VPN
VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。【VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。】
⑴使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
⒈隧道技术
14.10 IPsec 上的 VPN
撰写者 Nik Clayton.使用 FreeBSD 网关在两个被 Internet 分开的网络之间架设 VPN。
14.10.1 理解 IPsec
撰写者 Hiten M. Pandya.这一节将指导您完成架设 IPsec, 并在一个包含了 FreeBSD 和 Microsoft® Windows® 2000/XP 机器的网络中使用它来进行安全的通讯的全过程。 为了配置 IPsec, 您应当熟悉如何编译一个定制的内核的一些概念 (参见 第 8 章)。
IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯 (并因此而得名)。 FreeBSD IPsec “网络协议栈” 基于 KAME 的实现, 它支持两种协议族, IPv4 和 IPv6。
注意: FreeBSD 包括了采用 “硬件加速的” IPsec 协议栈, 也称作 “Fast IPsec”, 它来自 OpenBSD。 它能够通过 crypto(4) 子系统来利用加密硬件 (只要可能) 优化 IPSec 的性能。 这个子系统是新的, 暂时还不支持 KAME 版本的 IPsec 的全部功能。 此外, 为了启用硬件加速的 IPsec, 必须把下面的选项加入到内核配置中:
options FAST_IPSEC # new IPsec (cannot define w/ IPSEC)需要注意的是, 目前还不能用 “Fast IPsec” 子系统完全替代 KAME 的 IPsec 实现。 请参见联机手册