基本概念
VPN(虛擬私有網路)是允許用戶透過在公共網路中建立一個“通道”,來存取他們私人網路的方法。在探討細節問題之前,若能有一個大致的概念會比較好。目前存在很多種機制,可以去實現VPN。我們這裏介紹的VPN只對存在於Azblink系統軟體 CD中的軟體才適用。
從概念上,我們可以以下的角度來看待VPN:在您的行動PC上有一個乙太網路介面,您將該電腦帶到了辦公室邊界控制路由之外的地方。當您在該行動PC上執行VPN用戶端程式時,此程式會“建構”一個看起來像乙太網路介面的虛擬介面。當您發送資訊給此虛擬介面時,這些資訊會被傳送回邊界控制路由內部的網路。
當然,發送給此“虛擬乙太網路介面”的傳輸實際上是穿過了您行動PC上的乙太網路介面--但多數情況下,您是意識不到的;如果您想發送某些東西到您辦公室邊界控制路由內部的網路時,只要發送給VPN用戶端程式創建的該虛擬乙太網路介面就可以了。您可以類推出這樣的場景:某“真實的乙太網路介面”是一個兩端有口的管子。該VPN只是在管子上另開了一個傳輸埠,並試圖發送某些東西進此現存的管子。所以,在管子的一端,我們看到有兩個端口;在另一端,只有一個端口。VPN傳輸僅使用現存的管子去發出資料。但在資料傳輸的最後,用戶會看到有兩個“端口”一個是VPN,另一個是上面圖表所示的原始端口。您往VPN通道裏扔進一些東西;不同地,邊界控制路由只將之當作一個常規規則。VPN設定需要費一些網路規劃上的功夫,也需要考慮到您當前的網路佈局。
此處的VPN採用基於IP路由途徑的方法,這與使用“橋接器”的方法有所不同。使用“橋接器”方法的VPN允許封包暢行而不探察IP標頭上資料的細節,所以網路封包就可能氾濫得到處都是了。在另一方面,如果VPN可以過濾掉一些基於IP位址的傳輸,它將能隔離掉一些不必要的傳輸。
然而,這兩個方法都各自有其優點和缺點。此處就不討論了。重點是:大多數電腦網路如今都是IP網路了。為連接到其他的主機,您的機器需要擁有一個IP位址(一般而言),以便在網路上暢行無阻。
VPN打開了一扇門,允許邊界控制路由外部的主機存取邊界控制路由內部的網路。那樣做的話,您在設定網路時需要特別小心。在此有一個例子,您在網際網路介面eth0上有一個IP位址為 1.2.3.4 的邊界控制路由,在LAN介面eth1上IP位址為192.168.1.1。DHCP伺服器在eth1上運行,基本上,您可使邊界控制路由內部自動生成一個子網路,我們稱之為192.168.1.0/24。
如VPN被指派為172.16.7.0/24,一旦某台主機連上了VPN,它的IP位址應屬於172.16.7.0/24。所以,我們唯一要做的事情就是讓這兩個網路172.16.7.0/24和192.168.1.0/24之間的傳輸保持通暢。
但事情也沒那麼簡單。想想下面的情形:您邊界控制路由內部的網路是192.168.1.0/24,您將行動PC帶到了其他公司,其他公司內部網路也可能會是192.168.1.0/24的。在此狀況下,VPN就不能很好地運轉了,它不知道哪個才是您想要去連接的-因為兩個都有同樣的網路位址。有時,我們可以用代理伺服器來繞過此問題。但在此狀況下,其實並未解決所有的問題。
因此,建議您應選擇較少可能會衝突的私有IP位址,小心地規劃您的網路,例如: 172.16.5.0/24 (即儘量不用192.168.1.0/24 或 192.168.0.0/24)。
通常VPN的工作方式如下:當您獲取了包含授權鑰證書、授權鑰和設定檔案的一組檔案,將它們安裝到您的行動PC中。這一整組檔案是由您想要連接的VPN伺服器上所生成的;然後,您是透過讀取那些授權檔案來啟動相關的VPN程式,來連接到VPN伺服器。VPN伺服器會將您的行動PC置入另一個網路中。從那個網路,您可以存取到邊界控制路由內的所在本地網路---當然,這也取決於使用VPN伺服器的公司如何允許來自VPN用戶的存取。
|
已擁有固定IP的情況下設定的方式。如固接式網路或是原網路中有DHCP主機的存在。