《天堑也能变通途——.doc》由会员分享,可在线阅读,更多相关《天堑也能变通途——.doc(6页珍藏版)》请在金锄头文库上搜索。
1、天堑也能变通途浅谈VPN与NAT相结合杨智业,潘战生(华南师范大学网络教育学院,广州510631)摘要:在国内有不少教育单位均同时拥有中国教育科研网和中国电信互联网两种不同性质的网络接入。怎样针对这样的网络环境拓展安全、稳定、灵活和便捷的应用成了一个迫切需要解决的问题,特别是两网之间的互联互通问题。本研究主要介绍了使用PPTP及L2TP协议的VPN,阐释了VPN及NAT的用途,并论述了VPN结合NAT的具体方法,以解决一系列网络连接的问题。关键词:PPTP(点对点隧道协议);L2TP(第2层隧道协议);VPN(虚拟专用网络);NAT(网络地址转换);网络安全Linking anywhere b
2、y combining VPN and NATYang ZhiYe, Pan ZhanSheng(South China Normal University Network Education College, Guangzhou 510631)Abstract: In recent China, there are many education organizations have both CERNET and ChinaNET connections. It is always an urgent problem for us to solve that how to make our
3、network securer, steadier, more flexible and convenient based on this very network condition, especially the connectivity between two different ISP. In this paper, we mainly introduce the excellence of VPN supported by PPTP and L2TP. Furthermore, we describe the advantages which we have got by combi
4、ning VPN and NAT. Finally, we expect to solve the network connectivity problems between CERNET and ChinaNET.Key words: PPTP (Point to Point Tunneling Protocol); L2TP (Layer 2 Tunneling Protocol); VPN (Virtual Private Network); NAT (Network Address Translation); Network Security一、 VPN(一)、VPN(Virtual
5、Private Network)虚拟专用网络 随着互联网及网络技术的快速发展,VPN作为一种崭新的网络技术逐渐显露头角。到底何谓VPN呢?虚拟专用网络是相对于专用网络而言的。专用网络,顾名思义它的首要属性就是专用,只为少数用户而设的网络。它是一个十分安全,带宽独享的网络,因为使用者数目相对于互联网来说简直是微不足道的。但是这样的一个专用网络价值不菲,因为它必须依靠独立的物理连接将接入点接在一起,需要十分专业的设备以及技术人员去进行维护,而且十分的不灵活,当用户从一个地方移动到另一个地方的时候专用网络的物理连接是没有办法跟随一起移动的。而虚拟专用网络则能够利用Internet或其它公共互联网络的
6、基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。专用网络和虚拟专用网络的示意图如图1所示:图1:专用网络与虚拟专用网络在当前VPN的解决方案中,相当一部分都采用了第二层隧道技术。“隧道”Tunnel就是一种封装技术,原理是它利用一种网络传输协议,将其他协议产生的数据报文封装在它自己的报文中,在网络中传输,而这种封装在到达目的前是无法解开的,就好一条专用的管道一样。第二层隧道的意思就是将OSI模型中的第二层(数据链路层)帧封装在第三层(网络层)报文中,形成加密的IP报文,在Internet中传输。其中最为成熟的第二层隧道协议就是PPTP协议和L2TP协议。这两种协议工作方式大致相同
7、,均是将第二层的数据帧按照他们不同的加密方式封装成IP报文,然后在公众网络上传输。由Microsoft和Ascend公司开发的PPTP主要是一个针对Point to VLAN的VPN解决方案。然后,IETF将PPTP和L2F发展成为L2TP,L2TP主要在PPTP的基础上加强了VPN的VLAN to VLAN功能。总的来说,VPN技术能带给我们一个灵活方便的廉价的建立在现有公共网络上的安全的虚拟专用网络,解决了远距离安全接入网络方面的问题。二、 NAT:静态翻译与动态翻译NAT已经不是一个什么新颖的技术了,同时它也可能是被使用得最多的网络技术之一。它的出现和被广泛应用的原因是有效IP地址资源的
8、迅速枯竭。而通过该项技术,我们可以重复地使用预留IP地址段,使IP资源的紧张得到了暂时的缓解。这些预留地址在默认的情况下面是不会被互联网上的路由设备所转发的,只有通过网络地址的转换,使用这些预留IP地址段的计算机才正常地访问Internet。NAT的示意图如图2所示:整个转换过程主要可以分为静态翻译与动态翻译:(一)、静态翻译。这是比较通用的一种方法,将内部IP一对一的翻译成外部地址。在内部主机连接到外部网络时,当第一个数据包到达NAT服务器时,服务器将会检查它的NAT表,因为是NAT是预先静态配置好的,所以服务器只需要简单地按照表上的项目翻译,浏览http:/www.faqs.org/rfc
9、s/rfc2637.html 能获得更详细的资料浏览http:/www.faqs.org/rfcs/rfc2661.html 能获得更详细的资料IETF, Internet Engineering Task Force, Internet工程任务组浏览 http:/www.faqs.org/rfcs/rfc1631.html 能获得更详细的资料图2 NAT网络地址转换示意图然后将数据包的内部IP(源地址)更换成有效的地址,接着再转发出去。互联网上的主机接收到该数据包后会按照接收到的有效地址去响应,返回给NAT服务器。当NAT服务器接收到外部回来的数据包时,再根据NAT表把地址翻译成内部局部IP
10、,转发到内部的各个相应的主机上。(二)动态翻译。当有效地址十分有限的时候,可以通过使用不同的端口将多个内部地址影射到一个有效的IP地址上,这也是所谓的PAT(Port Address Translator)。和静态翻译一样,NAT服务器同样也负责查表和翻译内部IP地址,唯一的区别就是由于使用了不同的端口用来区分不同的内部主机,服务器在数据包返回之后,需要核对不同的端口来找出正确的源内部主机。NAT技术主要为我们提供了在有效IP地址资源匮乏的情况下对公共网(包括CERNET和ChinaNET)访问的功能,解决了多人同时通过一个有效IP使用公共网络的问题。三、VPN与NAT的结合 VPN和NAT技
11、术分别解决了安全接入网络和高效访问公共网的问题。根据它们各自不同的特性,把VPN服务器和NAT服务器整合起来,我们将会由此得到功能强大,连接安全以及使用灵活的网络接入服务。(一)两者结合的重要性。现在,相当一部分的教育单位同时拥有中国教育科研网(CERNET)以及中国电信网(ChinaNET)这两个性质不同的网络接入环境。CERNET与ChinaNET之间的联系如图3所示。由于两个网络分别由两个不同的ISP所控制,所以如何快速地访问分布在这两个网络上的资源成了一个令人头痛的问题。尽管在华南地区CERNET已经使用了3条155Mbps的专线与ChinaNET连接,但在僧多粥少的情况下,在校教师及
12、学生想访问电信网以及在校外的用户想访问教育网都不可能是一个轻松愉快的网络旅程。图3 华南地区CERNET与ChinaNET互联简略示意图当架设好VPN及NAT服务器后,整个网络拓扑示意图如图4所示。由于VPN需要通过加密的用户验证后才能使用,所以我们可以认为从各个方向连接到VPN服务器的线路都是安全的,优质的,受到监控的。尽管物理上的总带宽不及两网互联使用的3条155Mbps专线,但其优势在于人均带宽多,安全性高。图4 使用VPN与NAT服务器可能有读者会认为这个NAT+VPN服务器跟双出口的代理服务器功能十分相似,但其实它们两者之间存在着重要的区别,如表一所示。表一:代理服务器和VPN+NA
13、T服务器之间的主要区别使用代理服务器使用VPN+NAT服务器从用户端到服务器端之间的线路没有经过加密,不安全,内容能够在通讯中途被截获经过加密,隧道过程加密不可逆所支持的服务类型少,只能访问预先设定好的几个协议,不能访问特殊端口服务支持多服务,能够完全将二层的数据帧加密然后通过隧道传送,能够访问特殊端口服务由于使用了两种属性不同的网络接口,教师在外出的时候可以随时透过不同性质的公共网络连接回自己的单位。得益于VPN的高安全性,在外地连接回单位时可以处理一系列安全及隐私敏感的工作而不必害怕黑客的中途截击。用户可以通过电信网接入VPN服务器来访问校内的期刊网,安心地浏览私人信件,更可以对网络进行管
14、理。同时也可以在校内通过VPN服务器畅游电信网,获取最新的潮流信息,上网游戏娱乐甚至观看在线电影。当然,如果拥有性能足够好的服务器,带宽足够大的网络环境,该项服务便能够进一步推广至全体学生。(二)方案的具体设计及实现。由于是应用于实验,所以本人选取了操作简便的Windows Server 2003作为服务器系统,因为Windows Server 2003本身自带的“Routing and Remote Access”服务(该系统服务默认使用PPTP协议进行VPN连接,同时也可通过设置支持L2TP协议)已经能完全提供我们所需要的VPN及NAT服务了,而且由于是系统自带的服务,其兼容性和稳定性无容
15、置疑。当然,有一点是我们必须注意的,使用Windows系列的系统必须及时安装Microsoft发布的系统补丁,保证系统的安全。服务器配置及网络环境要求:l CPU:Pentium 4 1.4G 或更高;l 内存:256MB 或更多;l 网络适配器:至少两个,分别连接两个不同性质的网络,比如教育网和电信网;l 服务器系统:Windows Server 2003 Enterprise Edition(安装所有系统补丁);l 确认“Routing and Remote Access”服务已经被安装并且启动,如图5所示;图5 Windows Server 2003服务窗口整个服务器设置主要分为网络连接
16、设置以及用户校验设置两部分。网络连接设置主要针对我们所需要的VPN及NAT功能进行设置,在路由和远程访问窗口中便可以完成,如图6所示。而用户校验设置则主要针对用户使用权限功能进行设置。Windows Server 2003服务器同时支持本地用户验证和Radius用户验证两种验证方式,如果选择使用本地用户的验证方式,则在系统的用户拨入属性窗口即可完成设置;如果选择使用Radius验证方式,则提供Radius服务器的IP地址即可。由于设置简易,具体的设置步骤不在这里一一详细描述了,在设置的过程里,主要注意以下几个问题:1、 选择VPN和NAT同时存在的服务模式;2、 由于提供双向的NAT服务,所以应该在两个网络接口上都允许NAT功能;3、 在“内部”接口上打开V
