VPN屬于遠程訪問技術,簡單來說就是利用公網(wǎng)建立專網(wǎng)。比如某公司員工出差到外地,想訪問內網(wǎng)的服務器資源,這種訪問屬于遠程訪問。(聲明:文章僅供參考對比;請勿用于任何違法行為;)
在傳統(tǒng)的企業(yè)網(wǎng)絡配置中,傳統(tǒng)的遠程訪問方法是租用DDN(數(shù)字數(shù)據(jù)網(wǎng))專線或幀中繼,這必然會導致網(wǎng)絡通信和維護成本高。對于移動用戶(移動辦公人員)和遠程個人用戶來說,他們通常通過撥號線路(互聯(lián)網(wǎng))進入企業(yè)局域網(wǎng),但這必然會帶來安全隱患。
外籍員工訪問內網(wǎng)資源和使用VPN的解決方案是在內網(wǎng)設置一個VPN服務器。外地員工在本地接入互聯(lián)網(wǎng)后,通過互聯(lián)網(wǎng)接入VPN服務器,再通過VPN服務器進入內網(wǎng)。為了保證數(shù)據(jù)安全,VPN服務器和客戶端之間的通信數(shù)據(jù)是加密的。有了數(shù)據(jù)加密,可以認為數(shù)據(jù)是在一個特殊的數(shù)據(jù)鏈路上安全傳輸?shù)模拖窠⒁粋€特殊的網(wǎng)絡一樣。但實際上,VPN使用的是互聯(lián)網(wǎng)上的公共鏈路,所以VPN被稱為虛擬專用網(wǎng),本質上是利用加密技術在公共網(wǎng)絡上封裝一個數(shù)據(jù)通信隧道。有了VPN技術,用戶只要能接入互聯(lián)網(wǎng),無論是出國旅游還是在國內工作,都可以使用VPN訪問內網(wǎng)資源,這也是VPN在企業(yè)得到廣泛應用的原因。
VPN網(wǎng)關一般采用雙網(wǎng)卡結構,外部網(wǎng)卡使用公網(wǎng)IP接入互聯(lián)網(wǎng)。
網(wǎng)絡一的終端a(假設為公共互聯(lián)網(wǎng))接入網(wǎng)絡二的終端B(假設為企業(yè)內網(wǎng)),終端a發(fā)送的接入數(shù)據(jù)包的目的地址為終端B的內部IP地址。
網(wǎng)絡一的VPN網(wǎng)關在接收到終端a發(fā)送的接入數(shù)據(jù)包時,會檢查自己的目標地址,如果目標地址屬于網(wǎng)絡二的地址,那么數(shù)據(jù)包會根據(jù)不同的VPN技術以不同的方式封裝。同時,VPN網(wǎng)關將構建一個新的VPN數(shù)據(jù)包,并將封裝后的原始數(shù)據(jù)包作為VPN數(shù)據(jù)包的負載。虛擬專用網(wǎng)數(shù)據(jù)包的目標地址是網(wǎng)絡二的虛擬專用網(wǎng)網(wǎng)關的外部地址。
網(wǎng)絡一的虛擬專用網(wǎng)網(wǎng)關將虛擬專用網(wǎng)包發(fā)送到互聯(lián)網(wǎng)。由于VPN數(shù)據(jù)包的目的地址是網(wǎng)絡二的VPN網(wǎng)關的外部地址,因此數(shù)據(jù)包將通過互聯(lián)網(wǎng)中的路由正確發(fā)送到網(wǎng)絡二的VPN網(wǎng)關。
第二網(wǎng)絡的VPN網(wǎng)關檢查接收到的數(shù)據(jù)包,如果發(fā)現(xiàn)該數(shù)據(jù)包是從第一網(wǎng)絡的VPN網(wǎng)關發(fā)送的,則可以確定該數(shù)據(jù)包是VPN數(shù)據(jù)包,并解包。拆包的過程主要是剝離VPN數(shù)據(jù)包的報頭,然后對數(shù)據(jù)包進行反向處理,恢復原始數(shù)據(jù)包。
第二網(wǎng)絡的VPN網(wǎng)關將恢復后的原始數(shù)據(jù)包發(fā)送給目標終端B,由于原始數(shù)據(jù)包的目標地址是終端B的IP,因此可以將數(shù)據(jù)包正確發(fā)送給終端B。在終端b看來,它收到的數(shù)據(jù)包與終端a直接發(fā)送的數(shù)據(jù)包是一樣的。
從終端B到終端A的數(shù)據(jù)包處理過程與上述過程相同,使得兩個網(wǎng)絡中的終端可以相互通信。
從上面的描述可以發(fā)現(xiàn),VPN網(wǎng)關處理數(shù)據(jù)包時,有兩個參數(shù)對VPN通信非常重要:原始數(shù)據(jù)包的目的地址(VPN目的地址)和遠程VPN網(wǎng)關的地址。VPN網(wǎng)關根據(jù)VPN目標地址,可以判斷VPN處理了哪些數(shù)據(jù)包,不需要處理的數(shù)據(jù)包通常可以直接轉發(fā)到上級路由;遠程VPN網(wǎng)關地址指定處理后的VPN數(shù)據(jù)包的目的地址,即VPN隧道另一端的VPN網(wǎng)關地址。由于網(wǎng)絡通信是雙向的,隧道兩端的VPN網(wǎng)關在進行VPN通信時必須知道VPN目的地址和對應的遠程VPN網(wǎng)關地址。(聲明:文章僅供參考對比;請勿用于任何違法行為;)
VPN的基本流程如下:
①保護主機向其他VPN設備發(fā)送明文信息。
②VPN設備根據(jù)網(wǎng)絡管理員設置的規(guī)則決定是加密數(shù)據(jù)還是直接傳輸數(shù)據(jù)。
③對于要加密的數(shù)據(jù),VPN設備對整個數(shù)據(jù)包(包括要傳輸?shù)臄?shù)據(jù)、源IP地址和目的lP地址)進行加密,附加數(shù)據(jù)簽名,并添加新的數(shù)據(jù)頭(包括目的VPN設備所需的安全信息和一些初始化參數(shù))進行重新打包。
④封裝的數(shù)據(jù)包通過隧道在公共網(wǎng)絡上傳輸。
⑤數(shù)據(jù)包到達目的VPN設備后,解封,驗證數(shù)字簽名正確后解密數(shù)據(jù)包。
根據(jù)不同的分類標準,虛擬專用網(wǎng)可以根據(jù)幾個標準進行分類:
按VPN協(xié)議分類
VPN主要有三種隧道協(xié)議,PPTP、L2TP和IPSec,其中PPTP和L2TP工作在OSI模型的第二層,也稱為第二層隧道協(xié)議。IPSec是第3層隧道協(xié)議。
按虛擬專用網(wǎng)應用分類
(1)接入VPN(遠程接入VPN):從客戶端到網(wǎng)關,VPN數(shù)據(jù)流量以公網(wǎng)為骨干網(wǎng)在設備間傳輸;
(2)內網(wǎng)VPN:網(wǎng)關到網(wǎng)關,通過公司的網(wǎng)絡架構連接來自同一公司的資源;VPN):它與伙伴企業(yè)網(wǎng)絡形成外聯(lián)網(wǎng),將一家公司的資源與另一家公司的資源連接起來。(聲明:文章僅供參考對比;請勿用于任何違法行為;)
根據(jù)所用設備的類型進行分類
根據(jù)不同客戶的需求,網(wǎng)絡設備提供商開發(fā)了不同的VPN網(wǎng)絡設備,主要是交換機、路由器和防火墻:
(1)路由器VPN:路由器VPN容易部署,只要給路由器增加VPN服務;
(2)交換式VPN:主要用于連接用戶較少的VPN網(wǎng)絡;
根據(jù)實施原則
(1)重疊VPN:這種VPN要求用戶在端節(jié)點之間建立VPN鏈路,主要包括GRE、L2TP、IPSec等多種技術。
(2)對等VPN:網(wǎng)絡運營商在骨干網(wǎng)上完成VPN通道的建立,主要包括MPLS和VPN技術。
VPN的實現(xiàn)方式有很多種,其中常用的有以下四種:
1.VPN服務器:在大型局域網(wǎng)中,可以通過在網(wǎng)絡中心設置一個VPN服務器來實現(xiàn)VPN。
2.軟件VPN: VPN可以通過專門的軟件實現(xiàn)。
3.硬件VPN: VPN可以通過專門的硬件來實現(xiàn)。
4.集成VPN:一些硬件設備,如路由器、防火墻等。,都有VPN功能,但有VPN功能的硬件設備通常比沒有此功能的多。
優(yōu)勢
虛擬專用網(wǎng)使移動員工、遠程員工、商業(yè)伙伴和其他人能夠使用本地可用的高速寬帶網(wǎng)絡連接(如數(shù)字用戶線路、有線電視或無線網(wǎng)絡)連接到企業(yè)網(wǎng)絡。此外,高速寬帶網(wǎng)絡連接為連接遠程辦公室提供了一種經(jīng)濟高效的方法。(聲明:文章僅供參考對比;請勿用于任何違法行為;)
設計良好的寬帶VPN是模塊化和可擴展的。虛擬專用網(wǎng)使用戶能夠使用易于設置的互聯(lián)網(wǎng)基礎設施,并允許新用戶快速方便地加入網(wǎng)絡。這種能力意味著企業(yè)可以提供大量容量和應用程序,而無需添加額外的基礎架構。
VPN可以提供高級別的安全性,使用高級加密和識別協(xié)議來保護數(shù)據(jù)免受窺探,并防止數(shù)據(jù)竊賊和其他未經(jīng)授權的用戶接觸此類數(shù)據(jù)。
完全控制,虛擬專用網(wǎng)使用戶能夠利用ISP的設施和服務,同時完全控制自己的網(wǎng)絡。用戶只使用ISP提供的網(wǎng)絡資源,可以自行管理其他安全設置和網(wǎng)管變更。您也可以在企業(yè)內部建立自己的虛擬專用網(wǎng)絡。
劣勢
企業(yè)無法直接控制基于互聯(lián)網(wǎng)的VPN的可靠性和性能。組織必須依靠提供VPN的互聯(lián)網(wǎng)服務提供商來確保服務的運行。這一因素使得企業(yè)與互聯(lián)網(wǎng)服務提供商簽訂服務水平協(xié)議非常重要,保證了各項績效指標。
企業(yè)創(chuàng)建和部署VPN線路并不容易。這項技術需要對網(wǎng)絡和安全問題有很高的理解,并需要仔細的規(guī)劃和配置。所以,選擇一個互聯(lián)網(wǎng)服務提供商來負責VPN的大部分運行是個不錯的主意。
不同供應商的VPN產品和解決方案總是不兼容,因為許多供應商不愿意或無法遵守VPN技術標準。因此,混合使用不同制造商的產品可能會造成技術問題。另一方面,使用一個供應商的設備可能會增加成本。
VPN在使用無線設備時存在安全隱患。接入點之間的漫游尤其成問題。當用戶在接入點之間漫游時,任何使用高級加密技術的解決方案都可能受到威脅。
2003年4月,信息產業(yè)部發(fā)布了《電信業(yè)務分類目錄》,取消了國際電信業(yè)務的分類,同時將虛擬專網(wǎng)業(yè)務從基礎電信業(yè)務中分離出來,成為增值電信業(yè)務的獨立分類。但是這里的“虛擬專用網(wǎng)”的概念和行業(yè)內的VPN服務是不一樣的。新的《電信業(yè)務分類目錄》對這一分類的解釋是:國內互聯(lián)網(wǎng)虛擬專用網(wǎng)業(yè)務(IP-VPN)是指運營商利用自有或租用的公共互聯(lián)網(wǎng)網(wǎng)絡資源,采用TCP/IP協(xié)議為國內用戶定制互聯(lián)網(wǎng)封閉用戶組網(wǎng)絡的業(yè)務。這個分類的解釋強調了兩個特點,一個是使用互聯(lián)網(wǎng)網(wǎng)絡資源,一個是使用TCP/IP協(xié)議。這個解釋對應當時的市場情況。當時,基于互聯(lián)網(wǎng)的IPSec VPN備受關注。雖然這個解釋基本上可以涵蓋后來出現(xiàn)的SSL VPN模式,但是并沒有關注MPLS VPN。
2006年1月,信息產業(yè)部發(fā)布《關于兩項增值電信業(yè)務和國內多方通信業(yè)務的通知》,正式開通“國內互聯(lián)網(wǎng)虛擬專用網(wǎng)業(yè)務”和“在線數(shù)據(jù)處理和交易處理業(yè)務”兩項增值電信業(yè)務,上述兩項增值電信業(yè)務由商業(yè)試運營轉為正式商業(yè)化。
2013年,工業(yè)和信息化部發(fā)布了《電信業(yè)務分類目錄(征求意見稿)》,仍未做出任何修改。
2015年1月27日,工信部回應VPN關閉事件,稱部分不良信息應按中國法律管理。工信部此前發(fā)布規(guī)定,在中國提供VPN服務的公司必須注冊,否則“不受中國法律保護”。
2017年1月,工信部發(fā)布《關于清理規(guī)范互聯(lián)網(wǎng)網(wǎng)絡結構服務市場的通知》,主要是為了更好地規(guī)范市場行為。監(jiān)管對象主要是未經(jīng)電信主管部門批準,不具備國際電信業(yè)務經(jīng)營資格,租用國際專線或VPN,非法開展跨境電信業(yè)務經(jīng)營的企業(yè)和個人。這些規(guī)定主要是清理無證經(jīng)營和不符合標準的,不會對依法合規(guī)的企業(yè)和個人產生任何影響。有不懂的請咨詢夢飛服務器了解。
以上就是VPN功能的相關文章(聲明:文章僅供參考對比;請勿用于任何違法行為;)在此聲明:夢飛科技沒有vpn,也不出售vpn,請勿咨詢!
