VPN(Virtual Private NetWork)虚拟专用网络

VPN(Virtual Private NetWork)虚拟专用网络

VPN(Virtual Private NetWork)虚拟专用网络,它的作用是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。

VPN的应用举例

例如一名员工在外地出差,他想要安全地访问公司的内网,通常的做法就是使用VPN。公司在内网中架设一台VPN服务器,外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门假设了一个专用网络一样。

有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。

VPN的实质

实际上VPN使用的是互联网上的共用链路,因此VPN称为虚拟专用网络,其实质就是利用加密技术在公网上封装出一个数据通讯隧道。

VPN的工作原理

  • 通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
  • 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
  • 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
  • 网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
  • 网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
  • 网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
  • 从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

VPN分类

按VPN的协议分类

VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层——数据链路层,又称为二层隧道协议;IPSec是第三层——网络层隧道协议。

按VPN的应用分类

  • Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
  • Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
  • Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

VPN实现方式

VPN的实现有很多种方法,常用的有以下四种:

  1. VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。
  2. 软件VPN:可以通过专用的软件实现VPN。
  3. 硬件VPN:可以通过专用的硬件实现VPN。
  4. 集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
相关文章
相关标签/搜索