VPN的基礎介紹?VPN即虛拟專用網,用于在公用網絡上構建私人專用虛拟網絡,并在此虛拟網絡中傳輸私網流量VPN把現有的物理網絡分解成邏輯上隔離的網絡,在不改變網絡現狀的情況下實現安全、可靠的連接,下面我們就來聊聊關于VPN的基礎介紹?接下來我們就一起去了解一下吧!
VPN即虛拟專用網,用于在公用網絡上構建私人專用虛拟網絡,并在此虛拟網絡中傳輸私網流量。VPN把現有的物理網絡分解成邏輯上隔離的網絡,在不改變網絡現狀的情況下實現安全、可靠的連接。
VPN具有以下兩個基本特征:
在VPN(Virtual Private Network)出現之前,跨越Internet的數據傳輸隻能依靠現有物理網絡,具有很大的不安全因素。
如下圖所示,某企業的總部和分支機構位于不同區域(比如位于不同的國家或城市),當分支機構員工需訪問總部服務器的時候,數據傳輸要經過Internet。由于Internet中存在多種不安全因素,則當分支機構的員工向總部服務器發送訪問請求時,報文容易被網絡中的黑客竊取或篡改。最終造成數據洩密、重要數據被破壞等後果。
圖1 VPN出現前的報文傳輸
為了防止信息洩露,可以在總部和分支機構之間搭建一條物理專網連接,但其費用會非常昂貴,此時可以考慮采用VPN的方案進行解決。
VPN封裝原理VPN的基本原理是利用隧道(Tunnel)技術,對傳輸報文進行封裝,利用VPN骨幹網建立專用數據傳輸通道,實現報文的安全傳輸。
隧道技術使用一種協議封裝另外一種協議報文(通常是IP報文),而封裝後的報文也可以再次被其他封裝協議所封裝。
在上圖中展示的網絡中,如果存在VPN隧道,則數據傳輸如下圖所示。當分支機構員工訪問總部服務器時,報文封裝過程如下:
圖2 經過VPN封裝後的報文傳輸
VPN和傳統的數據專網相比具有如下優勢:
VPN适用于以下基本場景,以及從以下場景中衍生的複雜場景。通過對比各種VPN的特點,可選擇适合的VPN類型。
site-to-site VPN
site-to-site VPN即兩個局域網之間通過VPN隧道建立連接。
如下圖所示,企業的分支和總部分别通過網關1和網關2連接到Internet。出于業務需要,企業分支和總部間經常相互發送内部機密數據。為了保護這些數據在Interner中安全傳輸,在網關1和網關2之間建立VPN隧道。
圖3 site-to-site VPN組網圖
這種場景的特點為:兩端網絡均通過固定的網關連接到Internet,組網相對固定。且訪問是雙向的,即分支和總部都有可能向對端發起訪問。适用于比如連鎖超市、政府機關、銀行等的業務通信。
此場景可以使用以下幾種VPN實現:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。
client-to-site VPN
client-to-site VPN即客戶端與企業内網之間通過VPN隧道建立連接。
如下圖所示,外出差員工(客戶端)跨越Internet訪問企業總部内網,完成向總部傳送數據、訪問内部服務器等需求。為确保數據安全傳輸,可在客戶端和企業網關之間建立VPN隧道。
圖4 client-to-site VPN組網圖
這種場景的特點為:客戶端的地址不固定。且訪問是單向的,即隻有客戶端向内網服務器發起訪問。适用于企業出差員工或臨時辦事處員工通過手機、電腦等接入總部遠程辦公。
此場景可以使用以下幾種VPN實現:SSL、IPSec(IKEv2)、L2TP、L2TP over IPSec。
BGP/MPLS IP VPN
BGP/MPLS IP VPN主要用于解決跨域企業互連等問題。當前企業越來越區域化和國際化,同一企業的不同區域員工之間需要通過服務提供商網絡來進行互訪。服務提供商網絡往往比較龐大和複雜,為嚴格控制用戶的訪問,确保數據安全傳輸,需在骨幹網上配置BGP/MPLS IP VPN功能,實現不同區域用戶之間的訪問需求。
BGP/MPLS IP VPN為全網狀VPN,即每個PE和其他PE之間均建立BGP/MPLS IP VPN連接。服務提供商骨幹網的所有PE設備都必須支持BGP/MPLS IP VPN功能。
圖5 BGP/MPLS IP VPN組網圖
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!