1.简介
公用网是通常互不相关的通信者构成的大集合,专用网是一个组织的计算机构成的,相互共享信息。局域网(LAN)、城域网(MAN)和广域网(WAN)都是专用网。公用网与专用网通常用防火墙分开。
虚拟专用网(Virtual Private Networks,VPN)采用加密、认证和完整性保护,使得可以用Internet之类的公用网(自己生成和控制的物理网络),就像专用网一样。虚拟专用网提供了高度安全性,同时不需要组织进行特殊布线。因此, 虚拟专用网结合了公用网的优点(便宜和易用)与专用网的优点(安全和可靠)。虚拟专用网可以连接组织远程网络,也可以让移动用户通过Internet安全地访问专用网。因此,虚拟专用网机制在Internet之类公用网上模拟专用网,这里的虚拟是指使用虚拟连接,这些连接是临时的,没有任何物理存在,是由分组构成的。
2.虚拟专用网的体系结构
虚拟专用网的思想很简单,假设公司有两个网络:Network1和Network2,相距很远,要用VPN方法连接。这时,可以建立两个防火墙,由防火墙进行加密和解密,下图显示了这个虚拟专用网的体系结构:
假设Network1上的主机X要向Network2上的主机发送一个数据分组,这个传输过程如下:
1.主机X建立分组,将其IP地址作为源地址,将主机Y的IP地址作为目的地址,如下图所示。它用相应的机制发送分组。
2.分组到达防火墙1。防火墙1在分组中增加新头。在这些新头中,它把分组源IP地址从主机X的地址变成自己的地址,即防火墙1的IP地址,假设为F1,并把分组目标IP地址从主机Y的地址变成防火墙2的IP地址,假设为F2,它还根据设置进行分组加密与认证,如下图所示:
3.分组通过防火墙1和防火墙2,经过一个或多个路由器。防火墙2丢弃外层头,并根据设置进行分组解密和其他操作。