您当前的位置:首页 > 电脑百科 > 网络技术 > 网络知识

VPN的基础介绍

时间:2022-09-19 14:37:13  来源:今日头条  作者:阿豪的笔记

VPN即虚拟专用网,用于在公用网络上构建私人专用虚拟网络,并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络,在不改变网络现状的情况下实现安全、可靠的连接。

VPN具有以下两个基本特征:

 

  • 专用网络:对于VPN用户,使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立,即VPN资源不被网络中非该VPN的用户所使用,且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
  • 虚拟 :用户不再需要拥有实际的专用长途数据线路,而是利用Inte.NET的长途数据线路建立自己的私有网络。VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。
VPN常见技术
  • 隧道技术:隧道两端封装、解封装,用以建立数据通道
  • 身份认证:保证接入VPN的操作人员的合法性、有效性
  • 数据认证:数据在网络传输过程中不被非法篡改
  • 加解密技术:保证数据在网络中传输时不被非法获取
  • 密钥管理技术:在不安全的网络中安全地传递密钥
VPN的产生背景

 

在VPN(Virtual Private Network)出现之前,跨越Internet的数据传输只能依靠现有物理网络,具有很大的不安全因素。

如下图所示,某企业的总部和分支机构位于不同区域(比如位于不同的国家或城市),当分支机构员工需访问总部服务器的时候,数据传输要经过Internet。由于Internet中存在多种不安全因素,则当分支机构的员工向总部服务器发送访问请求时,报文容易被网络中的黑客窃取或篡改。最终造成数据泄密、重要数据被破坏等后果。

图1 VPN出现前的报文传输

为了防止信息泄露,可以在总部和分支机构之间搭建一条物理专网连接,但其费用会非常昂贵,此时可以考虑采用VPN的方案进行解决。

VPN封装原理

VPN的基本原理是利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。

隧道技术使用一种协议封装另外一种协议报文(通常是IP报文),而封装后的报文也可以再次被其他封装协议所封装。

在上图中展示的网络中,如果存在VPN隧道,则数据传输如下图所示。当分支机构员工访问总部服务器时,报文封装过程如下:

图2 经过VPN封装后的报文传输

 

  1. 报文发送到网关1时,网关1识别出该用户为VPN用户后,发起与总部网关即网关2的隧道连接,从而网关1和网关2之间建立VPN隧道。
  2. 网关1将数据封装在VPN隧道中,发送给网关2。
  3. 网关2收到报文后进行解封装,并将原始数据发送给最终接收者,即服务器。
  4. 反向的处理也一样。VPN网关在封装时可以对报文进行加密处理,使Internet上的非法用户无法读取报文内容,因而通信是安全可靠的。
VPN的优势

 

VPN和传统的数据专网相比具有如下优势:

 

  • 安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。
  • 廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
  • 支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
  • 可扩展性:由于VPN为逻辑上的网络,物理网络中增加或修改节点,不影响VPN的部署。
VPN的应用场景及选择

 

VPN适用于以下基本场景,以及从以下场景中衍生的复杂场景。通过对比各种VPN的特点,可选择适合的VPN类型。

site-to-site VPN

site-to-site VPN即两个局域网之间通过VPN隧道建立连接。

如下图所示,企业的分支和总部分别通过网关1和网关2连接到Internet。出于业务需要,企业分支和总部间经常相互发送内部机密数据。为了保护这些数据在Interner中安全传输,在网关1和网关2之间建立VPN隧道。

图3 site-to-site VPN组网图

这种场景的特点为:两端网络均通过固定的网关连接到Internet,组网相对固定。且访问是双向的,即分支和总部都有可能向对端发起访问。适用于比如连锁超市、政府机关、银行等的业务通信。

此场景可以使用以下几种VPN实现:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。

 

  • 两端相互访问较频繁,传输的数据为机密数据,且任何用户都能访问对端内网,无需认证时,可采用IPSec方式。
  • 只有一端访问另一端,且访问的用户必须通过用户认证时,可采用L2TP方式。
  • 如果只有一端访问另一端,传输数据为机密数据,且访问的用户必须通过用户认证,可采用L2TP over IPSec方式,安全性更高。
  • GRE over IPSec隧道和IPSec over GRE隧道都可以用来安全的传输数据,两者的区别在于对数据的封装顺序不同。GRE over IPSec在报文封装时,是先GRE封装然后再IPSec封装;IPSec over GRE在报文封装时,是先IPSec封装再GRE封装。
    由于IPSec无法封装组播报文,因此IPSec over GRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时,就要采用GRE over IPSec方式。

 

client-to-site VPN

client-to-site VPN即客户端与企业内网之间通过VPN隧道建立连接。

如下图所示,外出差员工(客户端)跨越Internet访问企业总部内网,完成向总部传送数据、访问内部服务器等需求。为确保数据安全传输,可在客户端和企业网关之间建立VPN隧道。

图4 client-to-site VPN组网图

这种场景的特点为:客户端的地址不固定。且访问是单向的,即只有客户端向内网服务器发起访问。适用于企业出差员工或临时办事处员工通过手机、电脑等接入总部远程办公。

此场景可以使用以下几种VPN实现:SSL、IPSec(IKEv2)、L2TP、L2TP over IPSec。

 

  • 如果对客户端没有要求,但是待访问的服务器要针对不同类型用户开放不同的服务、制定不同的策略等,可采取SSL方式。
  • 出差员工或临时办事处员工,如果需要频繁访问某几个固定的总部服务器,且服务器功能对全部用户都开放的情况下,可采取L2TP over IPSec方式。

 

BGP/MPLS IP VPN

BGP/MPLS IP VPN主要用于解决跨域企业互连等问题。当前企业越来越区域化和国际化,同一企业的不同区域员工之间需要通过服务提供商网络来进行互访。服务提供商网络往往比较庞大和复杂,为严格控制用户的访问,确保数据安全传输,需在骨干网上配置BGP/MPLS IP VPN功能,实现不同区域用户之间的访问需求。

BGP/MPLS IP VPN为全网状VPN,即每个PE和其他PE之间均建立BGP/MPLS IP VPN连接。服务提供商骨干网的所有PE设备都必须支持BGP/MPLS IP VPN功能。

图5 BGP/MPLS IP VPN组网图



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
VPN即虚拟专用网,用于在公用网络上构建私人专用虚拟网络,并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络,在不改变网络现状的情况下实现安全、可靠...【详细内容】
2022-09-19  Tags: VPN  点击:(0)  评论:(0)  加入收藏
之前聊过暴露服务器到外网,比如有公网IP通过NAT或DMZ方式暴露机器到公网,那还多余搭建VPN干啥, 从某些角度看确实有相同的地方,比如都可以从外网访问到内网机器,但是VPN更像...【详细内容】
2022-09-15  Tags: VPN  点击:(46)  评论:(0)  加入收藏
简介OpenVPN 是一个功能齐全的 SSL VPN,它使用行业标准 SSL/TLS 协议实现 OSI 第 2 层或第 3 层安全网络扩展,支持基于证书、智能卡和/或用户名/密码凭据的灵活客户端身份验...【详细内容】
2022-09-05  Tags: VPN  点击:(70)  评论:(0)  加入收藏
GRE三层封装技术 GRE封装 GRE IP协议号是47 IP Header TCP Header GRE 建立过程 FW GRE VPN配置 隧道keepalive检测机制...【详细内容】
2022-08-09  Tags: VPN  点击:(84)  评论:(0)  加入收藏
vpn是指虚拟专用网络,vpn大致分为两种类型,分别是: Internet VPN,表示使用互联网线路的VPN; 2、IP-VPN,指在每个电信运营商独立构建和操作的封闭网络中使用的VPN。VPN是虚拟专用...【详细内容】
2022-07-16  Tags: VPN  点击:(269)  评论:(0)  加入收藏
好久没有写了,前段时间都一直在施工,没能顾得上写日记了。昨天刚刚结束了在外施工的项目,昨天客户的分公司新购买的防火墙、核心交换机到了,需要配置,让分公司的网络能上网,且能与...【详细内容】
2022-07-12  Tags: VPN  点击:(105)  评论:(0)  加入收藏
背景:网络穿透互联是方便我们技术人员的一种工具,通过各种协议实现您想要的网络互联。家庭组网可以参照低成本电信家庭宽带架构网络拓扑今天,我们需要在这个基础上扩展网络应...【详细内容】
2022-06-27  Tags: VPN  点击:(426)  评论:(0)  加入收藏
概述组网拓扑、限定条件和访问需求如下图所示,如何解决访问需求呢?本期文章就Windows Server 2016部署VPN服务和NAT服务的方案向各位小伙伴实战演练、总结分享。 实战模拟组网...【详细内容】
2022-06-21  Tags: VPN  点击:(317)  评论:(0)  加入收藏
VPN是什么? 虚拟与显示的交叉点 虚拟专用网络(VPN)数据传输VPN可以有效的隐藏用户隐私现在各大平台相继出来的IP地址显示 微信公众号也不例外 现在显示的是省份。代理服务器ip...【详细内容】
2022-06-16  Tags: VPN  点击:(89)  评论:(0)  加入收藏
据telecompaper网6月15日报道,印度新的数据收集政策促使另一家VPN提供商NordVPN从该国移除其服务器。图片来自:telecompaperNordVPN今天表示将在6月26日正式关闭其在印度的物...【详细内容】
2022-06-15  Tags: VPN  点击:(115)  评论:(0)  加入收藏
▌简易百科推荐
大家好,我是小林。之前有读者在字节面试的时候,被问到:TCP 和 UDP 可以同时监听相同的端口吗? 关于端口的知识点,还是挺多可以讲的,比如还可以牵扯到这几个问题: 多个 TCP 服务进...【详细内容】
2022-09-24  小林coding    Tags:端口   点击:(1)  评论:(0)  加入收藏
文章主要脉络如下。 我们之前的文章中了解过 TCP/IP 协议,我那时候码了一句 原文链接见如下:TCP/IP 基础知识总结下面我们就来真正认识一下 ICMP 协议什么是 ICMPICMP 的全...【详细内容】
2022-09-23  cxuan  今日头条  Tags:ICMP   点击:(17)  评论:(0)  加入收藏
STP协议虽然能够解决环路问题,但是收敛速度慢,影响了用户通信质量。IEEE于2001年发布的802.1w标准定义了快速生成树协议RSTP(Rapid Spanning-Tree Protocol),RSTP在STP基础上进行...【详细内容】
2022-09-21  阿豪的笔记  今日头条  Tags:   点击:(32)  评论:(0)  加入收藏
以下文章来源于网络工程师笔记 ,作者网工阿成网络工程师笔记.【网络工程师笔记】致力于分享关于计算机网络与通信相关技术,包括计算机网络基础,路由交换、VPN、安全、Linux、云...【详细内容】
2022-09-20  微笑橙子mR  今日头条  Tags:数据报文   点击:(11)  评论:(0)  加入收藏
VPN即虚拟专用网,用于在公用网络上构建私人专用虚拟网络,并在此虚拟网络中传输私网流量。VPN把现有的物理网络分解成逻辑上隔离的网络,在不改变网络现状的情况下实现安全、可靠...【详细内容】
2022-09-19  阿豪的笔记  今日头条  Tags:VPN   点击:(0)  评论:(0)  加入收藏
以太网技术目前在全球互联的因特网中始终占据主导地位,但在高带宽、低延时的专有网络中却透露出许多弊端。随着网络融合概念的兴起,在IETF发布了的DCB(Data Center Bridging)...【详细内容】
2022-09-19  光头两毛五  今日头条  Tags:RoCE   点击:(22)  评论:(0)  加入收藏
试想一个问题,我们人类可以有多少种识别自己的方式?可以通过身份证来识别,可以通过社保卡号来识别,也可以通过驾驶证来识别,尽管有多种识别方式,但在特定的环境下,某种识别方法会比...【详细内容】
2022-09-14  互联共商    Tags:DNS   点击:(59)  评论:(0)  加入收藏
应网友要求我特意整理了内网和外网的一些区别,希望对各位有所帮助:1. 内网相对于外网而言,主要指在小范围内的计算机互联网络。这个 “小范围” 可以是一个家庭,一个公司或一个...【详细内容】
2022-09-14  科技资料库    Tags:内网   点击:(20)  评论:(0)  加入收藏
随着 5G 手机的普及,相信大多数消费者已经感受到高速率、低时延的移动网络连接是怎样的体验,简单来说,就是“用了就回不去了”,不过,5G 的使用场景通常是在室外,在家里有 Wi-Fi 的...【详细内容】
2022-09-14    IT之家   Tags:Wi-Fi 6   点击:(15)  评论:(0)  加入收藏
如果你厌倦了那些老古董的DNS服务,那么可以试试Coredns, 因为Caddy出色的插件设计, 所以Coredns的骨架基于caddy构建, 也就继承了良好的扩展性, 又因为Go语言是一门开发效率...【详细内容】
2022-09-13  邓big胖  今日头条  Tags:CoreDNS   点击:(28)  评论:(0)  加入收藏
站内最新
站内热门
站内头条