tft每日頭條

 > 圖文

 > VPN的基礎介紹

VPN的基礎介紹

圖文 更新时间:2024-12-26 01:00:02

VPN的基礎介紹?VPN即虛拟專用網,用于在公用網絡上構建私人專用虛拟網絡,并在此虛拟網絡中傳輸私網流量VPN把現有的物理網絡分解成邏輯上隔離的網絡,在不改變網絡現狀的情況下實現安全、可靠的連接,下面我們就來聊聊關于VPN的基礎介紹?接下來我們就一起去了解一下吧!

VPN的基礎介紹(VPN的基礎介紹)1

VPN的基礎介紹

VPN即虛拟專用網,用于在公用網絡上構建私人專用虛拟網絡,并在此虛拟網絡中傳輸私網流量。VPN把現有的物理網絡分解成邏輯上隔離的網絡,在不改變網絡現狀的情況下實現安全、可靠的連接。

VPN具有以下兩個基本特征:

  • 專用網絡:對于VPN用戶,使用VPN與使用傳統專網沒有區别。VPN與底層承載網絡之間保持資源獨立,即VPN資源不被網絡中非該VPN的用戶所使用,且VPN能夠提供足夠的安全保證,确保VPN内部信息不受外部侵擾。

  • 虛拟 :用戶不再需要擁有實際的專用長途數據線路,而是利用Internet的長途數據線路建立自己的私有網絡。VPN用戶内部的通信是通過公共網絡進行的,而這個公共網絡同時也可以被其他非VPN用戶使用,VPN用戶獲得的隻是一個邏輯意義上的專網。

    VPN常見技術
  • 隧道技術:隧道兩端封裝、解封裝,用以建立數據通道

  • 身份認證:保證接入VPN的操作人員的合法性、有效性

  • 數據認證:數據在網絡傳輸過程中不被非法篡改

  • 加解密技術:保證數據在網絡中傳輸時不被非法獲取

  • 密鑰管理技術:在不安全的網絡中安全地傳遞密鑰

    VPN的産生背景

    在VPN(Virtual Private Network)出現之前,跨越Internet的數據傳輸隻能依靠現有物理網絡,具有很大的不安全因素。

    如下圖所示,某企業的總部和分支機構位于不同區域(比如位于不同的國家或城市),當分支機構員工需訪問總部服務器的時候,數據傳輸要經過Internet。由于Internet中存在多種不安全因素,則當分支機構的員工向總部服務器發送訪問請求時,報文容易被網絡中的黑客竊取或篡改。最終造成數據洩密、重要數據被破壞等後果。

    圖1 VPN出現前的報文傳輸

    為了防止信息洩露,可以在總部和分支機構之間搭建一條物理專網連接,但其費用會非常昂貴,此時可以考慮采用VPN的方案進行解決。

    VPN封裝原理

    VPN的基本原理是利用隧道(Tunnel)技術,對傳輸報文進行封裝,利用VPN骨幹網建立專用數據傳輸通道,實現報文的安全傳輸。

    隧道技術使用一種協議封裝另外一種協議報文(通常是IP報文),而封裝後的報文也可以再次被其他封裝協議所封裝。

    在上圖中展示的網絡中,如果存在VPN隧道,則數據傳輸如下圖所示。當分支機構員工訪問總部服務器時,報文封裝過程如下:

    圖2 經過VPN封裝後的報文傳輸

    1. 報文發送到網關1時,網關1識别出該用戶為VPN用戶後,發起與總部網關即網關2的隧道連接,從而網關1和網關2之間建立VPN隧道。

    2. 網關1将數據封裝在VPN隧道中,發送給網關2。

    3. 網關2收到報文後進行解封裝,并将原始數據發送給最終接收者,即服務器。

    4. 反向的處理也一樣。VPN網關在封裝時可以對報文進行加密處理,使Internet上的非法用戶無法讀取報文内容,因而通信是安全可靠的。

    VPN的優勢

    VPN和傳統的數據專網相比具有如下優勢:

  • 安全:在遠端用戶、駐外機構、合作夥伴、供應商與公司總部之間建立可靠的連接,保證數據傳輸的安全性。

  • 廉價:利用公共網絡進行信息通訊,企業可以用更低的成本連接遠程辦事機構、出差人員和業務夥伴。

  • 支持移動業務:支持駐外VPN用戶在任何時間、任何地點的移動接入,能夠滿足不斷增長的移動業務需求。

  • 可擴展性:由于VPN為邏輯上的網絡,物理網絡中增加或修改節點,不影響VPN的部署。

    VPN的應用場景及選擇

    VPN适用于以下基本場景,以及從以下場景中衍生的複雜場景。通過對比各種VPN的特點,可選擇适合的VPN類型。

    site-to-site VPN

    site-to-site VPN即兩個局域網之間通過VPN隧道建立連接。

    如下圖所示,企業的分支和總部分别通過網關1和網關2連接到Internet。出于業務需要,企業分支和總部間經常相互發送内部機密數據。為了保護這些數據在Interner中安全傳輸,在網關1和網關2之間建立VPN隧道。

    圖3 site-to-site VPN組網圖

    這種場景的特點為:兩端網絡均通過固定的網關連接到Internet,組網相對固定。且訪問是雙向的,即分支和總部都有可能向對端發起訪問。适用于比如連鎖超市、政府機關、銀行等的業務通信。

    此場景可以使用以下幾種VPN實現:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。

  • 兩端相互訪問較頻繁,傳輸的數據為機密數據,且任何用戶都能訪問對端内網,無需認證時,可采用IPSec方式。

  • 隻有一端訪問另一端,且訪問的用戶必須通過用戶認證時,可采用L2TP方式。

  • 如果隻有一端訪問另一端,傳輸數據為機密數據,且訪問的用戶必須通過用戶認證,可采用L2TP over IPSec方式,安全性更高。

  • GRE over IPSec隧道和IPSec over GRE隧道都可以用來安全的傳輸數據,兩者的區别在于對數據的封裝順序不同。GRE over IPSec在報文封裝時,是先GRE封裝然後再IPSec封裝;IPSec over GRE在報文封裝時,是先IPSec封裝再GRE封裝。由于IPSec無法封裝組播報文,因此IPSec over GRE隧道也無法傳輸組播數據。如果隧道兩端要傳輸組播數據時,就要采用GRE over IPSec方式。

    client-to-site VPN

    client-to-site VPN即客戶端與企業内網之間通過VPN隧道建立連接。

    如下圖所示,外出差員工(客戶端)跨越Internet訪問企業總部内網,完成向總部傳送數據、訪問内部服務器等需求。為确保數據安全傳輸,可在客戶端和企業網關之間建立VPN隧道。

    圖4 client-to-site VPN組網圖

    這種場景的特點為:客戶端的地址不固定。且訪問是單向的,即隻有客戶端向内網服務器發起訪問。适用于企業出差員工或臨時辦事處員工通過手機、電腦等接入總部遠程辦公。

    此場景可以使用以下幾種VPN實現:SSL、IPSec(IKEv2)、L2TP、L2TP over IPSec。

  • 如果對客戶端沒有要求,但是待訪問的服務器要針對不同類型用戶開放不同的服務、制定不同的策略等,可采取SSL方式。

  • 出差員工或臨時辦事處員工,如果需要頻繁訪問某幾個固定的總部服務器,且服務器功能對全部用戶都開放的情況下,可采取L2TP over IPSec方式。

    BGP/MPLS IP VPN

    BGP/MPLS IP VPN主要用于解決跨域企業互連等問題。當前企業越來越區域化和國際化,同一企業的不同區域員工之間需要通過服務提供商網絡來進行互訪。服務提供商網絡往往比較龐大和複雜,為嚴格控制用戶的訪問,确保數據安全傳輸,需在骨幹網上配置BGP/MPLS IP VPN功能,實現不同區域用戶之間的訪問需求。

    BGP/MPLS IP VPN為全網狀VPN,即每個PE和其他PE之間均建立BGP/MPLS IP VPN連接。服務提供商骨幹網的所有PE設備都必須支持BGP/MPLS IP VPN功能。

    圖5 BGP/MPLS IP VPN組網圖

    更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

    查看全部
  • 相关圖文资讯推荐

    热门圖文资讯推荐

    网友关注

    Copyright 2023-2024 - www.tftnews.com All Rights Reserved