VPN是虛擬專用網(wǎng)絡(luò)�,用于在公共網(wǎng)絡(luò)上構(gòu)建私人專用虛擬網(wǎng)絡(luò)��,并在這個虛擬網(wǎng)絡(luò)中傳輸私網(wǎng)流量����。在不改變網(wǎng)絡(luò)現(xiàn)狀的情況下,VPN將現(xiàn)有的物理網(wǎng)絡(luò)分解為邏輯隔離網(wǎng)絡(luò)��,實現(xiàn)安全可靠的連接���。
VPN具有以下兩個基本特征:
專用網(wǎng)絡(luò):對于VPN用戶來說���,使用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別��。VPN與底層承載網(wǎng)絡(luò)保持資源獨立���,即VPN資源不被網(wǎng)絡(luò)中非VPN用戶使用�,VPN可以提供足夠的安全保障���,確保VPN內(nèi)部信息不受外部干擾����。虛擬:用戶不再需要有實際的專用長途數(shù)據(jù)線,而是使用Internet的長途數(shù)據(jù)線建立自己的私有網(wǎng)絡(luò)��。VPN用戶內(nèi)部的通信是通過公共網(wǎng)絡(luò)進(jìn)行的����,而這個公共網(wǎng)絡(luò)同時也可以被其他非VPN用戶使用,VPN用戶獲得的只是一個邏輯意義上的專網(wǎng)�����。
VPN常見技術(shù)
隧道技術(shù):隧道兩端封裝�、解封裝,用于建立數(shù)據(jù)通道�,身份證:確保接入VPN的操作人員的合法性、有效性�,數(shù)據(jù)認(rèn)證:數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不被非法篡改,加解密技術(shù):確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時不被非法獲取���,密鑰管理技術(shù):在不安全的網(wǎng)絡(luò)中安全地傳遞密鑰�����。
VPN的產(chǎn)生背景
在VPN(VirtualPrivateNetwork)在出現(xiàn)之前���,跨越Internet的數(shù)據(jù)傳輸只能依靠現(xiàn)有的物理網(wǎng)絡(luò)����,這是一個很大的不安全因素��。企業(yè)的總部和分支機(jī)構(gòu)位于不同的地區(qū)(如不同的國家或城市)��。當(dāng)分支機(jī)構(gòu)的員工需要訪問總部服務(wù)器時��,數(shù)據(jù)傳輸應(yīng)通過互聯(lián)網(wǎng)進(jìn)行�。由于Internet中存在多種不安全因素,則當(dāng)分支機(jī)構(gòu)的員工向總部服務(wù)器發(fā)送訪問請求時���,報文容易被網(wǎng)絡(luò)中的黑客竊取或篡改����。最終導(dǎo)致數(shù)據(jù)泄露��,重要數(shù)據(jù)被破壞等后果�����。VPN出現(xiàn)前的報文傳輸���,為了防止信息泄露��,可以在總部和分支機(jī)構(gòu)之間搭建一條物理專網(wǎng)連接�,但其費用會非常昂貴�����,此時可以考慮采用VPN的方案進(jìn)行解決����。
VPN封裝原理
VPN的基本原理是利用隧道(Tunnel)技術(shù),封裝傳輸報文�����,利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道����,實現(xiàn)報文的安全傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報文(通常是IP報文)�����,而封裝后的報文也可以再次被其他封裝協(xié)議所封裝。若有VPN隧道��,則數(shù)據(jù)傳輸如下圖所示��。當(dāng)分支機(jī)構(gòu)員工訪問總部服務(wù)器時���,報文封裝過程如下:經(jīng)過VPN封裝后的報文傳輸��,報文發(fā)送到網(wǎng)關(guān)1時�����,網(wǎng)關(guān)1識別出該用戶為VPN用戶后���,發(fā)起與總部網(wǎng)關(guān)即網(wǎng)關(guān)2的隧道連接,從而網(wǎng)關(guān)1和網(wǎng)關(guān)2之間建立VPN隧道�。將數(shù)據(jù)封裝在VPN隧道中,發(fā)送給網(wǎng)關(guān)2���。網(wǎng)關(guān)2收到報文后進(jìn)行解封裝�,并將原始數(shù)據(jù)發(fā)送給最終接收者��,即服務(wù)器。反向的處理也一樣�����。VPN網(wǎng)關(guān)在封裝時可以對報文進(jìn)行加密����,使Internet上的非法用戶無法讀取報文內(nèi)容���,因此通信安全可靠�。
VPN的優(yōu)勢
與傳統(tǒng)的數(shù)據(jù)專網(wǎng)相比����,VPN具有以下優(yōu)點:安全:在遠(yuǎn)端用戶、海外機(jī)構(gòu)��、合作伙伴��、供應(yīng)商和公司總部之間建立可靠的連接����,以確保數(shù)據(jù)傳輸?shù)陌踩A畠r:利用公共網(wǎng)絡(luò)進(jìn)行信息交流�����,企業(yè)可以以較低的成本與遠(yuǎn)程辦事機(jī)構(gòu)、出差人員和業(yè)務(wù)伙伴聯(lián)系�。支持移動業(yè)務(wù):支持駐外VPN用戶在任何時間、任何地點的移動訪問���,能夠滿足日益增長的移動業(yè)務(wù)需求�����?�?蓴U(kuò)展性:由于VPN為邏輯上的網(wǎng)絡(luò)��,物理網(wǎng)絡(luò)中增加或修改節(jié)點����,不影響VPN的部署���。
VPN的應(yīng)用場景及選擇
VPN適用于以下基本場景��,以及從以下場景中衍生出來的復(fù)雜場景�。通過對比各種VPN的特性���,可以選擇合適的VPN類型���。site-to-siteVPN�����,site-to-siteVPN即兩個局域網(wǎng)之間通過VPN隧道建立連接。企業(yè)的分支和總部分別通過網(wǎng)關(guān)1和網(wǎng)關(guān)2連接到Internet�。由于業(yè)務(wù)需要,企業(yè)分公司和總部經(jīng)常相互發(fā)送內(nèi)部機(jī)密數(shù)據(jù)���。為了保護(hù)這些數(shù)據(jù)在Interner中安全傳輸�����,在網(wǎng)關(guān)1和網(wǎng)關(guān)2之間建立VPN隧道��。
site-to-siteVPN組網(wǎng)圖
這一場景的特點是:兩端網(wǎng)絡(luò)通過固定網(wǎng)關(guān)連接到Internet�����,組網(wǎng)相對固定����。而且訪問是雙向的,也就是說��,分支機(jī)構(gòu)和總部都有可能向?qū)Χ税l(fā)起訪問����。適用于比如連鎖超市、政府機(jī)關(guān)����、銀行等的業(yè)務(wù)通信。此場景可以使用以下幾種VPN實現(xiàn):IPSec�����、L2TP����、L2TPoverIPSec、GREoverIPSec����、IPSecoverGRE。兩端相互訪問較頻繁����,傳輸?shù)臄?shù)據(jù)為機(jī)密數(shù)據(jù)��,且任何用戶都能訪問對端內(nèi)網(wǎng)�����,無需認(rèn)證時�����,可采用IPSec方式。只有一端訪問另一端���,且訪問的用戶必須通過用戶認(rèn)證時���,可采用L2TP方式。如果只有一端訪問另一端��,傳輸數(shù)據(jù)為機(jī)密數(shù)據(jù)��,且訪問的用戶必須通過用戶認(rèn)證����,可采用L2TPoverIPSec方式,安全性更高��。GREoverIPSec隧道和IPSecoverGRE隧道都可以用來安全的傳輸數(shù)據(jù),兩者的區(qū)別在于對數(shù)據(jù)的封裝順序不同�。GREoverIPSec在報文封裝時,是先GRE封裝然后再IPSec封裝����;IPSecoverGRE在報文封裝時,是先IPSec封裝再GRE封裝����。由于IPSec無法封裝組播報文,因此IPSecoverGRE隧道也無法傳輸組播數(shù)據(jù)���。如果隧道兩端要傳輸組播數(shù)據(jù)時����,就要采用GREoverIPSec方式��,client-to-siteVPN�,client-to-siteVPN即客戶端與企業(yè)內(nèi)網(wǎng)之間通過VPN隧道建立連接。外出差員工(客戶端)跨越Internet訪問企業(yè)總部內(nèi)網(wǎng)�,完成向總部傳送數(shù)據(jù)、訪問內(nèi)部服務(wù)器等需求����。為確保數(shù)據(jù)安全傳輸�����,可在客戶端與企業(yè)網(wǎng)關(guān)之間建立VPN隧道���。client-to-siteVPN組網(wǎng)圖,這種場景的特點為:客戶端的地址不固定�����。而且訪問是單向的�,即只有客戶端向內(nèi)網(wǎng)服務(wù)器發(fā)起訪問。適用于企業(yè)出差職工或臨時辦事處職工通過手機(jī)�、電腦等方式進(jìn)入總部遠(yuǎn)程辦公�����。
此場景可以使用以下幾種VPN實現(xiàn):SSL�����、IPSec(IKEv2)�����、L2TP、L2TPoverIPSec����。如果對客戶端沒有要求,但要訪問的服務(wù)器應(yīng)該為不同類型的用戶開放不同的服務(wù)��,并制定不同的策略��,則可以使用SSL�����。如果需要頻繁訪問某些固定的總部服務(wù)器��,并且服務(wù)器功能對所有用戶開放��,出差員工或臨時辦事處員工可以采用L2TPoverIPSec方式�。
BGP/MPLSIPVPN
BGP/MPLSIPVPN主要用于解決跨域企業(yè)互聯(lián)等問題。目前��,企業(yè)越來越區(qū)域化和國際化��,同一企業(yè)不同區(qū)域的員工需要通過服務(wù)提供商網(wǎng)絡(luò)進(jìn)行互訪����。為了嚴(yán)格控制用戶訪問�����,確保數(shù)據(jù)安全傳輸��,服務(wù)提供商的網(wǎng)絡(luò)往往相對龐大和復(fù)雜�。需要在骨干網(wǎng)上配置BGP/MPLSIPVPN功能�,實現(xiàn)不同區(qū)域用戶之間的訪問需求。BGP/MPLSIPVPN為全網(wǎng)狀VPN���,即每個PE和其他PE之間均建立BGP/MPLSIPVPN連接��。服務(wù)提供商骨干網(wǎng)的所有PE設(shè)備都必須支持BGP/MPLSIPVPN功能����。
粵ICP備2022115319號
QQ客服