如果要把VPN(Virtual Private Network)技术归为某一类技术,那么将其归为远程访问技术最为合适。远程访问技术在人们的日常生活中较为常用,比如运用QQ、TeamViewer可以操控别人的电脑。
远程访问技术的原理也非常简单,利用一台电脑远距离控制另一台电脑,在这个控制过程中,将TCP/IP协议网络数据通信作为基础,在控制计算机与被控计算机内运行,确保网络通讯等各项功能可以顺利实现。这里的协议就好像人和人之间达成的约定,只要满足协议上的内容双方就可以实现交易。计算机与计算机之间只有支持相同的协议并且遵循其中的原则,双方才可以进行数据传输。
通常情况下,计算机通信会在每一个分组附加上源主机和目标主机地址送给通信电路;这些发送端地址、接收端地址以及分组序号都写入包(Packet)中,之后接收端会根据序号分组按序重新装配为原始数据。在搞清楚计算机之间的协议及原理后,以此为基础来分析VPN的建构模式就不难了。
从VPN的英文组成单词来看我们就可以很明显的发现其特点——Visual & Privat,虚拟与专用。
顾名思义,虚拟即本来不存在的,在网络中指的是“任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台”。
专网在企业中运用的较多,如企业总部和分部会使用内部专网进行连接,使用这种方式最大的有点就是安全,因为只有它们可以进行点对点的传播,其他线路都是无法进入的。像现在比较大型的互联网公司——苹果、华为等等都是使用的内部网络,一旦有外网介入公司资料很容易被盗走,所以专网保护了信息流的安全性和完整性。但同样代价也比较大,因为网络专线非常昂贵,试想本来所有人都能使用这一条网络线路,结果现在只能被两个端口使用,就好像一个人把一个饭店包场了一样,代价自然不言而喻。一家大型企业总部如果要与旗下七个分公司进行连接,则需要建立7条专线,不仅费时而且费力,于是企业就采用虚拟专用网络设计的外部网,也就是VPN。
相比于传统专网采用的端到端的物理链路,VPN采用的是逻辑网络,即采用TCP对应的OSI七层模型的传输层(第四层),IP对应OSI的网络层,采用的物理层与OSI规定相符。值得注意的是,IP地址采用的是层次结构,按照逻辑网络结构进行划分,与地理位置无关。例如两台主机具有相同网络号,不论它们在什么地方都属于同一逻辑网络;而如果两台主机网络号不同,就算放到同一个房间,也属于不同的逻辑网络。
浅谈VPN基本原理
VPN一大技术特点就是隧道加密制,如运用较为广泛的IPSEC技术,在此机制下,之前所提到的分组通信的信息传输在安全性上就得到了保障,原因就在于IPSEC的四大安全特性:不可否认性、反重播性、数据完整性、数据可靠性。
- 不可否认即发送的不可否认,当发送方通过私钥产生的数字签名随消息一起发送时,接收方即可使用公钥进行验证。由于发送者拥有的私钥具有唯一性,所以只要通过验证发送对象便不能说自己没有发送,这就好比身份识别。
- 反重播性就好比接受手机的验证码,每个IP只能使用一次,这样可以有效的防止某些黑客进行破译信息。
- 数据完整性作用在于保护数据,避免被篡改。IPSEC使用的函数为Hash,即每个数据包产生一个加密检查和,接收方在打开Packet前必须进行检查和,如若不符立即丢弃。
- 数据可靠性指的是IPSEC的加密技术,作用同样是为了保护数据。
分析完VPN的基本原理和技术特点后,通过一个简单的例子来说明VPN是如何让两部不同IP的主机进行信息互连。
我们假设有两部VPN Server,且各自都有两块网卡,其中一块连接在因特网,其IP 分别为A 及B 两个公共IP,另外一块网卡则分别连接至192.168.4.0/24 及192.168.6.0/24 两个Private IP 的网段,接着我们来看看192.168.4.10 (下文用a代替)主机如何借助VPN 技术跨越因特网来连接192.168.6.20(下文用b代替)主机.
首先a主机送封包给b主机,当这个封包传送至VPN Server A的位置时,其封包的来源端IP 为a,目的端IP 为b,但是这个封包被送到VPN Server A之后,VPN Server 会把这个封包以特殊的方式来处理,它会把原本的整个封包作为其所要传递的数据内容,并且重新产生一个新的IP 包头,而这个新的IP 包头中的来源端IP 为VPN Server A上的Public IP A,目的端IP 则为VPN Server B上的Public IP B,这样这个封包当然就可以从VPN Server A跨越因特网传送到VPN Server B。待VPN Server B收到这个封包之后,VPN Server B就将新的IP 包头整个去除掉,最后VPN Server B将这个封包送至192.168.6.0/24 的网段上,这样a和b的主机就可以跨越因特网来连接。
其实这种该方法更像是使用A 及B 两个IP 来搭建出一条隧道,然后让a与b 两部主机所传送的封包得以穿梭于隧道之中,这种逻辑上的技术通常被称为Tunnel,而VPN 的隧道技术有很多种方式,刚刚所提到的只是其中的一种罢了。
最后简单说一下中国目前的计算机网络环境,目前来看CFW管控依然很紧,翻墙也被列为违法行为,但是现在市场如lan deng、SSR以及GitHub上还有热心网民自搭的服务器,个人认为通过此种方式应用VPN仍不成熟,若想实现翻墙还是要等待全国网络的大环境。
如有转载,请注明本文链接: https://www.apedear.com/3595.html
