虚拟专用网络(VPN)的功能是在公共网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目的地址的转换实现远程访问。

目录

  1. VPN工作原理
  2. VPN分类
    1. 按VPN的协议分类
    2. 按VPN的应用分类
    3. 按所用的设备类型分类
    4. 按照实现原理分类
  3. VPN的实现方式
  4. 常用VPN技术

VPN工作原理

假设某企业总部A网络中搭建的系统服务器地址为10.0.1.10,位于总部的计算机可以直接通过内网地址进行访问,但位于外地的分公司B无法访问该内网地址,这时,VPN就起到了很重要的作用,分公司B可以通过搭建的虚拟专用网络接入到总部的局域网来访问这台服务器。

  1. VPN网关一般采用双网卡结构,内网卡接入公司总部A的内部局域网络,外网卡使用公网IP接入Internet。假设分公司B的终端192.168.0.2需要访问总公司A的服务器10.0.1.10,其发出的数据包的目的地址就是10.0.1.10。
  1. 分公司B局域网的VPN网关在接受到终端192.168.0.2发出的数据包① 时,对其目的地址10.0.1.10进行检查,发现目标地址属于总公司A的网络地址,于是将数据包①根据采用的VPN技术进行封装,同时VPN网关会构造一个新的VPN数据包②,并将封装后的原数据包①作为VPN数据包②的负载,VPN数据包的目的地址为公司总部A网络的VPN网关的公共IP地址。
  1. 分公司B局域网的VPN网关将VPN数据包发送到Internet外网中,由于VPN数据包的目的地址是总部A网络的VPN网关的外部地址,所以该数据包将被Internet的路由正确地发送到总部A网络的VPN网关。
  1. 总部A网络的VPN网关对接收的数据包②进行检查,如果发现该数据包是从分公司B网络的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包。解包的过程主要是将VPN数据包的包头剥离,将负载通过VPN技术反向处理还原成原始的数据包①。
  1. 总部A网络的VPN网关将还原后的原始数据包发送至目标服务器10.0.1.10。在服务器10.0.1.10看来,它收到的数据包就跟从终端192.168.0.2直接发送过来的一样。
  1. 从服务器10.0.1.10返回终端192.168.0.2的数据包处理过程与上述过程原理是一样的。这样就完成了整个通过VPN的访问。

VPN分类

按VPN的协议分类

VPN的隧道协议主要有三种:PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为第二层隧道协议;IPSec是第三层隧道协议。

按VPN的应用分类

  1. Access VPN(远程接入VPN):客户端到网关,使用公网IP作为骨干网络在设备之间传输VPN数据流量。

  2. Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。

  3. Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

按所用的设备类型分类

  1. 路由器式VPN:路由器式VPN部署比较容易,只要在路由器上添加VPN服务即可。

  2. 交换机式VPN:主要应用于连接用户比较少的VPN网络。

  3. 防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,很多厂家都提供这种配置类型。

按照实现原理分类

  1. 重叠VPN:此VPN需要用户自己建立节点之间的VPN链路,主要包括:GRE、L2TP、IPSec等众多技术。

  2. 对等VPN:由网络运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术。

VPN的实现方式

  1. VPN服务器:在大型局域网中,可以通过网络中心搭建VPN服务器的方法实现VPN。

  2. 软件VPN:可以通过使用专用的软件实现VPN。

  3. 硬件VPN:可可以通过使用专用的硬件实现VPN。

  4. 集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能。

常用VPN技术

  1. MPLS VPN是一种基于MPLS技术的IP VPN,是在网络路由和交换设备上应用MPLS(Multi-Protocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。

  2. SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。

  3. IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。