什么是VPN?
VPN是英文“Virtual Private Network”的缩写,中文意思是“虚拟专用网络”。
VPN是一条虚拟的企业内部线路。 通过特殊的加密通信协议,为不同地理位置的两个或多个企业内网建立专用的通信线路连接到互联网。 这就像架设专线一样,但不需要实际铺设光缆。 物理线路。
VPN组成
VPN由VPN服务器、VPN连接(Internet公网)、协议隧道、VPN客户端组成。
工作准则...
1、VPN网关通常采用双网卡结构,外网卡使用公网IP上网。
2、网络一(假设为公网Internet)终端A访问网络二(假设为公司内网)终端B。 它发送的接入数据包的目的地址是终端B的内部IP地址。
3、网络一的VPN网关收到终端A发送的接入数据包后,检查其目标地址。 如果目标地址属于网络二的地址,则封装该数据包。 封装方法取决于所使用的VPN。 技术各不相同。 同时,VPN网关会构造新的VPN数据包,并将封装后的原始数据包作为VPN数据包的净荷。 VPN数据包的目的地址为网络二VPN网关的外部地址。
4. 网络一的VPN网关将VPN报文发送到Internet。 由于VPN报文的目的地址是网络二的VPN网关的外部地址,因此报文将通过Internet中的路由正确发送到网络二的VPN。 网关。
5、网络二的VPN网关检查收到的数据包。 如果发现该数据包是从网络一的VPN网关发送的,则可以判断该数据包是VPN数据包,并对数据包进行解包。 处理。 解包过程主要是先剥离VPN数据包的头部,然后对数据包进行逆向处理,将其恢复为原始数据包。
6、网络二的VPN网关将恢复后的原始数据包发送给目标终端B。由于原始数据包的目标地址为终端B的IP,因此数据包能够正确发送给终端B。 从终端B来看,它收到的数据包与终端A直接发送的数据包是一样的。
7、终端B返回给终端A的数据包的处理过程与上述过程相同,这样两个网络中的终端就可以互相通信了。
VPN网关处理数据包时,有两个参数对VPN通信非常重要:原始数据包的目的地址(VPN目的地址)和远端VPN网关地址。 VPN网关可以根据VPN目的地址来决定对哪些数据包进行VPN处理。 不需要处理的数据包通常可以直接转发给上层路由; 远端VPN网关地址指定处理后的VPN数据包发送的目的地。 地址,即VPN隧道另一端的VPN网关地址。
由于网络通信是双向的,因此在进行VPN通信时,隧道两端的VPN网关必须知道VPN目的地址和对应的远端VPN网关地址。
实现方法
VPN的实现方式有很多种,常用的有以下四种:
1、VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器来实现VPN。
2、软件VPN:可以通过专用软件实现VPN。
3、硬件VPN:可以通过专用硬件实现VPN。
4. 集成VPN:一些硬件设备,如路由器、防火墙等,都包含VPN功能,但一般具有VPN功能的硬件设备通常比不带此功能的硬件设备贵。
VPN分类
根据不同的分类标准,VPN可以按照以下几个标准进行分类:
VPN 隧道协议主要有 3 种:PPTP、L2TP 和 IPSec。 PPTP和L2TP协议工作在OSI模型的第二层,也称为第二层隧道协议; IPSec是第三层隧道协议。
(1)接入VPN(远程接入VPN):客户端到网关,以公网作为骨干网,在设备之间传输VPN数据流量;
(2)内网VPN:网关到网关,通过公司的网络架构连接同一公司的资源;
(3)Extranet VPN(Extranet VPN):与合作伙伴企业网络组成Extranet,将一个公司的资源与另一家公司的资源连接起来。
网络设备提供商根据不同客户的需求开发了不同的VPN网络设备,主要是交换机、路由器和防火墙:
(1)基于路由器的VPN:基于路由器的VPN更容易部署,只要在路由器上添加VPN服务即可;
(2)Switch VPN:主要用于连接用户较少的VPN网络;
(3)防火墙VPN:防火墙VPN是最常见的VPN实现方式,很多厂商都提供这种配置类型。
(1)Overlay VPN:这种VPN需要用户在端节点之间建立VPN链路,主要包括:GRE、L2TP、IPSec等多种技术。
(2)点对点VPN:网络运营商在骨干网上完成VPN通道的建立,主要包括MPLS和VPN技术。
常见VPN介绍
该协议是行业标准的互联网隧道协议。 其功能大致类似于PPTP协议。 例如,它还可以加密网络数据流。 然而,也存在差异。 例如,PPTP要求网络是IP网络,L2TP要求面向数据包的点对点连接; PPTP使用单隧道,L2TP使用多隧道; L2TP提供报头压缩和隧道验证,但PPTP不支持。
L2TP协议是由IETF起草、微软、Ascend、Cisco、3com等公司参与的二层隧道协议。 它结合了两种第 2 层隧道协议 PPTP 和 L2F 的优点。 它已被许多公司接受,并成为相关的 IETF 行业标准第 2 层隧道协议,基于 Microsoft 的点对点隧道协议 (PPTP) 和 Cisco 的第 2 层转发协议 (L2F),被 Internet 服务提供商使用和公司通过互联网实现虚拟专用网络操作。
三层VPN包括多种类型的VPN,标准IPsecVPN、SSLVPN、GRE隧道VPN、混合VPN等,企业一般根据自己的需求选择合适的VPN。 每个 VPN 都有其自身的优点和缺点。
1.SSLVPN:SSLVPN是指基于安全套接字层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。 它是近年来兴起的VPN技术,其应用随着Web的普及以及电子商务和远程办公的兴起而迅速发展。
2、GRE隧道VPN:通用路由封装(GRE:Generic Routing Encapsulation)在RFC1701/RFC1702中定义,规定了如何使用一种网络层协议来封装另一种网络层协议。 GRE隧道由两端的源IP地址和目的IP地址定义。 它允许用户使用IP封装IP、IPX、AppleTalk,并支持所有路由协议,如RIP、OSPF、IGRP和EIGRP。 通过GRE,用户可以使用公共IP网络连接IPX网络和AppleTalk网络。 他们还可以使用保留地址进行网络互连,或者对公共网络隐藏企业网络的IP地址。
3、IPsecVPN:IPsecVPN是一种网络层的VPN技术。 它独立于应用程序,将原始IP信息封装在自己的数据包中,因此可以隐藏所有应用程序协议信息。 一旦IPSEC建立了加密隧道,就可以实现各种类型的连接,例如Web、电子邮件、文件传输、VoIP等,并且每次传输都直接对应VPN网关后面的相关服务器。 IPSEC是一种独立于应用程序的技术,因此IPSec VPN客户端支持所有IP层协议,并且对应用层协议完全透明。 这是IPSEC VPN的最大优势。
MPLS-VPN是指利用MPLS技术在宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像等多业务通信,并结合差异化服务、流量工程等相关技术服务器架设vpn软件,将公网可靠的性能、良好的可扩展性、丰富的功能与专网的安全、灵活、高效相结合,为用户提供高质量的服务。
VPN功能
VPN是基于实际网络(或物理网络)的功能网络。 它采用低成本的公共网络作为企业骨干网络,同时克服了公共网络缺乏保密性的弱点。 在VPN网络中,公网两端的网络在公网上传输信息时,对信息进行安全处理,可以保证数据的完整性、真实性和保密性。
VPN有效解决了地理距离远、无法承担物理网络、随时访问企业内网的安全问题。 公司内部网络是封闭的、有边界的。 这个问题限制了企业内部各种应用的扩展。 通过VPN,两个物理上分离的网络通过Internet的公共网络在逻辑上直接连接。 这样服务器架设vpn软件,我们就可以无限扩展企业内部网络,进而使所有用户能够访问相同的资源,使用相同的应用程序。 。
VPN可以很好地利用现有的互联网线路资源,不再受地域限制。 对于用户来说,VPN 的工作方式是完全透明的。 VPN可以帮助远程用户、公司分支机构、业务合作伙伴和供应商与公司内网建立可信、安全的连接,确保数据传输安全。
