課程08虛擬專用網(wǎng)絡(luò)技術(shù)

第八章虛擬專用網(wǎng)絡(luò)技術(shù)周蘇

教授Zs@QQ:81505050/zhousu58第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)隨著因特特網(wǎng)的服服務(wù)焦點點轉(zhuǎn)移到到電子商商務(wù)上，，對于那那些基于于傳統(tǒng)信信息系統(tǒng)統(tǒng)的關(guān)鍵鍵性商務(wù)務(wù)應(yīng)用及及數(shù)據(jù)，，公司希希望通過過因特網(wǎng)網(wǎng)來實現(xiàn)現(xiàn)方便快快捷的訪訪問。通通過安全全虛擬專專用網(wǎng)絡(luò)絡(luò)的實現(xiàn)現(xiàn)，把公公司的業(yè)業(yè)務(wù)安全全、有效效地拓展展到世界界各地。。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)虛擬專用用網(wǎng)絡(luò)(VirtualPrivateNetwork，VPN))被定義為為通過一一個公用用網(wǎng)絡(luò)(通常是因因特網(wǎng))建立的一一個臨時時的安全全連接，，是一條條穿過公公用網(wǎng)絡(luò)絡(luò)的安全全、穩(wěn)定定的隧道道。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)VPN是企業(yè)網(wǎng)網(wǎng)在因特特網(wǎng)等公公共網(wǎng)絡(luò)絡(luò)上的延延伸，它它通過安安全的數(shù)數(shù)據(jù)通道道，幫助助遠(yuǎn)程用用戶、公公司分支支機(jī)構(gòu)、、商業(yè)伙伙伴及供供應(yīng)商與與公司的的內(nèi)部網(wǎng)網(wǎng)建立可可信的安安全連接接，并保保證數(shù)據(jù)據(jù)的安全全傳輸，，構(gòu)成一一個擴(kuò)展展的公司司企業(yè)網(wǎng)網(wǎng)，如圖圖8.1所示。VPN可用于不不斷增長長的移動動用戶的的全球因因特網(wǎng)接接入，以以實現(xiàn)安安全連接接，可用用于實現(xiàn)現(xiàn)企業(yè)網(wǎng)網(wǎng)站之間間安全通通信的虛虛擬專用用線路。。圖8.1虛擬專用用網(wǎng)絡(luò)第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)說得通俗俗一點，，VPN實際上是是“線路路中的線線路”，，類型于于城市道道路上的的“公交交專用線線”，所所不同的的是，由由VPN組成的““線路””并不是是物理存存在的，，而是通通過技術(shù)術(shù)手段模模擬出來來，即是是“虛擬擬”的。。不過，，這種虛虛擬的專專用網(wǎng)絡(luò)絡(luò)技術(shù)卻卻可以在在一條公公用線路路中為兩兩臺計算算機(jī)建立立一個邏邏輯上的的專用““通道””，它具具有良好好的保密密和不受受干擾性性，使雙雙方能進(jìn)進(jìn)行自由由而安全全的點對對點連接接，因此此被網(wǎng)絡(luò)絡(luò)管理員員們廣泛泛關(guān)注著著。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)因特網(wǎng)工工程任務(wù)務(wù)小組(IETF)已經(jīng)開始始為VPN技術(shù)制訂訂標(biāo)準(zhǔn)，，基于這這一標(biāo)準(zhǔn)準(zhǔn)的產(chǎn)品品，將使使各種應(yīng)應(yīng)用場合合下的VPN有充分的的互操作作性和可可擴(kuò)展性性。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)VPN可以實現(xiàn)現(xiàn)不同網(wǎng)網(wǎng)絡(luò)組件件和資源源之間的的相互連連接，利利用因特網(wǎng)或或其他公公共互連連網(wǎng)絡(luò)的的基礎(chǔ)設(shè)設(shè)施為用用戶創(chuàng)建建隧道，，并提供供與專用用網(wǎng)絡(luò)一一樣的安安全和功功能保障障。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)提高VPN效用的關(guān)關(guān)鍵問題題在于當(dāng)當(dāng)用戶的的業(yè)務(wù)需需求發(fā)生生變化時時，用戶戶能很方方便地調(diào)調(diào)整他的的VPN以適應(yīng)變變化，并并且能方方便地升升級到將將來新的的TCP//IP技術(shù)；而而那些提提供門類類齊全的的軟、硬硬件VPN產(chǎn)品的供供應(yīng)商，，則能提提供一些些靈活的的選擇以以滿足用用戶的要要求。目目前的VPN產(chǎn)品主要要運行在在IPv4之上，但但應(yīng)當(dāng)具具備升級級到IPv6的能力，，同時要要保持良良好的互互操作性性。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)IPv6：現(xiàn)有的的互聯(lián)網(wǎng)網(wǎng)是在IPv4協(xié)議的基基礎(chǔ)上運運行的。。IPv6是下一版版本的互互聯(lián)網(wǎng)協(xié)協(xié)議，它它的提出出最初是是因為隨隨著互聯(lián)聯(lián)網(wǎng)的迅迅速發(fā)展展，IPv4定義的有有限地址址空間將將被耗盡盡，地址址空間的的不足必必將影響響互聯(lián)網(wǎng)網(wǎng)的進(jìn)一一步發(fā)展展。為了了擴(kuò)大地地址空間間，擬通通過IPv6重新定義義地址空空間。第8章虛擬專用用網(wǎng)絡(luò)技技術(shù)IPv4采用32位地址長長度，只只有大約約43億個地址址，估計計在2005～2010年間將被被分配完完畢，而而IPv6采用128位地址長長度，幾幾乎可以以不受限限制地提提供地址址。除了了一勞永永逸地解解決地址址短缺問問題以外外，IPv6的主要優(yōu)優(yōu)勢還體體現(xiàn)在以以下幾方方面：提提高網(wǎng)絡(luò)絡(luò)的整體體吞吐量量、改善善服務(wù)質(zhì)質(zhì)量(QoS)、安全性性有更好好的保證證、支持持即插即即用和移移動性、、更好實實現(xiàn)多播播功能。。8.1VPN的安全性性使用虛擬擬專用網(wǎng)網(wǎng)絡(luò)涉及及到一些些傳統(tǒng)企企業(yè)內(nèi)部部網(wǎng)絡(luò)中中不存在在的安全全問題。。在虛擬擬專用網(wǎng)網(wǎng)絡(luò)中，，一個典典型的端端到端的的數(shù)據(jù)通通路可能能包含：：1)數(shù)臺不在在公司控控制之下下的機(jī)器器(例如ISP的接入設(shè)設(shè)備和因因特網(wǎng)上上的路由由器)。2)介于內(nèi)部部網(wǎng)(Intranet))和外部網(wǎng)網(wǎng)之間的的安全網(wǎng)網(wǎng)關(guān)(可能是防防火墻或或者是路路由器)。8.1VPN的安全性性3)一個包含含若干主主機(jī)和路路由器的的內(nèi)部網(wǎng)網(wǎng)。其中中一些機(jī)機(jī)器可能能由惡意意攻擊者者操作，，有的機(jī)機(jī)器同時時參與公公司內(nèi)部部的通信信以及與與公司外外部的通通信。4)一個外部部公共網(wǎng)網(wǎng)絡(luò)(因特網(wǎng))上面的數(shù)數(shù)據(jù)通信信來源不不僅限于于公司網(wǎng)網(wǎng)絡(luò)。在這樣一一個開放放的復(fù)雜雜環(huán)境下下，很容容易被竊竊聽和篡篡改數(shù)據(jù)據(jù)報文的的內(nèi)容，，很容易易實施拒拒絕服務(wù)務(wù)的攻擊擊或者是是修改數(shù)數(shù)據(jù)報文文的目的的地址的的攻擊。。8.2因特網(wǎng)的的安全協(xié)協(xié)議IPSec實現(xiàn)VPN通常用到到的安全全協(xié)議主主要是SOCKSv5、IPSec和PPTP/L2TP。其中，，PPTP/L2TP用于鏈路路層，IPSec主要應(yīng)用用于網(wǎng)絡(luò)絡(luò)層，SOCKSv5應(yīng)用于會會話層。。為了解解決因特特網(wǎng)所面面臨的不不安全因因素的威威脅，實實現(xiàn)在不不信任通通道上的的數(shù)據(jù)安安全傳輸輸，使安安全功能能模塊能能兼容IPv4和下一代代網(wǎng)絡(luò)協(xié)協(xié)議IPv6，IPSec協(xié)議將會會是主要要的實現(xiàn)現(xiàn)VPN的協(xié)議。。8.2因特網(wǎng)的的安全協(xié)協(xié)議IPSecIPSec是IP與Security的簡寫。。IPSec結(jié)合使用用多種安安全技術(shù)術(shù)為IP數(shù)據(jù)包提提供保密密性、完完整性和和真實性性。IPSec實際上指指的是多多個相關(guān)關(guān)的協(xié)議議，它們們在RFC2401-2411和RFC2451中定義，，規(guī)約已已經(jīng)變得得相當(dāng)復(fù)復(fù)雜。8.2因特網(wǎng)的的安全協(xié)協(xié)議IPSecIPSec的主要設(shè)設(shè)計目標(biāo)標(biāo)是良好好的互操操作性。。如果得得到正確確的實現(xiàn)現(xiàn)，IPSec對那些不不支持它它的主機(jī)機(jī)和網(wǎng)絡(luò)絡(luò)不會產(chǎn)產(chǎn)生任何何負(fù)面影影響，IPSec的體系結(jié)結(jié)構(gòu)獨立立于當(dāng)前前的密碼碼算法，，IPSec對于IPv6是必需的的，而對對IPv4是可選的的。8.2..1IPSec的體系結(jié)結(jié)構(gòu)IPSec框架主要要有兩個個協(xié)議：：一個是是用于認(rèn)認(rèn)證的認(rèn)認(rèn)證首部部(AuthenticationHeader，AH)協(xié)議和一一個用于于加密數(shù)數(shù)據(jù)的安安全封裝裝(EncapsulatingSecurityPayload，ESP))協(xié)議。這這些安全全特征都都是作為為主要的的IP報文首部部之后的的擴(kuò)展首首部來實實現(xiàn)的。。AH和ESP可以使用用兩種模模式，即即傳輸模模式和隧隧道模式式。8.2..1IPSec的體系結(jié)結(jié)構(gòu)(1)IPSec文檔IPSec文檔被劃劃分成7個組，如如圖8.2所示。這這是由IETF成立的IP安全協(xié)議議工作組組在做了了大量的的工作之之后劃分分的。圖8.2IPSec文檔8.2..1IPSec的體系結(jié)結(jié)構(gòu)體系結(jié)構(gòu)構(gòu)：覆蓋蓋了定義義IPSec技術(shù)的一一般性概概念、安安全需求求、定義義和機(jī)制制。ESP協(xié)議：覆覆蓋了使使用ESP進(jìn)行分組組加密(可選的認(rèn)認(rèn)證)的格式和和一般問問題。AH協(xié)議：覆覆蓋了使使用AH進(jìn)行分組組認(rèn)證的的格式和和一般問問題。加密算法法：描述述了怎樣樣將不同同的加密密算法用用于ESP中。8.2..1IPSec的體系結(jié)結(jié)構(gòu)認(rèn)證算法法：描述述了怎樣樣將不同同的認(rèn)證證算法用用于AH和ESP可選的認(rèn)認(rèn)證選項項。解釋域(DOI)：包含了了其他文文檔需要要的為了了彼此間間相互聯(lián)聯(lián)系的一一些值。。這些值值包括經(jīng)經(jīng)過檢驗驗的加密密和認(rèn)證證算法的的標(biāo)識以以及操作作參數(shù)，，例如密密鑰的生生存期。。密鑰管理理：描述述密鑰管管理機(jī)制制的文檔檔，其中中IKE((因特網(wǎng)密密鑰交換換協(xié)議)是默認(rèn)的的密鑰自自動交換換協(xié)議。。8.2..1IPSec的體系結(jié)結(jié)構(gòu)(2)IPSec的服務(wù)IPSec在IP層提供下下列安全全服務(wù)：：訪問控制制。無連接的的完整性性(對IP數(shù)據(jù)包自自身的一一種檢測測方法)。數(shù)據(jù)源的的認(rèn)證。。拒絕重發(fā)發(fā)的數(shù)據(jù)據(jù)包(部分序列列號完整整性的一一種形式式)。保密性(加密)。有限的通通信流保保密性。。表8.1總結(jié)了IPSec提供的服服務(wù)。8.2..2安全關(guān)聯(lián)聯(lián)安全關(guān)聯(lián)聯(lián)(SecurityAssociation，SA)是在發(fā)送送者和接接收者之之間為進(jìn)進(jìn)出通信信量提供供安全服服務(wù)的一一種單向向的關(guān)系系，它是是IPSec中的一個個基本的的概念。。每一對對使用IPSec的主機(jī)必必須在它它們之間間建立一一個SA。8.2..2安全關(guān)聯(lián)聯(lián)SA數(shù)據(jù)庫定定義了與與每一個個SA相關(guān)聯(lián)的的參數(shù)，，例如，，通信使使用何種種保護(hù)類類型(是AH還是ESP))、使用的的加密算算法、密密鑰、協(xié)協(xié)議方式式(隧道或傳傳輸)以及該SA的有效期期等。SA在發(fā)送者者和接收收者之間間建立一一種單向向的關(guān)系系。如果果需要進(jìn)進(jìn)行雙向向通信，，則需要要第二個個SA。8.2..2安全關(guān)聯(lián)聯(lián)AH協(xié)議和ESP協(xié)議可以以單獨使使用，也也可以組組合使用用，因為為每一種種協(xié)議都都有兩種種使用模模式，這這樣組合合使用就就有多種種可能的的組合方方式。但但是在這這么多可可能的組組合中只只有幾個個有實際際意義的的應(yīng)用。。用SA束來實現(xiàn)現(xiàn)IPSec的組合，，定義了了兩種組組合SA的方式：：傳輸鄰鄰接和循循環(huán)隧道道。8.2..3傳輸模式式與隧道道模式IPsec有兩種使使用模式式：傳輸輸模式(transportmode))和隧道模模式(tunnelmode))。在傳輸模模式中，，IPSec頭被直接接插在IP頭的后面面。IP頭中的Protocol域也被做做了修改改，以表表明有一一個IPSec頭緊跟在在普通IP頭的后面面(但是在TCP頭的前面面)。IPsec頭包含了了安全信信息，主主要有SA標(biāo)識符、、一個新新的序列列號，可可能還包包括凈荷荷數(shù)據(jù)的的完整性性檢查信信息。8.2..3傳輸模式式與隧道道模式在隧道模模式中，，整個IP分組，連連同頭部部和所有有的數(shù)據(jù)據(jù)一起被被封裝到到一個新新的IP分組中，，并且這這個新的的IP分組有一一個全新新的IP頭。當(dāng)隧隧道的終終點并不不是最終終的目標(biāo)標(biāo)節(jié)點時時，隧道道模式將將非常有有用。8.2..3傳輸模式式與隧道道模式在有些情情況下，，隧道的的終點是是一臺安安全網(wǎng)關(guān)關(guān)機(jī)器，，例如，，公司的的一個防防火墻。。在這種種模式中中，當(dāng)分分組通過過防火墻墻的時候候，防火火墻負(fù)責(zé)責(zé)封裝分分組，或或者解除除封裝。。由于隧隧道終止止于這臺臺安全的的機(jī)器上上，所以以公司LAN上的機(jī)器器不必知知曉IPSec的存在。。只有防防火墻必必須要知知道IPSec。8.2..4AH協(xié)議AH協(xié)議為IP數(shù)據(jù)包提提供了數(shù)數(shù)據(jù)完整整性服務(wù)務(wù)和認(rèn)證證服務(wù)，，并使用用一個帶帶密鑰的的哈希函函數(shù)以實實現(xiàn)認(rèn)證證服務(wù)。。8.2..4AH協(xié)議(1)AH協(xié)議的原原理AH協(xié)議可以以保證IP分組的可可靠性和和數(shù)據(jù)的的完整性性。它的的原理是是發(fā)送方方將IP分組頭、、上層數(shù)數(shù)據(jù)、共共享密鑰鑰這3部分通過過MD5((或SHA--1)算法進(jìn)行行計算，，得出AH首部的認(rèn)認(rèn)證數(shù)據(jù)據(jù)，并將將AH首部加入入IP分組中。。8.2..4AH協(xié)議當(dāng)數(shù)據(jù)傳傳輸?shù)浇咏邮辗綍r時，接收收方將收收到的IP分組頭、、數(shù)據(jù)部部分和公公共密鑰鑰用相同同的MD5((或SHA--1)算法運算算，并把把得到的的結(jié)果和和收到的的數(shù)據(jù)分分組的AH首部進(jìn)行行比較和和認(rèn)證。。但是，AH頭并不提提供對數(shù)數(shù)據(jù)的保保密性保保護(hù)，因因此，當(dāng)當(dāng)數(shù)據(jù)通通過網(wǎng)絡(luò)絡(luò)時，如如果攻擊擊者使用用協(xié)議分分析器照照樣能竊竊取敏感感數(shù)據(jù)。。8.2..4AH協(xié)議(2)傳輸與隧隧道模式式AH協(xié)議服務(wù)務(wù)可以使使用兩種種模式：：傳輸模模式和隧隧道模式式。見圖圖8.3。圖8.3AH的傳輸模模式和隧隧道模式式8.2..4AH協(xié)議在傳輸模模式中，，AH協(xié)議僅僅僅應(yīng)用從從主機(jī)到到主機(jī)的的連接中中，并且且除了對對選定的的IP頭域之外外還對上上層協(xié)議議提供保保護(hù)。該該模式通通過傳輸輸安全關(guān)關(guān)聯(lián)(SA))來提供。。AH既可以用用于主機(jī)機(jī)，也可可以用于于安全網(wǎng)網(wǎng)關(guān)。當(dāng)當(dāng)在一個個安全網(wǎng)網(wǎng)關(guān)中實實現(xiàn)AH以保護(hù)傳傳輸?shù)耐ㄍㄐ艜r，，必須使使用隧道道模式。。8.2..4AH協(xié)議“隧道””技術(shù)是是VPN的核心，，它允許許VPN的數(shù)據(jù)流流被路由由通過IP網(wǎng)絡(luò)，而而不管生生成數(shù)據(jù)據(jù)流的是是何種類類型的網(wǎng)網(wǎng)絡(luò)或設(shè)設(shè)備。隧隧道內(nèi)的的數(shù)據(jù)流流可以是是IP、IPX、AppleTalk或其他類類型的數(shù)數(shù)據(jù)包。。8.2..5ESP協(xié)議ESP協(xié)議為通通過不可可信網(wǎng)絡(luò)絡(luò)傳輸?shù)牡腎P數(shù)據(jù)提供供保密性性服務(wù)。。另外，，ESP協(xié)議還可可以提供供認(rèn)證服服務(wù)。根根據(jù)所使使用的加加密類型型和方式式的不同同，ESP的格式也也會有所所不同。。在任何何情況下下，與加加密關(guān)聯(lián)聯(lián)的密鑰鑰都是使使用SPI((安全參數(shù)數(shù)索引)來選擇的的。8.2..5ESP協(xié)議(1)ESP協(xié)議的加加密算法法ESP協(xié)議兼容容多種密密碼算法法。系統(tǒng)統(tǒng)必須有有使用密密碼分組組鏈接(CipherBlockChaining，CBC))模式DES算法：對對于要求求認(rèn)證的的兼容系系統(tǒng)則必必須含有有NULL算法。同同時，也也定義了了ESP服務(wù)使用用的其他他加密算算法：三三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。8.2..5ESP協(xié)議(2)傳輸與隧隧道模式式與AH相同，ESP也可以用用于傳輸輸模式和和隧道模模式。這這些模式式的工作作方式與與它們在在AH中的工作作方式類類似。但但是有一一個例外外：對ESP，在每一一個數(shù)據(jù)據(jù)之后將將附加一一個尾部部(trailer)的數(shù)據(jù)(如圖8.4))。ESP傳輸模式式只用于于實現(xiàn)主主機(jī)之間間的加密密(和可選的的認(rèn)證)服務(wù)，為為上層協(xié)協(xié)議提供供保護(hù)而而不是IP頭本身。。圖8.4ESP的傳輸模模式和隧隧道模式式8.2..5ESP協(xié)議ESP隧道模式式既可以以用于主主機(jī)，也也可以用用于安全全網(wǎng)關(guān)。。當(dāng)在一一個安全全網(wǎng)關(guān)中中實現(xiàn)ESP時(用于保護(hù)護(hù)用戶傳傳輸通信信流)，必須使使用隧道道模式，，如圖8.5所示是一一個由4個專用網(wǎng)網(wǎng)通過因因特網(wǎng)互互相連接接的隧道道模式示示例。內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)上的主主機(jī)使用用因特網(wǎng)網(wǎng)是為了了傳輸數(shù)數(shù)據(jù)，而而不是同同其他基基于因特特網(wǎng)的主主機(jī)進(jìn)行行交互。。在每個個內(nèi)部網(wǎng)網(wǎng)絡(luò)上的的安全網(wǎng)網(wǎng)關(guān)用于于終止隧隧道。圖8.5ESP的隧道模模式示例例8.2..6安全管理理IPSec包含兩個個指定的的數(shù)據(jù)庫庫：安全全策略數(shù)數(shù)據(jù)庫(SecurityPolicyDatabase，SPD))和安全關(guān)關(guān)聯(lián)數(shù)據(jù)據(jù)庫(SecurityAssociationDatabase，SAD))。SPD指定了決決定所有有輸入或或者輸出出的IP通信部署署的策略略；SAD包含有與與當(dāng)前活活動的安安全關(guān)聯(lián)聯(lián)相關(guān)的的參數(shù)。。8.2..7密鑰管理理當(dāng)使用IPSec時，與其其他安全全協(xié)議一一樣，必必須提供供密鑰管管理功能能。例如如，應(yīng)提提供一種種方法，，用于與與其他人人協(xié)商協(xié)協(xié)議、加加密算法法以及在在數(shù)據(jù)交交換中使使用的密密鑰。此此外，IPSec需要知道道實體之之間的所所有的這這樣的協(xié)協(xié)定。IETF的IPSec工作組已已經(jīng)指定定所有兼兼容的系系統(tǒng)必須須同時支支持手工工和自動動的SA和密鑰管管理。8.3VPN應(yīng)用IPSec提供了在在局域網(wǎng)網(wǎng)、專用用和公用用的廣域域網(wǎng)(WAN)和因特網(wǎng)網(wǎng)上安全全通信的的能力。。8.3..1通過因特特網(wǎng)實現(xiàn)現(xiàn)遠(yuǎn)程用用戶訪問問一個系統(tǒng)統(tǒng)中配備備了IP安全協(xié)議議的最終終用戶，，可以通通過調(diào)用用本地的的因特網(wǎng)網(wǎng)服務(wù)提提供商(ISP)來獲得對對一個公公司網(wǎng)絡(luò)絡(luò)的安全全訪問，，這為在在外出差差的雇員員和遠(yuǎn)程程的工作作者減少少了長途途通信費費用。8.3..1通過因特特網(wǎng)實現(xiàn)現(xiàn)遠(yuǎn)程用用戶訪問問客戶通過過撥號到到ISP來連接到到因特網(wǎng)網(wǎng)，然后后和內(nèi)部部網(wǎng)邊界界上的安安全網(wǎng)關(guān)關(guān)建立一一個經(jīng)認(rèn)認(rèn)證的、、加密的的安全通通道。通通過在遠(yuǎn)遠(yuǎn)程和安安全網(wǎng)關(guān)關(guān)之間實實行IPSec方式的認(rèn)認(rèn)證，內(nèi)內(nèi)部網(wǎng)可可以免受受那些不不必要的的或惡意意的IP包攻擊。。通過將將遠(yuǎn)程主主機(jī)與安安全網(wǎng)關(guān)關(guān)之間的的數(shù)據(jù)流流進(jìn)行加加密，可可以防止止竊聽。。8.3..1通過因特特網(wǎng)實現(xiàn)現(xiàn)遠(yuǎn)程用用戶訪問問虛擬專用用網(wǎng)絡(luò)支支持以安安全的方方式通過過公共互互連網(wǎng)絡(luò)絡(luò)遠(yuǎn)程訪訪問企業(yè)業(yè)資源。。與使用用專線撥撥打長途途或電話話連接企企業(yè)的網(wǎng)網(wǎng)絡(luò)接入入服務(wù)器器(NAS)不同，虛虛擬專用用網(wǎng)絡(luò)用用戶首先先撥通本本地ISP的NAS，然后VPN軟件利用用與本地地ISP建立的連連接，在在撥號用用戶和企企業(yè)VPN服務(wù)器之之間，創(chuàng)創(chuàng)建一個個跨越因因特網(wǎng)或或其他公公共互連連網(wǎng)絡(luò)的的虛擬專專用網(wǎng)絡(luò)絡(luò)，如圖圖8.6所示。圖8.6遠(yuǎn)程訪問問網(wǎng)絡(luò)8.3..2通過因特特網(wǎng)實現(xiàn)現(xiàn)網(wǎng)絡(luò)互互連一個公司司可以在在因特網(wǎng)網(wǎng)或者公公用的廣廣域網(wǎng)上上建立安安全的虛虛擬私有有網(wǎng)絡(luò)。。這可以以使企業(yè)業(yè)主要依依賴因特特網(wǎng)而減減少它構(gòu)構(gòu)造專用用網(wǎng)絡(luò)的的需求，，節(jié)省了了費用和和網(wǎng)絡(luò)管管理有負(fù)負(fù)擔(dān)。8.3..2通過因特特網(wǎng)實現(xiàn)現(xiàn)網(wǎng)絡(luò)互互連通過因特特網(wǎng)實現(xiàn)現(xiàn)兩個相相互信任任的內(nèi)部部網(wǎng)絡(luò)安安全連接接，在這這種情況況下，即即要防范范外部對對內(nèi)部網(wǎng)網(wǎng)絡(luò)的攻攻擊，又又要保護(hù)護(hù)在因特特網(wǎng)上傳傳輸數(shù)據(jù)據(jù)的安全全。例如如，一個個公司的的兩個分分公司之之間通過過因特網(wǎng)網(wǎng)建立分分支機(jī)構(gòu)構(gòu)的VPN，需要滿滿足公司司對通信信、安全全和成本本的需求求。8.3..2通過因特特網(wǎng)實現(xiàn)現(xiàn)網(wǎng)絡(luò)互互連可以用以以下兩種種方式使使用VPN來連接遠(yuǎn)遠(yuǎn)程局域域網(wǎng)絡(luò)：：1)使用專線線連接分分支機(jī)構(gòu)構(gòu)和企業(yè)業(yè)局域網(wǎng)網(wǎng)。不需需要使用用價格昂昂貴的長長距離專專用電路路，分支支機(jī)構(gòu)和和企業(yè)端端路由器器可以使使用各自自本地的的專用線線路通過過本地的的ISP連通因特特網(wǎng)。VPN軟件使用用與本地地ISP建立的連連接和因因特網(wǎng)，，在分支支機(jī)構(gòu)和和企業(yè)端端路由器器之間創(chuàng)創(chuàng)建一個個虛擬專專用網(wǎng)絡(luò)絡(luò)。8.3..2通過因特特網(wǎng)實現(xiàn)現(xiàn)網(wǎng)絡(luò)互互連2)使用撥號號線路連連接分支支機(jī)構(gòu)和和企業(yè)局局域網(wǎng)。。不同于于傳統(tǒng)的的使用連連接分支支機(jī)構(gòu)路路由器的的專線撥撥打長途途或電話話連接企企業(yè)NAS((網(wǎng)絡(luò)接入入服務(wù)器器)的方式，，分支機(jī)機(jī)構(gòu)端的的路由器器可以通通過撥號號方式連連接本地地ISP。VPN軟件使用用與本地地ISP建立起的的連接，，在分支支機(jī)構(gòu)和和企業(yè)端端路由器器之間創(chuàng)創(chuàng)建一個個跨越因因特網(wǎng)的的虛擬專專用網(wǎng)絡(luò)絡(luò)，如圖圖8.7所示。圖8.7使用撥號號線路連連接分支支機(jī)構(gòu)和和企業(yè)局局域網(wǎng)8.3..2通過因特特網(wǎng)實現(xiàn)現(xiàn)網(wǎng)絡(luò)互互連在以上兩兩種方式式中，都都是通過過使用本本地設(shè)備備在分支支機(jī)構(gòu)和和企業(yè)部部門與因因特網(wǎng)之之間建立立連接