网络问题

虚拟专用网(VPN)的功能

2021-03-10
0
虚拟专用网(VPN)的功能是在公共网络上建立专用网络进行加密通信。它广泛应用于企业网络。VPN网关通过加密数据包和转换数据包的目的地址来实现远程访问。VPN可以通过服务器、硬件和软件来实现。
VPN属于远程访问技术,简单来说就是利用公网建立专网。比如某公司员工出差到外地,想访问内网的服务器资源,这种访问属于远程访问。(声明:文章仅供参考对比;请勿用于任何违法行为;)

在传统的企业网络配置中,传统的远程访问方法是租用DDN(数字数据网)专线或帧中继,这必然会导致网络通信和维护成本高。对于移动用户(移动办公人员)和远程个人用户来说,他们通常通过拨号线路(互联网)进入企业局域网,但这必然会带来安全隐患。

 
外籍员工访问内网资源和使用VPN的解决方案是在内网设置一个VPN服务器。外地员工在本地接入互联网后,通过互联网接入VPN服务器,再通过VPN服务器进入内网。为了保证数据安全,VPN服务器和客户端之间的通信数据是加密的。有了数据加密,可以认为数据是在一个特殊的数据链路上安全传输的,就像建立一个特殊的网络一样。但实际上,VPN使用的是互联网上的公共链路,所以VPN被称为虚拟专用网,本质上是利用加密技术在公共网络上封装一个数据通信隧道。有了VPN技术,用户只要能接入互联网,无论是出国旅游还是在国内工作,都可以使用VPN访问内网资源,这也是VPN在企业得到广泛应用的原因。

VPN网关一般采用双网卡结构,外部网卡使用公网IP接入互联网。

网络一的终端a(假设为公共互联网)接入网络二的终端B(假设为企业内网),终端a发送的接入数据包的目的地址为终端B的内部IP地址。

网络一的VPN网关在接收到终端a发送的接入数据包时,会检查自己的目标地址,如果目标地址属于网络二的地址,那么数据包会根据不同的VPN技术以不同的方式封装。同时,VPN网关将构建一个新的VPN数据包,并将封装后的原始数据包作为VPN数据包的负载。虚拟专用网数据包的目标地址是网络二的虚拟专用网网关的外部地址。

网络一的虚拟专用网网关将虚拟专用网包发送到互联网。由于VPN数据包的目的地址是网络二的VPN网关的外部地址,因此数据包将通过互联网中的路由正确发送到网络二的VPN网关。

第二网络的VPN网关检查接收到的数据包,如果发现该数据包是从第一网络的VPN网关发送的,则可以确定该数据包是VPN数据包,并解包。拆包的过程主要是剥离VPN数据包的报头,然后对数据包进行反向处理,恢复原始数据包。

第二网络的VPN网关将恢复后的原始数据包发送给目标终端B,由于原始数据包的目标地址是终端B的IP,因此可以将数据包正确发送给终端B。在终端b看来,它收到的数据包与终端a直接发送的数据包是一样的。

从终端B到终端A的数据包处理过程与上述过程相同,使得两个网络中的终端可以相互通信。

从上面的描述可以发现,VPN网关处理数据包时,有两个参数对VPN通信非常重要:原始数据包的目的地址(VPN目的地址)和远程VPN网关的地址。VPN网关根据VPN目标地址,可以判断VPN处理了哪些数据包,不需要处理的数据包通常可以直接转发到上级路由;远程VPN网关地址指定处理后的VPN数据包的目的地址,即VPN隧道另一端的VPN网关地址。由于网络通信是双向的,隧道两端的VPN网关在进行VPN通信时必须知道VPN目的地址和对应的远程VPN网关地址。(声明:文章仅供参考对比;请勿用于任何违法行为;)

VPN的基本流程如下:

①保护主机向其他VPN设备发送明文信息。

②VPN设备根据网络管理员设置的规则决定是加密数据还是直接传输数据。

③对于要加密的数据,VPN设备对整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密,附加数据签名,并添加新的数据头(包括目的VPN设备所需的安全信息和一些初始化参数)进行重新打包。

④封装的数据包通过隧道在公共网络上传输。

⑤数据包到达目的VPN设备后,解封,验证数字签名正确后解密数据包。

根据不同的分类标准,虚拟专用网可以根据几个标准进行分类:

按VPN协议分类

VPN主要有三种隧道协议,PPTP、L2TP和IPSec,其中PPTP和L2TP工作在OSI模型的第二层,也称为第二层隧道协议。IPSec是第3层隧道协议。

按虚拟专用网应用分类

(1)接入VPN(远程接入VPN):从客户端到网关,VPN数据流量以公网为骨干网在设备间传输;

(2)内网VPN:网关到网关,通过公司的网络架构连接来自同一公司的资源;VPN):它与伙伴企业网络形成外联网,将一家公司的资源与另一家公司的资源连接起来。(声明:文章仅供参考对比;请勿用于任何违法行为;)

根据所用设备的类型进行分类

根据不同客户的需求,网络设备提供商开发了不同的VPN网络设备,主要是交换机、路由器和防火墙:

(1)路由器VPN:路由器VPN容易部署,只要给路由器增加VPN服务;

(2)交换式VPN:主要用于连接用户较少的VPN网络;

根据实施原则

(1)重叠VPN:这种VPN要求用户在端节点之间建立VPN链路,主要包括GRE、L2TP、IPSec等多种技术。

(2)对等VPN:网络运营商在骨干网上完成VPN通道的建立,主要包括MPLS和VPN技术。

VPN的实现方式有很多种,其中常用的有以下四种:

1.VPN服务器:在大型局域网中,可以通过在网络中心设置一个VPN服务器来实现VPN。

2.软件VPN: VPN可以通过专门的软件实现。

3.硬件VPN: VPN可以通过专门的硬件来实现。

4.集成VPN:一些硬件设备,如路由器、防火墙等。,都有VPN功能,但有VPN功能的硬件设备通常比没有此功能的多。

优势

虚拟专用网使移动员工、远程员工、商业伙伴和其他人能够使用本地可用的高速宽带网络连接(如数字用户线路、有线电视或无线网络)连接到企业网络。此外,高速宽带网络连接为连接远程办公室提供了一种经济高效的方法。(声明:文章仅供参考对比;请勿用于任何违法行为;)

设计良好的宽带VPN是模块化和可扩展的。虚拟专用网使用户能够使用易于设置的互联网基础设施,并允许新用户快速方便地加入网络。这种能力意味着企业可以提供大量容量和应用程序,而无需添加额外的基础架构。

VPN可以提供高级别的安全性,使用高级加密和识别协议来保护数据免受窥探,并防止数据窃贼和其他未经授权的用户接触此类数据。

完全控制,虚拟专用网使用户能够利用ISP的设施和服务,同时完全控制自己的网络。用户只使用ISP提供的网络资源,可以自行管理其他安全设置和网管变更。您也可以在企业内部建立自己的虚拟专用网络。

劣势

企业无法直接控制基于互联网的VPN的可靠性和性能。组织必须依靠提供VPN的互联网服务提供商来确保服务的运行。这一因素使得企业与互联网服务提供商签订服务水平协议非常重要,保证了各项绩效指标。

企业创建和部署VPN线路并不容易。这项技术需要对网络和安全问题有很高的理解,并需要仔细的规划和配置。所以,选择一个互联网服务提供商来负责VPN的大部分运行是个不错的主意。

不同供应商的VPN产品和解决方案总是不兼容,因为许多供应商不愿意或无法遵守VPN技术标准。因此,混合使用不同制造商的产品可能会造成技术问题。另一方面,使用一个供应商的设备可能会增加成本。
VPN在使用无线设备时存在安全隐患。接入点之间的漫游尤其成问题。当用户在接入点之间漫游时,任何使用高级加密技术的解决方案都可能受到威胁。

2003年4月,信息产业部发布了《电信业务分类目录》,取消了国际电信业务的分类,同时将虚拟专网业务从基础电信业务中分离出来,成为增值电信业务的独立分类。但是这里的“虚拟专用网”的概念和行业内的VPN服务是不一样的。新的《电信业务分类目录》对这一分类的解释是:国内互联网虚拟专用网业务(IP-VPN)是指运营商利用自有或租用的公共互联网网络资源,采用TCP/IP协议为国内用户定制互联网封闭用户组网络的业务。这个分类的解释强调了两个特点,一个是使用互联网网络资源,一个是使用TCP/IP协议。这个解释对应当时的市场情况。当时,基于互联网的IPSec VPN备受关注。虽然这个解释基本上可以涵盖后来出现的SSL VPN模式,但是并没有关注MPLS VPN。

2006年1月,信息产业部发布《关于两项增值电信业务和国内多方通信业务的通知》,正式开通“国内互联网虚拟专用网业务”和“在线数据处理和交易处理业务”两项增值电信业务,上述两项增值电信业务由商业试运营转为正式商业化。

2013年,工业和信息化部发布了《电信业务分类目录(征求意见稿)》,仍未做出任何修改。

2015年1月27日,工信部回应VPN关闭事件,称部分不良信息应按中国法律管理。工信部此前发布规定,在中国提供VPN服务的公司必须注册,否则“不受中国法律保护”。

2017年1月,工信部发布《关于清理规范互联网网络结构服务市场的通知》,主要是为了更好地规范市场行为。监管对象主要是未经电信主管部门批准,不具备国际电信业务经营资格,租用国际专线或VPN,非法开展跨境电信业务经营的企业和个人。这些规定主要是清理无证经营和不符合标准的,不会对依法合规的企业和个人产生任何影响。有不懂的请咨询梦飞服务器了解。

以上就是VPN功能的相关文章(声明:文章仅供参考对比;请勿用于任何违法行为;)在此声明:梦飞科技没有vpn,也不出售vpn,请勿咨询!
部分文章来源与网络,若有侵权请联系站长删除!

推荐产品