什麼是VPN
1、VPN技術出現背景
一個技術的出現都是由於某種需求觸發的。那麼為什麼會出現VPN技術呢?VPN技術解決了什麼問題呢?
在沒有VPN之前,企業的總部和分部之間的互通都是採用運營商的internet進行通訊,那麼Internet中往往是不安全的,通訊的內容可能被竊取、修改等,從而造成安全事件。
那麼有沒有一種技術既能實現總部和分部間的互通,也能夠保證資料傳輸的安全性呢?
答案是當然有。
一開始大家想到的是專線,在總部和分部拉條專線,只傳輸自己的業務,但是這個專線的費用確不是一般公司能夠承受的。而且維護也很困難。
那麼有沒有成本也比較低的方案呢?
有,那就是VPN。VPN透過在現有的Internet網中構建專用的虛擬網路,實現企業總部和分部的通訊,解決了互通、安全、成本的問題;
2、什麼是VPN技術
那麼什麼是VPN技術嗎?
VPN即虛擬專用網,指透過VPN技術在公有網路中構建專用的虛擬網路;
使用者在此虛擬網路中傳輸流量,從而在Internet網路中實現安全、可靠的連線。
(1)專用:
VPN虛擬網路是專門給VPN使用者使用的網路,對於使用者而言,使用VPN和Internet,使用者是不感知的,是由VPN虛擬網路提供安全保證。
(2)虛擬:
相對於公有網路而言,VPN網路是虛擬的,是邏輯意義上的一個專網。
網工進階之路計算機網路安全2篇原創內容
公眾號
3、VPN技術優勢
VPN和傳統的公網Internet相比具有如下優勢:
- 安全:在遠端使用者、駐外機構、合作伙伴、供應商與公司總部之間建立可靠的連線,保證資料傳輸的安全性。這對於實現電子商務或金融網路與通訊網路的融合特別重要。
- 成本低:利用公共網路進行資訊通訊,企業可以用更低的成本連線遠端辦事機構、出差人員和業務夥伴。
- 支援移動業務:支援出差VPN使用者在任何時間、任何地點的移動接入,能夠滿足不斷增長的移動業務需求。
- 可擴充套件性:由於VPN為邏輯上的網路,物理網路中增加或修改節點,不影響VPN的部署。
VPN分類
1、根據VPN建設單位不同進行劃分
(1)租用運營商VPN專線搭建企業網路
運營商的專線網路大多數都是使用的MPLS VPN;
企業透過購買運營商提供的VPN專線服務實現總部和分部間的通訊需求。VPN閘道器為運營商所有。
(2)企業自建VPN網路
企業自己基於Internet自建vpn網路,常見的如IPsec VPN、GRE VPN、L2TP VPN。
企業自己購買VPN網路裝置,搭建自己的VPN網路,實現總部和分部的通訊,或者是出差員工和總部的通訊。
2、根據組網方式進行劃分
(1)遠端訪問VPN
這種方式適用於出差員工撥號接入VPN的方式,員工可以在只要有Internet的地方都可以透過VPN接入訪問內網資源。
最常見的就是SSL VPN、L2TP VPN。
(2)站點到站點的VPN
這種方式適用於企業兩個區域網互通的情況。例如企業的分部訪問總部。最常見的就是MPLS VPN、IPSEC VPN。
3、根據工作網路層次進行劃分
VPN可以按照工作層次進行劃分:
(1)應用層:SSL VPN
(2)網路層:IPSEC VPN 、GRE VPN
(3)資料鏈路層:L2TP VPN、PPTP VPN
VPN關鍵技術
1、隧道技術
VPN技術的基本原理其實就是用的隧道技術,就類似於火車的軌道、地鐵的軌道一樣,從A站點到B站點都是直通的,不會堵車。對於乘客而言,就是專車。
隧道技術其實就是對傳輸的報文進行封裝,利用公網的建立專用的資料傳輸通道,從而完成資料的安全可靠性傳輸;
可以看到原始報文在隧道的一端進行封裝,封裝後的資料在公網上傳輸,在隧道另一端進行解封裝,從而實現了資料的安全傳輸。
隧道透過隧道協議實現。如GRE(Generic Routing Encapsulation)、L2TP(Layer 2 Tunneling Protocol)等。
隧道協議透過在隧道的一端給資料加上隧道協議頭,即進行封裝,使這些被封裝的資料能都在某網路中傳輸,並且在隧道的另一端去掉該資料攜帶的隧道協議頭,即進行解封裝。
報文在隧道中傳輸前後都要透過封裝和解封裝兩個過程。
2、身份認證、資料加密、資料驗證
身份認證、資料加密、資料驗證可以有效保證VPN網路和資料的安全性。
- 身份認證:VPN閘道器對接入VPN的使用者進行身份認證,保證接入的使用者都是合法使用者。
- 資料加密:將明文透過加密技術成密文,哪怕資訊被獲取了,也無法識別。
- 資料驗證:透過資料驗證技術驗證報文的完整性和真偽進行檢查,防止資料被篡改。
VPN隧道身份認證、資料加密、驗證如下: