尽管Cisco提出的VPN解决方案很吸引人, 但由于它是Cisco公司专有的,当网络中有非Cisco公司的路由器时,显然不能互通。为了解决这个问题,Microsoft和Ascend公司在PPP协议基础上开发了PPTP协议(Point to Point Tunneling Protocol)。
PPTP协议是在PPP基础上开发的、基于GRE封装的协议,增加了流控制机制。
PPTP协议是一个真正的端到端技术,它可建立用户到服务器的直接端到端隧道连接,对于接入路由器NAS和Internet网络来说,这些都是透明的。建立一个PPTP的连接过程如下:
不管用户是通过专线或拨号网接入Internet网络,用户端都可以与VPN中心服务器建立IP连接;然后通过用户端的一个PPTP虚拟接口“拨号”到VPN中心服务器建立PPTP连接。PPTP的内层协议可以支持IP/IPX/CLNP等多种协议。换言之,通过PPTP协议的隔离作用,用户端和VPN中心服务器端可以建立端到端的VPN网络。如图3所示。
1、VPN与公用Internet网的互通
VPN网络是一个专用于企业内部信息交流的网络,一般情况下外部用户没有权利访问企业的重要信息,但为了扩大企业的影响,必要时企业要开放VPN上的部分非机密信息,如企业简介等,这样就使得VPN与Internet的互通显得很有必要了。
企业VPN与Internet的互通有两种方法:一种是采用NAT(Network Address Translate,地址转换);另一种是在相关服务器上使用两套IP地址。
2、NAT地址转换方法
一般来说,企业VPN内部采用自己的内部IP地址,如172.16.x.x,与公网IP地址区分开来。因此,当拥有公用IP地址的Internet用户或主机想访问这些VPN内部服务器时,一般需要NAT地址转换,这个功能由VPN中心的接入路由器来实现,如图4所示。同样地,通过NAT地址转换,企业内部的用户也可以访问公用Internet网,获得Internet上的各种服务,比如:WWW、E-mail、FTP等。所以说,通过NAT功能,VPN内部网络可以与lnternet网络实现互通。
另外,NAT地址转换功能也支持过滤器功能,可以在NAT上设置一些过滤选项来达到防火墙的目的。
3、使用两套IP地址的方法
为了节省NAT地址转换造成的额外开销,我们可以在需要与Internet互通的VPN内部服务器上设置两个IP地址,一个是VPN内部的私有地址,另一个是公网合法的IP地址,如图5所示。同时,在VPN中心的接入路由器上作一些访问控制,使得当Internet的用户或主机访问VPN内部服务器时,可以直接与VPN内部服务器建立连接,而不必经过繁琐的地址转换过程。对于VPN内部用户,由于他们只拥有内部地址,当他们访问Internet时,仍然需通过NAT地址转换过程。通过NAT过程,也可对他们访问公网实施限制。
重庆专线宽带:http://www.gwbn.cq.cn
Microsoft和Ascend提出的端到端VPN解决方案