VPN即虚拟专用网,泛指通过VPN技术在公用网络上构建的虚拟专用网络。VPN用户在此虚拟网络中传输私网流量,在不改变网络现状的情况下实现安全、可靠的连接。传统上,企业基于专用的通信线路构建Intranet。这种方式昂贵而缺乏灵活性。而通过Internet直接连接各个分支机构又缺乏安全性和扩展性。因此VPN(VirtualPrivateNetwork,虚拟专用网)技术应运而生。
专用:VPN虚拟网络是专门给VPN用户使用的网络,对于用户而言,使用VPN和Internet,用户是不感知的,是由VPN虚拟网络提供安全保证。
虚拟:相对于公有网络而言,VPN网络是虚拟的,是逻辑意义上的一个专网。
一、VPN的需求背景现代企业在发展过程中,对网络提出了越来越高的要求。而仅采用传统路由交换和广域网连接技术构建企业网时,网络将面对路由设计、地址规划、安全保护、成本、灵活性等各方面的挑战。
1、企业、组织、商家等对专用网有强大的需求;
2、高性能、高速度、高安全性是专用网明显的优势;
、物理专用网价格高昂,物理架设实施有难度,传统的通过租用专线或拨号网络的方式越来越不适用(性价比低);
4、TCP/IP协议本身的局限性,不能保证信息直接传输的保密性。TCP/IP协议在设计之初是基于可信环境的,没有考虑安全问题,所以在TCP/IP协议本身存在许多固有的安全缺陷。
VPN定义:是指依靠ISP或其他NSP在公用网络基础设施上构建的专用的安全数据通信网络,只不过这个专线网络是指逻辑上而不是物理上的,所以称之为虚拟专用网;
虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源建立自己的私有网络;
专用:用户可以制定最符合自身需求的网络;
核心技术:隧道技术。
二、VPN实现方式1、隧道
VPN技术的基本原理是利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。
位于隧道两端的VPN网关,通过对原始报文的“封装”和“解封装”,建立一个点到点的虚拟通信隧道。
2、身份认证、数据加密与验证
身份认证、数据加密和认证技术可以有效保证VPN网络与数据的安全性;身份认证:可用于部署了远程接入VPN的场景,VPN网关对用户的身份进行认证,保证接入网络的都是合法用户而非恶意用户。也可以用于VPN网关之间对对方身份的认证;
数据加密:将明文通过加密变成密文,使得数据即使被黑客截获,黑客也无法获取其中的信息;
数据验证:通过数据验证技术对报文的完整性和真伪进行检查,丢弃被伪造和被篡改的报文。
三、VPN的分类按照业务用途的不同,可以将VPN划分为IntranetVPN、ExtranetVPN等:
IntranetVPN:通过使用IntranetVPN,组织可以跨越公共骨干网络,甚至可以跨越Internet,在全球范围内连接其各个分支节点。而与此同时,组织仅需支付较少的费用。因为IntranetVPN主要用于站点间的互连,所以又称为Site-to-SiteVPN(站点到站点VPN)。IntranetVPN可以减少组织花费在租用运营商专线或广域网连接上的巨额费用。同时,企业可以自由规划网络的逻辑连接结构,随时布署新的逻辑拓扑,大大缩短了变更周期。通过额外的逻辑和物理连接,还可以利用IntranetVPN强化Intranet的可靠性。ExtranetVPN:ExtranetVPN通过共享的Internet基础设施,将企业与其客户、上游供应商、合作伙伴及相关组织等连接在一起。ExtranetVPN不但可以提供组织之间的互通,而且随着业务和相关组织的变化,组织可以随时扩充、修改或重新布署ExtranetVPN网络结构。
按照运营模式的不同,可以将VPN划分为CPE-BasedVPN、Network-BasedVPN等:CPE-BasedVPN:CPE(CustomerPremiseEquipment,用户前端设备)是指放置在用户侧,直接连接到运营商网络的网络设备。CPE可以是一台路由器、防火墙、或者是专用的VPN网关。在CPE-BasedVPN中,CPE必须支持VPN特性,负责建立和维护VPN连接,连接到VPN隧道的另一个终结点一一其它的CPE设备。因此用户通常需要自行采购这些CPE设备,并且自行在各个站点之间配置VPN隧道。有时也可以委托运营商或第三方服务提供商进行配置和管理。CPE-BasedVPN的好处是,用户可以自由布署、任意扩展VPN网络结构,但同时也必须具有相当的专业技术能力。在没有运营商支持的情况下,CPE-BasedVPN的服务质量保障也同样是一个问题。
Network-BasedVPN:在Network-BasedVPN中,VPN的发起和终结设备放置在运营商网络侧,由运营商负责采购此类支持复杂VPN特性的设备,布署并管理VPN网络。用户CPE设备不需要感知VPN的存在,也不需要支持复杂的VPN特性。用户无须关心VPN的具体实现,只需要向运营商提出需求,订购服务即可。Network-BasedVPN不但把用户从繁杂的VPN设计、布署和维护中解放出来:而且为运营商提供了低价格高价值的新业务产品。在Network-BasedVPN中,有了运营商的全面参与,服务质量也可以得到有效保障。按照OSI模型层次的不同,可以将VPN划分为Layer2VPN、LayerVPN等:L2VPN(Layer2VPN,二层VPN):在L2VPN中,载荷协议处于OSI参考模型的数据链路层,承载协议直接封装载荷协议帧(Frame)。比较典型的L2VPN技术是L2TP(Layer2TunnelProtocol,二层隧道协议)。L2TP允许在IP隧道中传送二层的PPP帧。LVPN(LayerVPN,三层VPN):在LVPN中,载荷协议处于OSI参考模型的网络层,承载协议直接封装载荷协议包(Packet)。比较典型的LVPN技术是GRE(GenericRoutingEncapsulation,通用路由封装)。GRE对三层数据包加以封装,可以构建GRE隧道,这就是一种网络层隧道。四、主要VPN技术1、L2VPN技术
L2TP(Layer2TunnelingProtocol):二层隧道协议,由IETF起草,微软等公司参与,结合了PPTP和L2F协议的优点,为众多公司所接受。并且已经成为标准RFC。L2TP既可用于实现拨号VPN业务(VPDN接入),也可用于实现专线VPN业务。
QinQ:QinQ是.1Qin.1Q的简称,是基于IEEE.1Q技术的一种比较简单的二层VPN协议。通过将一层VLANTag封装到私网报文上,使其携带两层VLANTag穿越运营商的骨干网络,从而使运营商能够利用一个VLAN为包含多个VLAN的用户网络提供服务。
MPLSL2VPN:在MPLS(Multi-ProtocolLabelSwitching,多协议标签交换)的基础上发展出了多种二层VPN技术,如Martini和Kompella,CCC实现的VLL方式的VPN,以及VPLS方式的VPN。
2、LVPN技术
GRE(GenericRoutingEncapsulation,通用路由封装):GRE是为了在任意一种协议中封装任意一种协议而设计的封装方法。IETF在RFC中规范了GRE的标准。GRE封装并不要求任何一种对应的VPN协议或实现,任何的VPN体系均可以选择GRE或者其它方法用于其VPN隧道。GRE可以用来对任意一种网络层协议(如IPv6)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络(如IPv4)中传输。封装前后数据报文的网络层协议可以相同,也可以不同。封装后的数据报文在网络中传输的路径,称为GRE隧道。GRE隧道是一个虚拟的点到点的连接,其两端的设备分别对数据报文进行封装及解封装。
IPsec(IPSecurity):是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、基于密码学的安全保证。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道。IPsec协议不是一个单独的协议,它为IP层上的网络数据安全提供了整套安全体系结构,包括安全协议AH(AuthenticationHeader,认证头)和ESP(EncapsulatingSecurityPayload,封装安全载荷)、IKE(InternetKeyExchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。IPsec可以实现对数据的私密性、完整性保护和源验证。
BGP/MPLSLVPN:是利用MPLS和MP-BGP(MutiProtocoBGP,多协议),BGP技术实现的三层VPN。它不但实现了网络控制平面与转发平面相分离,核心承载网络路由与客户网络路由相分离,边缘策略与核心转发相分离,CPE设备与复杂的VPN基础构造配置相分离,IP地址空间隔离等,而日具备了良好的灵活性、可维护性和扩展性。
这就是本次分享的IT资讯,希望看完这篇文章可以帮助您解决困惑。
