VPN技术都用在哪里?
一听说VPN,可能大多数人的反应是如何去访问网络中花花世界的技术(只可意会~),但今天我所说的是在我们实际企业组网工作中用到的便于异地化办公的技术,尤其是跨国公司,或者是银行,国家电网,中石化,中石油,这样分支机构众多,经常需要把各地的内网联通起来进行协同办公,例如像视频会议,语音电话,内部邮件,OA办公系统等等都需要底层网络互通才可实现,那么把这样的若干个异地化的私网,通过运营商(电信、联通、移动……)联通起来,依然保持利用私网地址进行通信,这样的技术即称为VPN技术,像经常听到的IPsec VPN 只是其中之一。
什么是VPN?
先上一张图:
某公司的北京总部有一台服务器,地址为192.168.3.2 /24,因业务需求,该服务器同样给天津公司提供服务(假设北京公司出口路由器拥有公网IP10.1.1.2;天津分公司拥有公网IP20.1.1.2),但出于安全考虑,要求天津分公司只能以192.168.3.2这个地址来访问,而不是用诸如NAT技术将服务器发布到公网。众所周知,由于运营商并不会有私网地址的路由,所以上图要求无法实现。别急,接着往下看:
假如北京和天津的两个公司出口路由器之间能接上一根网线就完美了!就好像两个公司的私有网络连在一起一样,可是这也不太现实啊,北就和天津这么远,怎么可能有这样的网线存在?!!!不过各位看官也不要灰心,办法总比困难多,我们试着能不能用技术方法来解决这个问题,既然真正的拉一条线不现实,那就虚拟一条这样的线路出来,感觉真的把两个私有网络连接一起一样,而这个技术就是VPN(Virtual Private Network)!即虚拟私有网络。
而这个技术和核心就是在于如构建这线路,这条线路被形象地称为隧道(Tunnel)技术,就像在错综复杂的网络中打了一条隧道一样,把两个公司连接在一起,隧道的出口,就是两个公司出口路由器的公网IP地址(因为两边都是公网IP,所以它们是互相可达的,这是构建隧道的前提)。经过以上分析我们可以得出,隧道就是好比是一条直连的网线,把路由器连接了起来,所以路由器上还要有两个虚拟的接口(tunnel接口),然后再在这两个虚拟接口上配置同网段的IP地址
具体配置:
北京公司:
启用隧道接口并设置隧道的源和目的
天津公司:
两地公司其它的接口按照正常配置即可,下面测试一下,隧道接口能不能通
从测试得知,隧道已经可以通信了。我们接下来看看两地的私网地址能不能通?
由此可见,天津的PC还是ping不通北京的服务器,我们分析一下,看看路由器上的路由表情况:
通过分析路由表我们得知,出口路由器上并没有去往北京的路由,只有一条去公网的默认,也就是说,隧道虽然已经打通,具备了通车条件,但是路由器并不知道去往北京的话要走隧道,同理我们也可以得出,北京的路由器也不知道去天津的话要走隧道,怎么办?当然是添加相应路由了!
北京也一样:
告诉路由器去往对端的私网地址,走隧道接口就行了!接下来我们再测试一下:
可见,天津PC已经能够访问北京的服务器了,以上即为VPN的雏形,因为我们知道数据物理上依然还是走的公网,我们耳熟能详的IPsec VPN,其中一中形式就是基于以上的隧道,对数据进行加密保护的一种VPN。而我们通常把这种通过两边的路由器建立隧道然后实现两个私网网段互通的VPN的形态称为端到端(site-to-site)VPN。
现在一句话总结VPN实现过程,即是打隧道,做路由的过程!
接下来,我们看一下另外一种VPN形态,就是比如说出差员工用的笔记本电脑,想在酒店接到北京公司内部的服务器上,我们就不可能在酒店路由器上再去配置VPN了,还有出差员工地点也不固定,而不变的是笔记本电脑,我们可不可以用笔记本电脑和北京的路由器建立隧道呢?答案当然是肯定的,这种形态我们称为远程接入(Remote Access)VPN,下面,我们就以一个最简单的PPTPVPN加以说明:
首先建立VPN的条件依然是笔记本可以ping通北京公司的公网IP
建立隧道的方式如上图所示
笔记本电脑已经能够ping通北京公司的公网IP地址(实验模拟可以在原来的天津公司的路由器上开启NAT,把隧道接口删除掉)。
接下来我们在北京公司路由器上开启PPTP VPN的服务,使得笔记本可以连接过来:
首先,建立一个地址池,这个地址池用来给笔记本隧道接口下发地址,值得注意的是,PPTPVPN在建立的时候,远端隧道接口的地址必须和需要访问的服务器在同一网段,不然无法访问。
定义一个虚拟拨号模块,该模块借用物理接口的IP地址,指定对端IP地址获得方式为从本地地址池获得,定义认证类型 pap chap ms-chap,然后开启远端拨入功能,拨入协议为pptp,并与虚拟模块1相关联。
最终定义一个用于远端拨入的用户名和密码。
接下来,我们看笔记本上的配置,由于PPTP是Windows默认就支持的功能,所以并不虚拟安装任何软件:
右键选择网上邻居,点击属性。
点击创建一个新的连接,按提示点下一步
选择连接到我的工作场所的网络,点击下一步
连接方式为虚拟专用网络连接,然后点击下一步
公司名称随意定义自己认识就好,点击下一步
IP 地址为北京公司公网IP地址,然后点击一下步
为了后期使用方便,可以勾选在桌面上添加快捷方式,然后点完成。
注意,输入完用户名和密码后先不要着急连接,不然后会报错连接不上,这是由于XP系统支持的加密方式版本问题,先点属性做一下修改
在安全选项卡点高级选项,然后点设置
数据加密选择可选加密即可。
此外,还要做一下隧道分离,如果不做,当笔记本连接到VPN后,将不能上网,因为所有数据都走了隧道,隧道分离方式如下:
在网络选项卡点TCP/IP协议属性,然后点高级:
把"在远程网络上使用默认网关"前而的钩去掉即可
连接成功后我们发现,电脑上多了一块虚拟网卡
该网卡已经按照我们的设置获取到了正确地址。
至此,VPN连接成功,出差员工的笔记本电脑已经能够访问公司内部的服务器了!
新盟教育-胡巴老师
原文来自公众号思科CCIE训练营定期分享技术干货
欢迎点击了解更多获取更多学习资料