[计算机网络] VPN技术

VPN技术

1. 概述

虚拟专用网络 (VPN)技术利用互联网服务提供商 (ISP)和网络服务提供商(NSP)的网络基础设备,在公用网络中建立专用的数据通信通道。VPN的主要优点包括节约成本和提供安全保障。

优点:

  • VPN可以节约成本
  • 为安全提供保障

2. VPN类型

VPN主要有三种应用方式:远程接入VPN、内联网VPN、外联网VPN。

  1. 远程接入VPN(Access VPN)

    远程接入VPN允许移动用户在外部网络上访问内部网络。例如,一些学校和企业的门户平台只有在内网环境下才能访问,通过远程接入VPN,用户可以在任何地方安全地连接到这些内部资源。

  2. 内联网VPN

    内联网VPN将两个内部网络通过公用网络连接起来,形成一个逻辑上的局域网。这种方式可以用于连接不同办公室、分支机构,使其共享内部资源,提升整体协作效率。

  3. 外联网VPN

    外联网VPN使得不同的用户在逻辑上的局域网中不平等。通常用于合作伙伴或客户之间的安全通信,在保护公司内部资源的同时,提供必要的访问权限。

3. 使用的技术

3.1 隧道技术

隧道技术主要是利用隧道协议来传输另外一种协议。隧道由隧道开通器(TI)、有路由能力的公用网络和隧道终止器(TT)组成。隧道可以将数据流量强制传输到特定的目的地,隐藏私有的网络地址、在IP网络上传输非IP协议的数据包,简单的来说,隧道技术就像现实生活中的隧道,它可以从一地到一地,而它穿过的"大山"在这里就是外网。

3.1.1 实现方式

隧道的实现主要分为两个过程:封装、解封装。

  • 封装:由隧道开通器(TI)完成,将数据包封装在隧道协议的外壳内。
  • 解封装:由隧道终止器(TT)完成,将数据包从隧道协议的外壳中解封。
3.1.2 基本类型

隧道有两种基本类型:主动式隧道和被动式隧道

主动式隧道(Access VPN):

​ 客户端主动与目标隧道服务器建立连接。这种方式,客户端需要安装所需要的隧道协议

被动式隧道(Intranet VPN、Extranet VPN):

​ 被动式隧道主要用于两个内部网络之间的固定连接,所以需要先交给隧道服务器A,在接收到数据后,将其强制通过已建立的隧道传输到对端的隧道服务器。

4. VPN相关协议

在VPN技术中,隧道协议用于在公用网络上建立安全的通信通道。根据工作在OSI模型中的层次,可以将隧道协议分为第二层隧道协议和第三层隧道协议。

4.1 第二层隧道协议

第二层隧道协议工作在OSI模型的第二层,即数据链路层。常见的第二层隧道协议包括PPTP和L2TP。

4.1.1. PPTP(Point-to-Point Tunneling Protocol)

PPTP是由微软和其他厂商开发的早期VPN协议。它在PPP(Point-to-Point Protocol)基础上进行封装,通过互联网传输PPP帧。

特点

  • 简单易用:PPTP配置相对简单,广泛支持于Windows操作系统。
  • 性能较好:由于其较轻的协议开销,PPTP具有良好的传输性能。
  • 安全性较低:PPTP的加密机制(通常是MPPE)相对较弱,容易受到攻击。
4.1.2. L2TP(Layer 2 Tunneling Protocol)

L2TP是由思科和微软共同开发的协议,结合了PPTP和L2F(Layer 2 Forwarding)的特点。L2TP本身不提供加密功能,通常与IPSec一起使用,以提供强大的加密和认证机制。

特点

  • 灵活性高:L2TP可以通过多种网络(如ATM、帧中继等)传输数据。
  • 安全性好:当与IPSec结合使用时,L2TP/IPSec提供了强大的加密和认证功能。
  • 性能较差:由于双重封装(L2TP和IPSec),L2TP/IPSec的性能可能不如其他协议。

L2TP主要是由LAC(L2TP接入集中器)和LNS(L2TP网络服务器)构成。

  • LAC:用于客户端的L2TP来接发呼叫、建立隧道,为客户端提供通过PNST、ISDN、xDSL等方式的接入网路服务。
  • LNS:隧道的终点。

L2TP具有两种报文格式:控制报文、数据报文。

  • L2TP控制报文:用于隧道的建立、维护与断开。使用的是UDP1701端口,对封装后的UDP数据报使用IPSec ESP进行加密处理并认证。
  • L2TP数据报文:负责传输用户的数据。

4.2 第三层隧道协议

第三层隧道协议工作在OSI模型的第三层,即网络层。常见的第三层隧道协议包括IPSec和GRE。

4.2.1. IPSec(Internet Protocol Security)

IPSec是一套用于保护IP通信的协议,提供了认证、数据完整性和加密功能。IPSec通常用于保护VPN连接,尤其是站点到站点VPN和远程接入VPN。

特点

  • 强大的安全性:IPSec提供了强大的加密和认证机制,如AH(Authentication Header)和ESP(Encapsulating Security Payload)。
  • 灵活性高:IPSec可以保护任何基于IP的协议,是一种通用的安全解决方案。
  • 复杂性高:IPSec配置和管理相对复杂,需要专业知识。
4.2.2. GRE(Generic Routing Encapsulation)

GRE是一种简单的隧道协议,用于在一个协议中封装另一种协议。GRE本身不提供加密或认证功能,通常与IPSec结合使用以提供安全性。

特点

  • 协议支持广泛:GRE可以封装多种协议,包括IP、IPX和AppleTalk。
  • 简单易用 :GRE配置相对简单,适用于多种应用场景。
    身不提供加密或认证功能,通常与IPSec结合使用以提供安全性。
相关推荐
黑牛先生1 分钟前
【Linux】进程-PCB
linux·运维·服务器
Karoku0667 分钟前
【企业级分布式系统】ELK优化
运维·服务器·数据库·elk·elasticsearch
安迁岚1 小时前
【SQL Server】华中农业大学空间数据库实验报告 实验三 数据操作
运维·服务器·数据库·sql·mysql
打码人的日常分享2 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
vmlogin虚拟多登浏览器2 小时前
虚拟浏览器可以应对哪些浏览器安全威胁?
服务器·网络·安全·跨境电商·防关联
追风赶月、2 小时前
【Linux】线程概念与线程控制
linux·运维·服务器
CP-DD3 小时前
Docker 容器化开发 应用
运维·docker·容器
.Ayang4 小时前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型
努力的悟空4 小时前
国土变更调查拓扑错误自动化修复工具的研究
运维·自动化
旦沐已成舟5 小时前
DevOps-Jenkins-新手入门级
服务器