由首都机场至钓鱼台国宾馆的隧道,这个隧道专供下榻钓鱼台国宾馆的外国贵宾使用,故称“专用马路”。

此方案在安全性上绝对毫无破绽,而且速度快,永不塞车。唯一的缺点是成本较高,但是考虑到来中国访问的贵宾挺多的,所以也许是值得的,大不了沿途多修几个收费站,每次收它个千八百美元。服务区就不要修了,在地下挖个服务区得花多少钱?好像有些跑题了?对不起。







使用公用马路

这 个方案就比较简单了。1-2-3会在机场门口举一块“接布什”的牌子,接到布什之后,门口打一辆出租车,告诉司机:“去钓鱼台国宾馆”,然后就在心里不停 地祈祷:“千万别遇到黑客袭击,千万别塞车,塞车也别塞一两个小时,塞一两个小时也别正赶上布什内急......”什么时候到了国宾馆,这颗心算是落了 地。由于出租车走的马路大家都可以走,所以叫“公用马路”。









使用虚拟专用马路

和 上一个方案一样,要使用公用马路,只不过这次是通过某种技术手段把公用马路虚拟成专用马路。怎么虚拟?很简单,先选定一条行车路线,然后提前派警察和CS 精英们沿途把守,保障总统的安全即可。这个方案比打车安全得多,也快得多。但是要注意的是在网络世界里可没有交通警给你开道,所以使用VPN并不会比直接 使用公网快,这个在后面的“速度”一节再详述。









VPN到底是什么?

VPN实际上是两大功能——透明穿越防火墙和安全保障功能——的复合。
透明穿越防火墙是我们对VPN最直观的感受。它的实现方法是在总公司局域网内增加一台VPN服务器,它具有公网地址, 分公司计算机的VPN客户端软件知道并可以访问它。总公司局域网的防火墙信任这台VPN服务器,允许它访问全部或部分局域网内的资源。VPN服务器和 VPN客户端然软件之间使用包封装协议来完成数据包地址的映射与转换,使数据传输的两个端节点在感觉上就像是在同一个局域网内一样。当然这样的话实际上就 是给局域网开了一个后门,要是没有完善的安全保障功能可不得了。
安全保障功能包括对使用者身份的验证和对数据包加密、防篡改和防伪造。对使用者身份的验证是为了防止VPN客户端被坏 蛋窃取并非法使用,一般的办法是要求用户在使用连接VPN之前输入用户名和口令,高级点的作法是使用数字证书进行认证。对数据包加密是为了防止数据包被坏 蛋搭线窃取。通过使用数字签名和数字摘要技术可以实现数据包的防篡改和防伪造功能,使VPN在安全性上达到与租用专线一样的效果。(注 关于数字签名、数字证书、数字摘要技术可以参考我的白话数字签名系列)。

也 许很多朋友看了VPN的效果都会很好奇那么一个小小的VPN客户端软件怎么就能做到对防火墙的透明穿越?其实工作并不都是VPN客户端一个人干 的,Windows XP也作了许多工作的。但是Windows XP怎么知道用户会安装那个品牌的VPN客户端?答案是Windows XP并不需要知道用户具体安装了那个品牌的VPN客户端,它只要支持IPSec协议即可,而VPN客户端则要实现IPSec协议。右边那个图是不是有点眼 熟?没错,这就是Strategy模式呀!

速度

用了VPN会不会影响速度,有多大影响?相信这是大家非常关心的问题。笔者上个月就跟随网管大人专门为此出差至大连和成都进行实地测试。结果不论是从网管 大人的各种网络传输指标(例如丢包率之类的)还是从实际传输文件的时间以及从信息系统中下载报表的时间上都感觉不到使用VPN后有延迟。反倒是“南北互 联”的问题对速度影响很大。什么是“南北互联”问题?就是指数据传输需要通过网通公司和电信公司的网络(例如总公司使用网通公司的10M光纤而分公司使用 电信公司的ADSL宽带)而导致速度和稳定性都变得很差的问题。例如成都分公司使用的是电信的1M宽带,如果直接从电信的服务器上下载文件,速度在 70KB/S至100KB/S之间,而从总公司(使用网通10M光纤)的服务器上下载文件在7KB/至60KB/S之间,速度会明显变慢,而且在不同的时 段的速度差距很大。这也可以解释为什么网游要分电信区和网通区了。另外,我们这次测试的只是“耐特死可怜”牌自带的VPN功能(属于IPSec VPN),SSL VPN的速度如何由于没有实测不敢妄言。听说不同品牌的SSL VPN的速度和稳定性差距较大,所以在购买之前最好实测一下,特别是SSL VPN必须使用代理服务器,所以最好测试一下多个SSL VPN客户端同时访问时的速度。

租用专线有多贵?

租用专线有多贵呢?举个例子吧,租一条沈阳到上海的光缆差不多要每月7000元左右,当然这个只是个参考,具体的价格要根据当时的市价以及您的公司的实力 而定。可以说租用专线还是有一点点贵的,但是并不是贵得无法承受,而专线所能提供的速度和稳定性是VPN无法比拟的,所以到底是否选择租用专线也应该在考 虑范围之内。

工具箱

本文所有图片素材均来自互联网,并使用Visio 2003+Pavel Hruby's UML2.0 模板绘制。行车路线来自Google地图。图片上使用了手写字体方正静蕾简体。文字部分使用Google 拼音输入法键入.