虚拟专用网络指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。
1、通过隧道或虚电路实现网络互联
2、支持用户安全管理
3、能够进行网络监控、故障诊断。
1、通常情况下,VPN 网关采取双网卡结构,外网卡使用公网 IP 接 入 Internet。
2、网络一(假定为公网 internet)的终端 1 访问网络二(假定为公司 内网)的终端 B,其发出的访问数据包的目标地址为终端 2 的内部 IP 地址。
3、网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进 行封装,封装的方式根据所采用的 VPN 技术不同而不同,同时 VPN 网 关会构造一个新 VPN 数据包,并将封装后的原数据包作为 VPN 数据包 的负载,VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。
4、网络一的 VPN 网关将 VPN 数据包发送到 Internet,由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址,所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。
5、网络二的 VPN 网关对接收到的数据包进行检查,如果发现该数据包是从网络一的 VPN 网关发出的,即可判定该数据包为 VPN 数据包,并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
6、网络二的 VPN 网关将还原后的原始数据包发送至目标终端 2,由于原始数据包的目标地址是终端 2 的 IP,所以该数据包能够被正确地发送到终端 2。在终端 2 看来,它收到的数据包就和从终端 1 直接发过来的一样。
7、从终端 2 返回终端 1 的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。通过上述说明可以发现,在 VPN 网关对数据包进行处理时,有两个参数对于 VPN 通讯十分重要:原始数据包的目标地址(VPN 目标地 址)和远程 VPN 网关地址。根据 VPN 目标地址,VPN 网关能够判断对哪些数据包进行 VPN 处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程 VPN 网关地址则指定了处理后的 VPN 数据包 发送的目标地址,即 VPN 隧道的另一端 VPN 网关地址。由于网络通讯是双向的,在进行 VPN 通讯时,隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。
1、MPLS VPN:是一种基于 MPLS 技术的 IP VPN,是在网络路由和交换设备上应用 MPLS(多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的 IP 虚拟专用 网络(IP VPN)。MPLS 优势在于将二层交换和三层路由技术结合起来,在解决 VPN、服务分类和流量工程这些 IP 网络的重大问题时具有很优 异的表现。因此,MPLS VPN 在解决企业互连、提供各种新业务方面也 越来越被运营商看好,成为在 IP 网络运营商提供增值业务的重要手段。MPLS VPN 又可分为二层 MPLS VPN(即 MPLS L2 VPN)和三层 MPLS VPN(即 MPLS L3 VPN)。
2、SSL VPN:是以 HTTPS(Secure HTTP,安全的 HTTP,即支持 SSL 的 HTTP 协议)为基础的 VPN 技术,工作在传输层和应用层之间。SSL VPN 充分利用了 SSL 协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN 广泛应用于基于 Web 的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
3、IPSec VPN 是基于 IPSec 协议的 VPN 技术,由 IPSec 协议提供隧道 安全保障。IPSec 是一种由 IETF 设计的端到端的确保基于 IP 通讯的数据安全性的机制。它为 Internet 上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
按所用的设备类型进行分类:主要为交换机、路由器和防火墙:(1)路由器式 VPN:路由器式 VPN 部署较容易,只要在路由器上添加 VPN 服务即可;(2)交换机式 VPN:主要应用于连接用户较少的 VPN 网络;(3)防火墙式 VPN:防火墙式 VPN 是最常见的一种 VPN 的实现方式, 许多厂商都提供这种配置类型;VPN 的隧道协议主要有三种,PPTP、L2TP 和 IPSec,其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层,又称为二层隧道协议;IPSec 是第三层隧道协议。
VPN 的实现有很多种方法,常用的有以下四种: 1.VPN 服务器:在大型局域网中,可以通过在网络中心搭建 VPN 服务器的方法实现 VPN。2.软件 VPN:可以通过专用的软件实现 VPN。3.硬件 VPN:可以通过专用的硬件实现 VPN。4.集成 VPN:某些硬件设备,如路由器、防火墙等,都含有 VPN 功能,但是一般拥有 VPN 功能的硬件设备通常都比没有这一功能的要贵。