文章目录
VPN
VPN=隧道+安全
VPN基础
背景:
在网络传输中,绝大部分数据内容都是明文传输,存在很多安全隐患(窃听、篡改、冒充)
总部、分公司、办事处、出差人员、合作单位等需要访问总部网络资源
Virtual Private Network:虚拟专用网络
VPN:在公共网络中建立私有网络,提供一定的安全性和服务质量保证(IETF对基于IP的定义,使用IP机制仿真一个私有的广域网)
虚拟:用户不需要拥有物理的专线链路,利用Internet长途数据线路家里自己的私有网络
专用:为自己定制一个最符合自己需求的网络
隧道技术:隧道两端封装,解封装,用以建立数据隧道
身份认证:保证接入VPN的操作人员的合法性、有效性
数据认证:数据在网络传输过程中不被非法篡改
加解密技术:保证数据在网络中传输时不被非法获取
密钥管理技术:不安全的网络中安全地传递密钥
VPN服务器的常见形式:
服务器、路由器、防火墙、VPN设备
VPN客户端常见形式:
系统自带拨号工具、第三方拨号工具、浏览器
VPN类型
根据建设单位划分
租用运营商专线搭建VPN网络:MPLS VPN
用户自建企业VPN网络:GRE VPN、IPsec VPN、SSL VPN (PPTP VPN、L2TP VPN 一般在专门的防火墙或者VPN设备上进行配置,不会在路由器上去进行配置,并且需要 IPsec 保护来保证安全性)
进一步说明了路由器和交换机的区别,交换机上不会有 VPN的任何配置
根据组网方式划分
Remote-Access VPN(移动办公VPN、远程访问VPN):适合出差员工、移动办公等VPN拨号接入的场景。员工在任何能接入公网的地方,通过远程拨号接入企业内网,访问资源。通常拨号方IP地址不固定
Site-To-Site VPN(站点到站点VPN):适合各分支机构、合作伙伴、客户、供应商间的互联。双方都有固定的IP地址
根据实现层、协议划分
应用层L7VPN:SSL / SSTP VPN
bash# SSL是实现HTTPS的关键技术之一,没有SSL,就无法实现HTTPS的安全通信----SSL技术就是HTTPS # SSL和TLS在很多方面有相似之处,但TLS作为SSL的升级版,在安全性、加密算法支持以及应用场景上都有显著的提升。因此,在现代网络通信中,推荐使用TLS而不是SSL,以确保更高的安全性和可靠性 # Easy Connect是深信服的VPN客户端 # 深信服的VPN是比较出色的
物理层L3VPN:GRE / IPsec VPN
数据链路层L2VPN:PPTP(微软-老) / L2F(思科对PPTP的改造-老) / L2TP VPN(PPPoe宽带拨号也是基于二层的)
GRE L2TP IPsec SSL VPN 保护范围 IP层及以上数据 IP层及以上数据 IP层及以上数据 应用层特定数据 适合场景 Intranet VPN Access VPN Extranet VPN Access VPN Intranet VPN Access VPN 身份认证 不支持 支持基于PPP的Chap和Pap、EAP认证 支持,采用IP或ID+口令或证书进行数据源认证。IKEv2拨号方式采用EAP认证进行用户身份验证 支持,用户名+口令+证书对服务器进行认证。也可以进行双向认证 加密技术 不支持 不支持 支持 支持 数据验证 支持(校验和方式验证、关键字验证) 不支持 支持 支持 如何使用 GRE Over IPsec L2TP Over IPsec 单独使用 IPsec或通过IPsec保护GRE或L2TP SSL VPN L2TP端口号:UDP 1701
PPTP端口号:TCP 1723
Author:DC