VPN可以建立在任何一种类型的网络连接(如租用专线)上,但它们的标准用途却是在那些公共网络上建立各种私用的网络。VPN需要周密细致的配置和计划,在具体实现时更是要小心谨慎。绝大多数大中型组织都会采用一种专用的VPN解决方案,并有专门经过培训的网络人员负责对之进行管理和维护。
一、Linux下的主要VPN技术
1、 IPSec(Internet Protocol Security)
IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
优点:它定义了一套用于认证、保护私有性和完整性的标准协议。 IPSec支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被修改。IPSec用来在多个防火墙和服务器之间提供安全性。IPSec可确保运行在TCP/IP协议上的VPNs之间的互操作性。
缺点:IPSec在客户机/服务器模式下实现有一些问题,在实际应用中,需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址,因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外,IPSec不支持其他协议。另外配置比较复杂。
Linux实现使用IPSec的软件是:Free S/WAN
图-1 CIPE VPN网络模型
CIPE 是Linux 网络管理员和系统管理员的明智选择,其原因如下:
CIPE软件在Redhat Linux 9.0 - Red Hat Enterprise Linux AS 3.0的安装光盘里都可以找到它。安装CIPE的办法有两种:一是从安装光盘来安装它,二是从CIPE软件的官方主页下载;下面笔者分别介绍。
