什么是VPN?
虚拟私有网络(VPN)隧道是通过Internet隧道技术将两个不同地理位置的网络安全的连接起来的技术。当两个网络是使用私有IP地址的私有局域网时,它们之间是不能相互访问的,这时使用隧道技术就可以使得两个子网内的主机进行通讯。
VPN的使用
VPN隧道技术经常被用于大型机构中不同办公区域子网的连接。
VPN隧道传输较安全。大多数服务提供商与公司会将重要的服务器放置到一个子网内,使用IPsec VPN隧道(其有多重安全层),并为特殊用户添加权限,让有权限的用户通过VPN隧道进行访问。
VPN 发展至今融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,使得越来越多的网络电话和语音网关支持VPN协议。
VPN隧道所使用的公共网络可以是任何类型的通信网络。可以是公网,也可以是内网。创建隧道时,VPN的客户机和服务器必须使用相同的隧道协议。
VPN隧道协议的种类
PPTP
点对点隧道协议 (PPTP) 是由PPTP论坛开发的一种点对点隧道协议,它通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。
PPTP通过PPTP控制连接来创建、维护和终止一条隧道,并使用通用路由封装对PPP数据帧进行封装。封装前,PPP数据帧的有效传输数据要先经过加密、压缩或是两者的混合处理。
PPTP 支持通过公网建立VPN。
PPTP 允许加密 IP 通讯,在要跨越公司 IP 网络或公共 IP 网络发送的 IP 头中对其进行封装。
L2TP
第 2 层隧道协议 (L2TP) 是基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。它可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。
使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。
L2TP隧道协议既可用于Internet,也可用于企业内部网。
与PPTP的区别:
PPTP只能在两端点间建立单一隧道;L2TP支持在两端点间使用多条隧道,用户可以针对不同的服务质量创建不同的隧道。
PPTP不支持隧道验证,L2TP提供隧道验证。
PPTP要求互联网络为IP网络,L2TP只要求隧道媒介提供面向数据包的点对点的连接,L2TP可以在UDP、PVCs、VCs、ATM VCs网络上使用。
IPSec
IPSec 的隧道将原始数据包隐藏(或封装)在新的数据包内部,它先对IP数据包进行加密,然后将密文数据包再次封装在明文IP包内,通过网络发送到接收端的VPN服务器。VPN服务器对收到的数据包进行处理,在去除明文IP包头,对内容进行解密,获得原始的IP数据包,再将其路由到目标网络的接收计算机。
隧道与数据保密性结合使用时,可用于提供VPN,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。
以隧道模式使用 IPSec 时,只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 隧道技术的路由器、网关或终端系统之间的相互操作。
使用地位
PPTP和L2TP适用于远程访问虚拟专用网,已被微软公司作为路由软件的一部分。
安全IP隧道模式IPSec定义了一套用于认证、保护私密和数据完整性的标准协议,IPSec适用于可信的局域网之间的虚拟专用网,即企业内部网VPN应用。
拓展
SSLVPN
SSL协议被使用于VPN中。
SSL协议提供了数据私密性、端点验证、信息完整性等特性。
SSL置身于网络结构体系的传输层和应用层之间,本身就被几乎所有的Web浏览器支持。不需要为了支持SSL连接安装额外的软件。
SSL VPN工作于SSL协议的通信中,保证那些有可能会影响访问流量在所有代理服务器或防火墙之间的流通。连接成功后,基于Java的客户端就会被下载到计算机Web浏览器,会在客户的计算机和VPN集线器或防火墙服务器之间创建一个虚拟连接。