VPN技術還是企業比較常用的通信技術,如果一個企業的分公司和總部的互訪,或者出差員工需要通路總部的網絡,都會使用VPN技術。
本章節我們會介紹常見的幾種VPN技術,主要包括IPsec VPN、GRE VPN、L2TP VPN、MPLS VPN等。
一、什麼是VPN
1、VPN技術出現背景
一個技術的出現都是由于某種需求觸發的。那麼為什麼會出現VPN技術呢?VPN技術解決了什麼問題呢?
在沒有VPN之前,企業的總部和分部之間的互通都是采用營運商的internet進行通信,那麼Internet中往往是不安全的,通信的内容可能被竊取、修改等,進而造成安全事件。
那麼有沒有一種技術既能實作總部和分部間的互通,也能夠保證資料傳輸的安全性呢?
答案是當然有。
一開始大家想到的是專線,在總部和分部拉條專線,隻傳輸自己的業務,但是這個專線的費用卻不是一般公司能夠承受的。而且維護也很困難。
那麼有沒有成本也比較低的方案呢?
有,那就是VPN。VPN通過在現有的Internet網中建構專用的虛拟網絡,實作企業總部和分部的通信,解決了互通、安全、成本的問題。
2、什麼是VPN技術
那麼什麼是VPN技術嗎?
VPN即虛拟專用網,指通過VPN技術在公有網絡中建構專用的虛拟網絡。
使用者在此虛拟網絡中傳輸流量,進而在Internet網絡中實作安全、可靠的連接配接。
(1)專用:
VPN虛拟網絡是專門給VPN使用者使用的網絡,對于使用者而言,使用VPN和Internet,使用者是不感覺的,是由VPN虛拟網絡提供安全保證。
(2)虛拟:
相對于公有網絡而言,VPN網絡是虛拟的,是邏輯意義上的一個專網。
3、VPN技術優勢
VPN和傳統的公網Internet相比具有如下優勢:
安全:在遠端使用者、駐外機構、合作夥伴、供應商與公司總部之間建立可靠的連接配接,保證資料傳輸的安全性。這對于實作電子商務或金融網絡與通訊網絡的融合特别重要。
成本低:利用公共網絡進行資訊通訊,企業可以用更低的成本連接配接遠端辦事機構、出差人員和業務夥伴。
支援移動業務:支援出差VPN使用者在任何時間、任何地點的移動接入,能夠滿足不斷增長的移動業務需求。
可擴充性:由于VPN為邏輯上的網絡,實體網絡中增加或修改節點,不影響VPN的部署。
二、VPN分類
1、根據VPN建設機關不同進行劃分
(1)租用營運商VPN專線搭建企業網絡
營運商的專線網絡大多數都是使用的MPLS VPN;
企業通過購買營運商提供的VPN專線服務實作總部和分部間的通信需求。VPN網關為營運商所有。
(2)企業自建VPN網絡
企業自己基于Internet自建vpn網絡,常見的如IPsec VPN、GRE VPN、L2TP VPN。
企業自己購買VPN網絡裝置,搭建自己的VPN網絡,實作總部和分部的通信,或者是出差員工和總部的通信。
2、根據組網方式進行劃分
(1)遠端通路VPN
這種方式适用于出差員工撥号接入VPN的方式,員工可以在隻要有Internet的地方都可以通過VPN接入通路内網資源。
最常見的就是SSL VPN、L2TP VPN。
(2)站點到站點的VPN
這種方式适用于企業兩個區域網路互通的情況。例如企業的分部通路總部。最常見的就是MPLS VPN、IPSEC VPN。
3、根據工作網絡層次進行劃分
VPN可以按照工作層次進行劃分:
(1)應用層:SSL VPN
(2)網絡層:IPSEC VPN 、GRE VPN
(3)資料鍊路層:L2TP VPN、PPTP VPN
三、VPN關鍵技術
1、隧道技術
VPN技術的基本原理其實就是用的隧道技術,就類似于火車的軌道、地鐵的軌道一樣,從A站點到B站點都是直通的,不會堵車。對于乘客而言,就是專車。
隧道技術其實就是對傳輸的封包進行封裝,利用公網的建立專用的資料傳輸通道,進而完成資料的安全可靠性傳輸。
可以看到原始封包在隧道的一端進行封裝,封裝後的資料在公網上傳輸,在隧道另一端進行解封裝,進而實作了資料的安全傳輸。
隧道通過隧道協定實作。如GRE(Generic Routing Encapsulation)、L2TP(Layer 2 Tunneling Protocol)等。
隧道協定通過在隧道的一端給資料加上隧道協定頭,即進行封裝,使這些被封裝的資料能都在某網絡中傳輸,并且在隧道的另一端去掉該資料攜帶的隧道協定頭,即進行解封裝。
封包在隧道中傳輸前後都要通過封裝和解封裝兩個過程。
2、身份認證、資料加密、資料驗證
身份認證、資料加密、資料驗證可以有效保證VPN網絡和資料的安全性。
身份認證:VPN網關對接入VPN的使用者進行身份認證,保證接入的使用者都是合法使用者。
資料加密:将明文通過加密技術成密文,哪怕資訊被擷取了,也無法識别。
資料驗證:通過資料驗證技術驗證封包的完整性和真僞進行檢查,防止資料被篡改。
VPN隧道身份認證、資料加密、驗證如下:
(來源:網絡工程師筆記)