VPN的概念
虚拟专用网(Virtual Private Network,VPN)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。其中,“虚拟”是指用户不需要建立各自专用的物理线路,而是利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能。“专用网络”是指虚拟出来的网络并非任何连接在公共网络上的用户都能使用,只有经过授权的用户才可以使用。该通道内传输的数据经过加密和认证,可保证传输内容的完整性和机密性。
VPN的实现技术
隧道技术
概念
隧道是一种封装技术,它利用一种网络协议来传输另一种网络协议,即利用一种网络传输协议,将其他协议产生的数据报文封装在它自己的报文中,然后在网络中传输。隧道(Tunnel)是一个虚拟的点对点的连接。在实际应用中仅支持点对点连接的虚拟接口为Tunnel接口。一个Tunnel提供了一条使封装的数据报文能够传输的通路,并且在一个Tunnel的两端可以分别对数据报文进行封装及解封装。隧道技术就是指包括数据封装、传输和解封装在内的全过程。
隧道协议
要创建隧道,隧道的客户机和服务器双方必须使用相同的隧道技术,隧道协议有二层隧道协议与三层隧道协议两类。
二层隧道协议对应OSI模型中数据链路层,使用帧作为数据交换单位,PPTP(Point to Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、L2F(Layer 2 Forwarding)都属于二层隧道协议。是将数据封装在点对点协议的帧中通过互联网络发送,主要应用于构建远程访问虚拟专网(Access VPN)
三层隧道协议对应OSI模型中网络层,使用包作为数据交换单位,GRE(Generic Routing Encapsulation)、IPSec(Internet Protocol Security)都属于三层隧道协议。都是数据包封装在附加的IP包头中通过IP网络传送,主要应用于构建企业内部虚拟专网(Intranet VPN)和扩展的企业内部虚拟专网(Extranet VPN)
GRE协议
隧道协议_GRE
面试官:GRE 和 IPsec 隧道有什么区别?
概念
GRE(General Routing Encapsulation ,通用路由封装)由 RFC(Request for Comments)2784 定义并由 RFC 2890 更新,是对某些网络层协议(如IP和IPX)的数据报文进行封装,使这些被封装的报文能够在另一网络层协议(如IP)中传输。GRE 最好在受信任的网络路径上使用,因为数据包未加密,但如果需要加密,它可以与 IPsec 隧道结合使用。
封装过程
系统接收到一个需要封装和路由的数据报文,我们称之为有效负载(Payload)。这个有效负载首先被GRE封装然后被称之为GRE报文,这个报文接着被封装在IP报文中,然后完全由IP层负责此报文的转发(Forwarding)。我们也称这个负责向前传输的IP 协议为传递(Delivery)协议或传输(Transport)协议。
GRE实际上是第三层隧道的一种运载协议(Carrier Protocol)。GRE的协议号47。
解封装过程
当IP层接收到GRE报文,检查到外层IP报文头部中的协议号是47时(UDP为17,TCP为6,ICMP为1),那么,IP层输入入口函数会根据协议开关表,直接调用GRE的解封装处理函数,对GRE解封装。解封装完成后,再将原始数据报文送入IP输入队列中,以便进行进一步的传输。
IPSec协议
概念
IPSec总结在 RFC 6071 中,是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议簇。IPSec可在 IP 网络上创建加密隧道。它的加密和身份验证机制可防止窃听和数据修改,这解释了虚拟专用网络( VPN ) 一词。
IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPsec 隧道经常用于在组织的分支机构或移动用户与家庭办公室或数据中心之间提供安全的数据路径,VPN 隧道终端可以是分支机构或家庭设备的网络网关。
加解密技术、 密钥管理技术、 身份认证技术
身份认证、数据加密、数据验证可以有效保证VPN网络和数据的安全性
身份认证:VPN网关对接入VPN的用户进行身份认证,保证接入的用户都是合法用户。
数据加密:将明文通过加密技术成密文,哪怕信息被获取了,也无法识别。
数据验证:通过数据验证技术验证报文的完整性和真伪进行检查,防止数据被篡改。
VPN的分类
按VPN的协议分类
VPN的隧道协议主要有三种, PPTP,L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议; IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
按VPN的应用分类
-
Access VPN(远程接入VPN,Client-LAN类型):它提供了一种安全的远程访问手段,使用公网作为骨干网在设备之间传输VPN数据流量。例如,出差在外的员工,有远程办公需要的分支机构,都可以利用这种类型的VPN,实现对企业内部网络资源进行安全的远程访问。
-
Intranet VPN(内联网VPN,LAN-LAN类型):为了在不同局域网之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,可以采用LAN-LAN类型的VPN。而采用LAN-LAN类型的VPN,可以利用基本的Internet和Intranet网络建立起全球范围内物理的连接,再利用VPN的隧道协议实现安全保密需要,就可以满足公司总部与分支机构以及合作企业间的安全网络连接。
-
Extranet VPN(外联网VPN,ExtranetVPN类型):即与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接,这和第一种VPN类似。
按所用的设备类型进行分类:
- 路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
- 交换机式VPN:主要应用于连接用户较少的VPN网络;
- 防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
VPN的作用
- 加密传输:此作用是VPN的最为原始的作用,也是国外使用vpn的原因,加密传输功能,使的网络更加安全,保密。
VPN的用途
-
互联网远程访问:
近年来,许多企业机构的一些员工的办公地点流动性越来越大,比如,员工到不同的城市出差时需要访问企业的内部网络,若没有vpn是访问不了的。 -
局域网互联:
除了使用虚拟专用网络进行远程访问, VPN也可以两个局域网联系在一起。在这种工作模式下,整个远程网络可以加入到一个不同的公司网络,以形成一个扩展的企业内部网。该解决方案是采用一台VPN服务器, 实现两个局域网的互联。 -
内部网络的vpn使用:
比如,在每一个公司,由于每个人的职位与职责不一样,内部网络也可以利用VPN技术来实现一个私有网络内的受控访问单个子网。在这种操作模式下,VPN客户端连接到一个VPN服务器作为网络网关。
这种类型的VPN使用不会影响互联网服务提供商(ISP)或公共网络布线。但是,它允许组织内部署VPN的安全利益。作为企业保护他们的无线本地网络的一种方式,这种方法目前比较受欢迎。