交換技術(shù)：路由器VPN技術(shù)的運(yùn)行常識(shí)

  VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)。例如公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。

  怎么才能讓外地員工訪問到內(nèi)網(wǎng)資源呢？

  VPN的解決方法是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN服務(wù)器，VPN服務(wù)器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。

  外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPN服務(wù)器，然后利用作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。

  一、VPN雖然在一般家庭網(wǎng)絡(luò)中使用不多，但對于一個(gè)企業(yè)網(wǎng)絡(luò)還說，VPN就是相當(dāng)重要的一部分了，有了VPN才能保證企業(yè)數(shù)據(jù)傳輸?shù)陌踩院头€(wěn)定性，VPN實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。

  有了VPN技術(shù)，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內(nèi)網(wǎng)資源，這就是為什么VPN在企業(yè)中應(yīng)用得如此廣泛，VPN一般采用兩種連接方式，L2TP方式和PPTP方式。

  二、對于L2TP方式的VPN連接，VPN服務(wù)器保持著1701端口與客戶端1701端口的UDP連接，將自動(dòng)為L2TP連接創(chuàng)建一個(gè)使用證書方式認(rèn)證IPsec策略，因此L2TP通訊就被裹在IPsec 策略創(chuàng)建的Ipsec隧道內(nèi)，用ipsecmon可以看清楚實(shí)際上還是1701<-->1701的UDP通訊。

  三、VPN開始連接時(shí)，需要雙方交換密鑰，這是通過UPD 500端口的ISAKMP來實(shí)現(xiàn)的，從此以后所有的VPN通訊，包括建立/斷開連接請求、用戶驗(yàn)證、數(shù)據(jù)傳輸都是通過ESP之上傳輸?shù)摹?/P>

  四、而PPTP方式的VPN連接，VPN客戶端的建立/斷開連接請求都是通過和服務(wù)器的TCP 1723端口用PPTP協(xié)議聯(lián)系的，至于具體的用戶驗(yàn)證、數(shù)據(jù)傳輸?shù)榷际峭ㄟ^PPP協(xié)議來通訊的，而PPP協(xié)議又是跑在GRE之上的。

  五、使用PPTP方式的VPN連接時(shí)，VPN服務(wù)器端保持著1723端口與客戶端一任意端口的TCP連接，TCP端口1723上跑的是PPTP Control Message，包括了PPTP隧道創(chuàng)建，維護(hù)和終止之類的日常管理工作，客戶端通過TCP與服務(wù)器1723端口建立連接后，進(jìn)入基于GRE的PPP協(xié)商。

  六、這里包括了用戶驗(yàn)證，數(shù)據(jù)傳輸?shù)人型ㄓ崱嚅_VPN連接時(shí)又用到了基于1723端口的PPTP Control Message，L2TP方式連接的VPN客戶端無法使用私有地址來連接具有合法地址的VPN服務(wù)器，而PPTP連接方式則可以直接連接。

  使用VPN的好處在于：使用VPN可降低成本、傳輸數(shù)據(jù)安全可靠、傳輸數(shù)據(jù)安全可靠、連接方便靈活和完全控制，這當(dāng)然要用到一臺(tái)高端的路由器。