网络加速的秘密——VPN概念与安全

隧道技术：VPN的新用途

自从“网络加速器”浮出水面后，越来越多网民参与试用，并好奇它是怎么实现的技术，因为我们在前面提到的原因，各个接入商的互联网关带宽是不可能主 动改变也不可能由第三方厂商参与改变，那么这些“网络加速”又是利用了什么技术呢？其实，这些厂商使用的是一种原本被广泛用于企业网络的网络服务—— VPN。

对于有一定规模的企业用户来说，VPN并不陌生，VPN全称Virtual Private Network（虚拟专用网络），由于它最初设计目的是用于企业内部网络与外部网络的临时安全网络连接，因此它又被称为“虚拟出来的企业内部专线 ”，VPN的官方定义为：通过一个公用网络（例如Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用 网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专 用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的 安全外联网虚拟专用网。

VPN的意义在于它不需要架设专门的线缆便能实现企业内部网络与公共网络互访的需求，而且当某一方不再需要网络通讯时，这条线路可被安全的断开而不 涉及任何物理上的操作，因为它本质上是“虚拟的连接”。针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），通常被应用最广泛的是“远程访问虚拟网”。

VPN的物理实现形式与网关服务器类似，提供VPN服务的一方必须架设至少一台双网卡服务器，被称为“VPN网关”，通常这个服务器由企业内部搭 建，它的一端连接企业内部的局域网络，另一端则接入公共网络，搭建过Windows软路由的用户们一定不会对这样的服务器感到陌生，因为VPN网关并不需 要什么特殊的网络架构，只是将软路由服务换成VPN接入服务罢了。在市场需求下，目前已经出现了专门用于VPN接入的硬件设备，其内部固化了专用于VPN 实现的程序，更是大大简化了这个过程。

当一个位于公共网络线路上的企业职员需要访问企业内部网时，他需要设置一个用于VPN的虚拟拨号连接，对应的IP地址和帐号密码均由企业内架设的 VPN网关提供，在职员这边看来，他所需的操作过程与平时家庭用户ADSL宽带拨号上网没什么两样，当通讯链路成功建立后，这台计算机就被视为企业内局域 网中的一台内部计算机，进行方便快捷的资源共享与数据交换，而不再需要企业网管专门架设FTP等文件服务器，同时，如果该职员工作完毕，他只需简单的断开 这个连接就不再与企业内部网有任何关系，而且企业内部的管理员也可以随时断开该职员访问内部网络的权利。在众多安全高效方便的理由下，VPN技术得到了大 力推广。

VPN的价值还在于它的传输并非明文，而是加密过的数据，克服了公共网络缺乏保密性的弱点，VPN接受多种数据加密协议，默认是采取“点对点加密协议 ”（Microsoft Point-to-Point Encryption，MPPE）进行管理的，网络管理员可经过配置将其改为使用“Internet安全协议”（Internet Protocol Security，IPSec）进行加密，这些相对高强度的加密手段杜绝了入侵者从网络上侦听入侵篡改数据的可能。

现在回到“网络加速器”这个话题上，有人也许会问，VPN是用于企业内外互通的技术，它与网通电信有什么联系？其实，就如核技术最初被设计于原子弹而现在用于发电站一样，许多技术是可以跨域使用的，VPN也是其中一种。

不过，要问到第三方厂商为何能将VPN技术运用在这方面，还得从近年来被市场形势催生的一种用于机房的搭建技术说起，因为各个运营商之间的网关接口 是固定的线路固定的带宽，造成了网通电信互访速率过慢问题，一些提供服务器网络接入点——即“机房”的企业想出了一条妙计：他们搭建了一个同时提供两大运 营商网络线路接口的服务器机房，再将服务器群集建设于机房路由器上，而这些路由器自身通过BGP协议（Border Gateway Protocol，边界网关协议）分配数据报走向，服务器就放置于这个交换层上面，这样一来，无论是电信还是网通的用户，他们的数据都能以最佳的线路返 回，访问速率自然就变快了。当然，这是相对高级的双线机房才能拥有的条件，因为这个技术实现的代价较为昂贵，目前一部分“双线机房”都是意义上的“假双线 ”，他们的服务器是分别连接于两条运营商线路上的，用户需要同时购买两个空间并同时进行维护；目前最高效的真正双线访问技术是“双线接入”，也称“全网路 由”，它是从国家核心网络接点里直接引用一条主干线路，这样的线路自然不存在电信网通的互访瓶颈，当然也不是一般人能随便用的，通常此类线路用于较大的政 府网站。

而“网络加速”的秘密，就是这些“双线机房”的蓬勃发展的基础上逐步诞生的，“网络加速器”厂商先投入相当的成本搭建多个高带宽的双线机房，在这些 机房的两大线路中架设多个VPN服务器，这些VPN服务器的数据口与专门设置的路由交换连接，并将拨号端口平均分配在双方线路上，然后为其编写“网络加速 器客户端”，也就是广大用户能下载到的那个小程序，它的实际作用是对用户帐号加以验证判断线路类型，然后调用拨号连接步骤去拨程序内指定的VPN服务器， 从而让用户计算机也被虚拟成一台放置于双线机房内的客户机。换句话说，如果没有厂商前期的线路铺设伏笔，光靠那么一个小程序自身是没有任何用处的。

不知道第一个萌生此念头并加以实验的技术厂商是谁，但是毫无疑问，他们的创意成功了，VPN技术从此走下了企业的神坛，变成了大部分普通网民几乎都能天天接触的大白菜——当然，并非所有人都知道这是VPN实现的效果，产品是需要一定包装的。

在敬佩国人伟大创意的同时，我们将它们的包装拆开，探究其实现过程，首先是客户端，一般这些加速器产品的客户端不会太大，通常从几百KB到十MB不 等，体积与它的广告、框架、界面、内置的服务器地址等有关，客户端的主要功能是代替用户拨号至VPN服务器，并为了这个目的而加入多种辅助措施，如判断帐 号级别、用户IP属于哪个运营商、用户自由选择“可用加速点”（其实就是VPN服务器地址）等，针对“游戏加速”的还要在各个游戏服务器区里再次细分，这 是因为他们与游戏运营商合作共赢，在网游机房里搭建了VPN服务器的缘故。在多个条件搭配下，用户点击客户端上的“加速”按钮，程序就选择一个适用于当前 用户线路与用户意图的VPN服务器IP建立临时的虚拟线路，这样一来，用户绕过了电信网通的瓶颈，自然就“快”了。

真正考验厂商技术和实力的地方实际上是架设于双线机房里的VPN服务器，要保证用户访问速率不受影响，前提是这个VPN服务器所在的机房带宽足够， 其次是机房里的转换路由配置合理，最后是直接承担用户访问压力的VPN服务器自身响应速度，只有当“三个基本”都最佳化的时候，“网络加速”才能发挥它的 真正意义，在一些早期产品里，使用者一旦增多，它的加速功能就变得十分不明显，这就是因为带宽和服务器自身性能导致的又一个瓶颈了，现在许多应用都直接使 用VPN硬件产品实现，从而获得了相对高效的性能。

VPN是怎么从企业产品被提升到广泛使用方面的呢？这是由“远程访问虚拟网”（Access VPN）自身的特性决定的，它本身以企业内网与外部连接的网关形式存在，从一开始就注定了它的用途可以不仅为企业独用，只要是用于在两个网络之间实现临时 通讯链路的需求，都能用VPN实现，“网络加速”就是巧妙的运用了这个概念，厂商将原本配置于双线机房里的服务器移形换位为VPN服务器，并将机房变成一 个相对透明的网络中转站，如此一来，网通线路和电信线路分别位于VPN服务器的两端，被视为简单的两个网段关系，而它们中间的逻辑接口，就是VPN服务器 自身——对于电信访问网通加速的VPN服务器，它将电信网络视为“外网”，其拨号端口设置于电信线路上，出口则汇入机房里的网通线路，形成网通的一个IP 接点，当一个位于电信网络的用户与该VPN服务器建立连接后，这台电信线路上的计算机就被认为是通过VPN访问内网的一个客户端点，VPN服务器为它分配 了一个内部局域网IP，再通过机房路由器的网段转换，来自电信端点的访问就绕过了那“官方指定”的网桥转换点，直接从私人搭设的大路通过了，如此一来，电 信用户访问网通用户的速率当然就提高了；对网通用户，VPN服务器的拨号端口则位于网通线路上，出口则汇入电信线路，实现原理是一样的。

如果觉得以上说法过于抽象和逻辑化，那么我们也可以将VPN放回企业内部讲解，假设一个企业拥有两条网络线路，并为两条线路都架设了VPN服务器， 当前有两个员工正在外地出差，他们使用的网络分别是电信和网通，这两个员工之间偶尔需要互相交换文件资料报表等，因此他们经常苦恼于缓慢不堪的网速却毫无 办法。某天，两个员工接到企业通知，要他们分别利用各自线路的VPN拨号回公司开个群体会议并上传工作报表，于是他们使用VPN一起接入了企业内部网络， 在网络会议的过程中，位于电信线路上的职员需要发送一份文件至网通线路的员工那里，于是他使用QQ发出了文件传输请求，然而，双方都意外的发现，此次文件 传输速度居然如此之快，在试验几次后，职员得出了一个结论：由于企业内双线网络与VPN的存在，此次文件传输自动选择了效率最高的线路，即电信线路——电 信线路VPN服务器——企业内网——网通VPN服务器——网通线路，从而绕过了电信网通之间的瓶颈。

在用于“网络加速”的双线机房里，VPN应用也是类似这样的一个模型，只不过，这个模型中的“企业内网”被简化为路由器内部的地址转换，这样一来， 接入VPN服务器上的内网IP就被视作将要进行网段转换的网络服务请求直接通过路由器派发出去了，在用户方面，他们并不需要知道这一系列工作，也不知道自 己计算机已经被分配了一个内网IP，并和其他网络加速器用户组成了一个虚拟局域网。

上一页  [1] [2] [3] 下一页