前言
VPN技術還是企業比較常用的通信技術,如果一個企業的分公司和總部的互訪,或者出差員工需要訪問總部的網絡,都會使用VPN技術;
本章節我們會介紹常見的幾種VPN技術,主要包括IPsec VPN、GRE VPN、L2TP VPN、MPLS VPN等。
什么是VPN
1、VPN技術出現背景
一個技術的出現都是由于某種需求觸發的。那么為什么會出現VPN技術呢?VPN技術解決了什么問題呢?
在沒有VPN之前,企業的總部和分部之間的互通都是采用運營商的internet進行通信,那么Internet中往往是不安全的,通信的內容可能被竊取、修改等,從而造成安全事件。
那么有沒有一種技術既能實現總部和分部間的互通,也能夠保證數據傳輸的安全性呢?
答案是:當然有!
一開始大家想到的是專線,在總部和分部拉條專線,只傳輸自己的業務,但是這個專線的費用卻不是一般公司能夠承受的。而且維護也很困難。
那么有沒有成本也比較低的方案呢?
答案是:當然有!那就是VPN。
VPN通過在現有的Internet網中構建專用的虛擬網絡,實現企業總部和分部的通信,解決了互通、安全、成本的問題。
2、什么是VPN技術
那么什么是VPN技術嗎?
VPN即虛擬專用網,指通過VPN技術在公有網絡中構建專用的虛擬網絡。
用戶在此虛擬網絡中傳輸流量,從而在Internet網絡中實現安全、可靠的連接。
(1)專用:
VPN虛擬網絡是專門給VPN用戶使用的網絡,對于用戶而言,使用VPN和Internet,用戶是不感知的,是由VPN虛擬網絡提供安全保證。
(2)虛擬:
相對于公有網絡而言,VPN網絡是虛擬的,是邏輯意義上的一個專網。
3、VPN技術優勢
VPN和傳統的公網Internet相比具有如下優勢:
安全:在遠端用戶、駐外機構、合作伙伴、供應商與公司總部之間建立可靠的連接,保證數據傳輸的安全性。這對于實現電子商務或金融網絡與通訊網絡的融合特別重要。
成本低:利用公共網絡進行信息通訊,企業可以用更低的成本連接遠程辦事機構、出差人員和業務伙伴。
支持移動業務:支持出差VPN用戶在任何時間、任何地點的移動接入,能夠滿足不斷增長的移動業務需求。
可擴展性:由于VPN為邏輯上的網絡,物理網絡中增加或修改節點,不影響VPN的部署。
1、根據VPN建設單位不同進行劃分
(1)租用運營商VPN專線搭建企業網絡
運營商的專線網絡大多數都是使用的MPLS VPN。
企業通過購買運營商提供的VPN專線服務實現總部和分部間的通信需求。VPN網關為運營商所有。
(2)企業自建VPN網絡
企業自己基于Internet自建vpn網絡,常見的如IPsec VPN、GRE VPN、L2TP VPN。
企業自己購買VPN網絡設備,搭建自己的VPN網絡,實現總部和分部的通信,或者是出差員工和總部的通信。
2、根據組網方式進行劃分
(1)遠程訪問VPN
這種方式適用于出差員工撥號接入VPN的方式,員工可以在只要有Internet的地方都可以通過VPN接入訪問內網資源。
最常見的就是SSL VPN、L2TP VPN。
(2)站點到站點的VPN
這種方式適用于企業兩個局域網互通的情況。例如企業的分部訪問總部。最常見的就是MPLS VPN、IPSEC VPN。
3、根據工作網絡層次進行劃分
VPN可以按照工作層次進行劃分:
(1)應用層:SSL VPN
(2)網絡層:IPSEC VPN 、GRE VPN
(3)數據鏈路層:L2TP VPN、PPTP VPN
VPN關鍵技術
1、隧道技術
VPN技術的基本原理其實就是用的隧道技術,就類似于火車的軌道、地鐵的軌道一樣,從A站點到B站點都是直通的,不會堵車。對于乘客而言,就是專車。
隧道技術其實就是對傳輸的報文進行封裝,利用公網的建立專用的數據傳輸通道,從而完成數據的安全可靠性傳輸。
可以看到原始報文在隧道的一端進行封裝,封裝后的數據在公網上傳輸,在隧道另一端進行解封裝,從而實現了數據的安全傳輸。
隧道通過隧道協議實現。如GRE(Generic Routing Encapsulation)、L2TP(Layer 2 Tunneling Protocol)等。
隧道協議通過在隧道的一端給數據加上隧道協議頭,即進行封裝,使這些被封裝的數據能都在某網絡中傳輸,并且在隧道的另一端去掉該數據攜帶的隧道協議頭,即進行解封裝。
報文在隧道中傳輸前后都要通過封裝和解封裝兩個過程。
2、身份認證、數據加密、數據驗證
身份認證、數據加密、數據驗證可以有效保證VPN網絡和數據的安全性。
身份認證:VPN網關對接入VPN的用戶進行身份認證,保證接入的用戶都是合法用戶。
數據加密:將明文通過加密技術成密文,哪怕信息被獲取了,也無法識別。
數據驗證:通過數據驗證技術驗證報文的完整性和真偽進行檢查,防止數據被篡改。
VPN隧道身份認證、數據加密、驗證如下:
— END —
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
