虚拟专用网路


虚拟专用网路

文章插图
虚拟专用网路VPN一般指本词条
【虚拟专用网路】虚拟专用网路(VPN)的功能是:在公用网路上建立专用网路,进行加密通讯 。在企业网路中有广泛套用 。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问 。VPN有多种分类方式,主要是按协定进行分类 。VPN可通过伺服器、硬体、软体等多种方式实现 。
基本介绍中文名:虚拟专用网路
外文名:Virtual Private Network
简称:虚拟专网、VPN
用途:加密通讯
一般类型:4GIPVPN
连线协定:PPTP、L2TP、IPSec
网路功能VPN属于远程访问技术,简单地说就是利用公用网路架设专用网路 。例如某公司员工出差到外地,他想访问企业区域网路的伺服器资源,这种访问就属于远程访问 。
虚拟专用网路

文章插图
VPN基本功能在传统的企业网路配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网路通讯和维护费用 。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的区域网路,但这样必然带来安全上的隐患 。让外地员工访问到区域网路资源,利用VPN的解决方法就是在区域网路中架设一台VPN伺服器 。外地员工在当地连上网际网路后,通过网际网路连线VPN伺服器,然后通过VPN伺服器进入企业区域网路 。为了保证数据安全,VPN伺服器和客户机之间的通讯数据都进行了加密处理 。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网路一样,但实际上VPN使用的是网际网路上的公用链路,因此VPN称为虚拟专用网路,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道 。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上网际网路就能利用VPN访问区域网路资源,这就是VPN在企业中套用得如此广泛的原因 。工作原理
    通常情况下,VPN网关採取双网卡结构,外网卡使用公网IP接入Internet 。
    网路一(假定为公网internet)的终端A访问网路二(假定为公司区域网路)的终端B,其发出的访问数据包的目标地址为终端B的内部IP位址 。
    网路一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网路二的地址,则将该数据包进行封装,封装的方式根据所採用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网路二的VPN网关的外部地址 。
    网路一的VPN网关将VPN数据包传送到Internet,由于VPN数据包的目标地址是网路二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地传送到网路二的VPN网关 。
    网路二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网路一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理 。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包 。
    网路二的VPN网关将还原后的原始数据包传送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地传送到终端B 。在终端B看来,它收到的数据包就和从终端A直接发过来的一样 。
    从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网路内的终端就可以相互通讯了 。
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址 。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包传送的目标地址,即VPN隧道的另一端VPN网关地址 。由于网路通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址 。分类标準根据不同的划分标準,VPN可以按几个标準进行分类划分:1、按VPN的协定分类:VPN的隧道协定主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协定工作在OSI模型的第二层,又称为二层隧道协定;IPSec是第三层隧道协定 。2、按VPN的套用分类:(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网路架构连线来自同公司的资源;(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连线 。3、按所用的设备类型进行分类:网路设备提供商针对不同客户的需求,开发出不同的VPN网路设备,主要为交换机、路由器和防火墙:(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;(2)交换机式VPN:主要套用于连线用户较少的VPN网路;(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型4.按照实现原理划分:(1)重叠VPN:此VPN需要用户自己建立端节点之间的VPN链路,主要包括:GRE、L2TP、IPSec等众多技术 。(2)对等VPN:由网路运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术 。实现方式VPN的实现有很多种方法,常用的有以下四种:1.VPN伺服器:在大型区域网路中,可以通过在网路中心搭建VPN伺服器的方法实现VPN 。2.软体VPN:可以通过专用的软体实现VPN 。3.硬体VPN:可以通过专用的硬体实现VPN 。4.集成VPN:某些硬体设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬体设备通常都比没有这一功能的要贵 。VPN技术1.MPLS VPN是一种基于MPLS技术的IP VPN,是在网路路由和交换设备上套用MPLS(Multiprotocol Label Switching,多协定标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网路(IP VPN) 。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网路的重大问题时具有很优异的表现 。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网路运营商提供增值业务的重要手段 。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN) 。2.SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协定)为基础的VPN技术,工作在传输层和套用层之间 。SSL VPN充分利用了SSL协定提供的基于证书的身份认证、数据加密和讯息完整性验证机制,可以为套用层之间的通信建立安全连线 。SSL VPN广泛套用于基于Web的远程安全接入,为用户远程访问公司内部网路提供了安全保证 。3.IPSec VPN是基于IPSec协定的VPN技术,由IPSec协定提供隧道安全保障 。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制 。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证 。常见问题错误691:提示“由于域上的用户名和/或密码无效而拒绝访问”