vpn介紹
vpn(virtual private network)虛拟私有網絡
利用共享的公共網絡建構私有專用網絡
RFC 2764描述了基于ip的VPN架構結構
vpn的本質就是讓私網資料封包穿越公網
vpn用途、功能優勢
- 可以快速建構網絡,降低部署周期
- 與私有網絡一樣提供安全性、可靠性和管理性
- 可利用Internet,無處不聯通,處處可接入
- 簡化使用者側的配置和維護工作
- 提高基礎資源使用率
- 于客戶可節約使用開銷
- 于營運商可以更有效的利用基礎設施,提供大量,多種業務 (mpls vpn)
vpn簡單原理
正常按照網絡通信原理來說,如果192.168.1.1要和192.168.2.1進行互相通信,封裝的源目位址都是内網位址的話,經過公網路由器絕對會被丢棄掉,因為公網無法傳遞私網路由,是以為了可以讓1.1和2.1可以互動,就需要在之前封裝的私網IP頭部(例如:192.168.1.1)在進行封裝一層公網IP頭部(例如:100.1.1.1),這樣走到公網路由器後,就可以進行正常的路由傳輸并達到對端(例如:200.2.2.1)
vpn隧道技術
定義:使用一種協定去封裝另一種協定
(拿同一個協定去封裝另一個相同的協定也是隧道技術,例如上面的公網IP協定封裝私網IP協定)
隧道技術對于業務終端或者說對于2端的用戶端來說(例如:192.168.1.1、192.168.2.1就是業務終端)它們對于利用隧道穿越公網是無感覺的。
拿生活日常舉例來了解隧道技術:
例如a想開車過江,日常生活中陸地上跑的汽車肯定是不具備在水上行走的功能的,是以這時候就需要使用輪渡或者貨船水上行駛工具來搭載汽車,将汽車運輸到江對面;
那就可以這樣了解私網位址肯定是不能在公網中傳輸的,為了将私網的資料從一端發送到另一端就需要隧道技術進行協定封裝,達到可以公網傳輸私網資料。
相關封裝概念
載荷資料:要傳輸的原始資料
協定b頭:稱為載荷協定
封裝協定頭:為vpn的封裝協定,是vpn的特殊頭部,如果說是gre vpn 這裡就是gre頭部(GRE 頭部協定,标記為47),如果說是ipsec vpn,這裡就是IPsec頭部;該協定的作用是防止路由裝置拆解目前裝置可拆解的協定後繼續交由上一層協定進行拆解處理(按照資料傳輸原理,例如三層路由器或者一台伺服器,将三層IP頭部(網絡層)拆解後,它的下一步就是交由傳輸層進行拆解處理)
也就是對載荷協定封裝的方式
協定a頭:為承載協定,封裝最外層新的協定頭部
封裝格式如下圖:
VPN詳細封裝原理
PCA、PCB為私網主機,PCA發送 載荷資料(協定B資料包),會使用載荷協定 協定b頭 将私網位址進行封裝,經過vpn隧道技術的封裝協定加一層gre或者ipsec封裝協定頭(這是為了防止對端收到資料封包後将目前裝置可拆解的協定拆封後直接交由上層協定進行處理,而是要告訴目前裝置将封裝協定拆封後,在進行一次查詢路由表,不要直接交由上層協定處理),然後使用承載協定 協定a頭将公網位址進行封裝。
VPN分類
按照網絡層次(工作層次)分類
按照使用場景分類
site-to-site vpn 對于内網使用者無感覺,2端都需要支援VPN功能裝置進行連接配接。
access vpn 用于單個終端使用者接入公司内網,手機移動裝置、普通PC就可以接入,不需要購買的專業VPN裝置
(l2tp vpn、ssl vpn可以使用浏覽器進行使用)
目前看騰訊雲也支援了ssl vpn,現在是在内測中,大家可以去申請體驗下。