VPN

计算机网络
字数统计: 1.7k   |   阅读时长≈ 5 分钟

虚拟专用网 VPN

VPN 技术还是企业比较常用的通信技术,如果一个企业的分公司和总部的互访,或者出差员工需要访问总部的网络,都会使用 VPN 技术。

在没有 VPN 之前,企业的总部和分部之间的互通都是采用运营商的 Internet 进行通信,那么 Internet 中往往是不安全的,通信的内容可能被窃取、修改等,从而造成安全事件。

那么有没有一种技术既能实现总部和分部间的互通,也能够保证数据传输的安全性呢?

当然有,那就是 VPN。VPN 通过在现有的 Internet 网中构建专用的虚拟网络,实现企业总部和分部的通信,解决了互通、安全、成本的问题。

什么是 VPN

VPN(Virtual Private Network)即虚拟专用网,指通过 VPN 技术在公有网络中构建专用的虚拟网络。

  • 专用:VPN 虚拟网络是专门为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
  • 虚拟:相对于公有网络而言,VPN网络是虚拟的,是逻辑意义上的一个专网。

RFC 指明了一些专用地址。专用地址只能用作本地地址而不能用作全球地址。在互联网中的所有路由器,对目的地址是专用地址的数据报一律不进行转发。

采用这样的专用 IP 地址的互连网络称为专用互联网或就叫做专用网。

如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。

VPN技术优势

  • 安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
  • 成本低:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
  • 支持移动业务:支持出差 VPN 用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
  • 可扩展性:由于 VPN 为逻辑上的网络,物理网络中增加或修改节点,不影响 VPN 的部署。

内联网和外联网

它们都是基于 TCP/IP 协议的。

由部门 A 和 B 的内部网络所构成的虚拟专用网 VPN 又称为内联网(intranet),表示部门 A 和 B 都是在同一个机构的内部。一个机构和某些外部机构共同建立的虚拟专用网 VPN 又称为外联网(extranet)。

远程接入 VPN 可以满足外部流动员工访问公司网络的需求。

在外地工作的员工拨号接入互联网,而驻留在员工 PC 机中的 VPN 软件可在员工的 PC 机和公司的主机之间建立 VPN 隧道,因而外地员工与公司通信的内容是保密的,员工们感到好像就是使用公司内部的本地网络。

VPN分类

根据 VPN 建设单位不同进行划分

1. 租用运营商VPN专线搭建企业网络

运营商的专线网络大多数都是使用的MPLS VPN。

企业通过购买运营商提供的 VPN 专线服务实现总部和分部间的通信需求。VPN网关为运营商所有。

2. 企业自建VPN网络

企业自己基于 Internet 自建 VPN 网络,常见的如 IPsec VPN、GRE VPN、L2TP VPN。

根据组网方式进行划分

  1. 远程访问VPN
    这种方式适用于出差员工拨号接入 VPN 的方式,员工可以在只要有 Internet 的地方都可以通过 VPN 接入访问内网资源。
    最常见的就是SSL VPN、L2TP VPN。
  2. 站点到站点的VPN
    这种方式适用于企业两个局域网互通的情况。例如企业的分部访问总部。最常见的就是 MPLS VPN、IPSEC VPN。

根据工作网络层次进行划分

VPN可以按照工作层次进行划分:

  • 应用层:SSL VPN
  • 网络层:IPSEC VPN 、GRE VPN
  • 数据链路层:L2TP VPN、PPTP VPN

VPN关键技术

隧道技术

VPN技术的基本原理其实就是用的隧道技术,就类似于火车的轨道、地铁的轨道一样,从 A 站点到 B 站点都是直通的,不会堵车。对于乘客而言,就是专车。

隧道技术其实就是对传输的报文进行封装,利用公网的建立专用的数据传输通道,从而完成数据的安全可靠性传输。

可以看到原始报文在隧道的一端进行封装,封装后的数据在公网上传输,在隧道另一端进行解封装,从而实现了数据的安全传输。

隧道通过隧道协议实现。如GRE(Generic Routing Encapsulation)、L2TP(Layer 2 Tunneling Protocol)等。

隧道协议通过在隧道的一端给数据加上隧道协议头,即进行封装,使这些被封装的数据能都在某网络中传输,并且在隧道的另一端去掉该数据携带的隧道协议头,即进行解封装。

身份认证、数据加密、数据验证

身份认证、数据加密、数据验证可以有效保证 VPN 网络和数据的安全性。

  • 身份认证:VPN网关对接入VPN的用户进行身份认证,保证接入的用户都是合法用户。
  • 数据加密:将明文通过加密技术成密文,哪怕信息被获取了,也无法识别。
  • 数据验证:通过数据验证技术验证报文的完整性和真伪进行检查,防止数据被篡改。
VPN 用户身份认证 数据加密和验证 备注
GRE 不支持 支持简单的关键字验证、校验和验证 可结合 IPSec 使用
L2TP 支持基于 PPP 的CHAP、PAP、EAP 认证 不支持 可结合 IPSec 使用
IPSec 支持 支持 支持预共享密钥验证或证书验证;支持 IKEv2 的 EAP 认证
SSL 支持 支持 支持用户名/密码或证书认证
MPLS 不支持 不支持 一般运行在专用的 VPN 骨干网络
打赏
  • Copyrights © 2017-2023 WSQ
  • 访问人数: | 浏览次数:

请我喝杯咖啡吧~

支付宝
微信